Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » EU-weite DSGVO-Verfahren: Welche Datenschutzbehörde muss Facebook fürchten?
EU-weite DSGVO-Verfahren :

Welche Datenschutzbehörde muss Facebook fürchten?

Grenz­über­grei­fen­de Ver­fah­ren wegen Ver­stö­ßen gegen die DSGVO dür­fen nicht nur von den jeweiligen nationalen Da­ten­schutz­be­hör­den ein­ge­lei­tet wer­den, die dort an­säs­sig sind, wo das be­trof­fe­ne Un­ter­neh­men sei­nen EU-Sitz hat. Gemäß der DSGVO dürfen nach Auffassung des EuGH-Generalanwalts auch die Be­hör­den tätig wer­den, die nicht fe­der­füh­rend sind, be­fand er am 13.01.2021.

Dem Verfahren liegt ein Rechtsstreit der belgischen Datenschutzbehörde gegen mehrere Unternehmen der Facebook-Gruppe zugrunde. Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe ein (im Folgenden Facebook), nämlich gegen Facebook Inc., Facebook Ireland Ltd, welches die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (im Folgenden: Facebook Belgium).

Die Datenschutzbehörde beantragte, Facebook zu verpflichten, das Platzieren von bestimmten Cookies auf Nutzer-Endgeräten in Belgien zu unterlassen, wenn sie hierein nicht eingewilligt haben.  Darüber hinaus müsse Facebook es unterlassen, übermäßig Daten auf Webseiten Dritter über Social Plugins und Pixel zu erheben. Zudem beantragte die Behörde, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden in Belgien ansässigen Internetnutzer erlangt wurden, zu vernichten.

Sind nationale Datenschutzbehörden für Facebook zuständig?

Das Verfahren ist derzeit beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) anhängig, betrifft aber nur noch Facebook Belgium, nachdem das Berufungsgericht zuvor befunden hatte, für Klagen gegen Facebook Inc. und Facebook Ireland Ltd nicht zuständig zu sein.

Facebook Belgium jedoch ist der Auffassung, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die Datenschutz-Grundverordnung (DSGVO) anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook überhaupt weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sogenannte „federführende“ Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.

Unter diesen Umständen möchte das Brüsseler Berufungsgericht vom Europäischen Gerichtshof (EuGH) wissen, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindere, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen die Vorschriften der DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.

Schlussanträge des EuGH-Generalanwalts

In seinen Schlussanträgen vom 13. Januar vertritt Generalanwalt Michal Bobek die Auffassung, dass sich aus dem Wortlaut der DSGVO tatsächlich ergebe, dass die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit habe, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehöre. Insofern seien die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden auch weniger umfassend. Die Befugnis zur Einleitung gerichtlicher Verfahren sei jedoch ausdrücklich beschränkt, soweit es um grenzüberschreitende Datenverarbeitung gehe. Dies gelte vor allem, um der federführenden Datenschutzbehörde zu ermöglichen, insoweit ihre Aufgaben wahrzunehmen.

Diese Beschränkung verfolge vor allem den Zweck, Kooperationsschwierigkeiten sowie Unsicherheiten in Bezug auf fremde nationale Regelwerke zu beseitigen, welche sich noch nach der alten Rechtslage vor der DSGVO ergeben hätten. Hierbei müsse die federführende Datenschutzbehörde jedoch weiterhin eng mit den anderen betroffenen Datenschutzbehörden zusammenarbeiten, da deren Beiträge äußerst wichtig seien.

Nationale Datenschutzbehörden können u.U. Verfahren einleiten

Allerdings können auch nationale Datenschutzbehörden, selbst wenn sie nicht als federführende Behörde fungierten, gleichwohl unter bestimmten Voraussetzungen vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Verarbeitung einleiten.

Dies sei insbesondere dann möglich, wenn die nationalen Datenschutzbehörden

  1. außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig würden,
  2. sie Untersuchungen zu grenzüberschreitender Datenverarbeitung anstellten, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der Union hätten,
  3. bei Dringlichkeit Maßnahmen ergriffen oder
  4. tätig würden, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.

Zwar ist der EuGH nicht an die Schlussanträge gebunden, folgt diesen jedoch häufig.

Tobias Spies