Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Urteil zur Zuständigkeit von Aufsichtsbehörden außerhalb von Irland: Belgien und die EU (ohne Irland) gegen Facebook

0

Belgien gegen Facebook, das war der Auslöser für das Urteil des EuGH vom 15.06.2021. Belgien darf gegen Facebook vorgehen, obwohl Facebook in Irland seinen europäischen Hauptsitz hat. Das sind gute Nachrichten, auch wenn die Freude etwas getrübt wird.

Einleitung

Im Urteil vom 15.06.2021 hat der EuGH über die mehrere Fragen entschieden, die damit in Zusammenhang stehen, ob eine Aufsichtsbehörde außerhalb von Irland gegen Facebook vorgehen kann, obwohl Facebook dort seinen EU-Hauptsitz hat (Rn. 84 des Urteils). Bekanntlich ist die irische Datenschutzbehörde maximal unmotiviert, gegen Facebook vorzugehen.

Auch die Datenschutzorganisation noyb hatte gegen Google bei der österreichischen Aufsichtsbehörde eine Klage erhoben und darauf verwiesen, dass auch Behörden anderer Länder als aus Irland hierfür zuständig seien.

Dem EuGH wurden insgesamt sechs Fragen vorgelegt, von denen er fünf konkret beantwortete. Eine sechste Frage lehnte er als hypothetisch und unbegründet ab (Rn. 118 des Urteils).

Zuständigkeit einer nationalen Aufsichtsbehörde

Eine nationale Aufsichtsbehörde darf auch dann gegen Datenschutzverstöße eines Unternehmens vorgehen, wenn das Unternehmen seinen Hauptsitz in einem anderen EU-Land hat. Es reicht eine nationale Datenverarbeitung durch ein Unternehmen. Allerdings muss die nationale Aufsichtsbehörde das Kohärenzprinzip einhalten (Rn. 65 des Urteils).

Das bedeutet, dass Belgien mögliche Datenschutzverstöße durch Facebook in Belgien monieren darf. Weiterhin hat Belgien dies der irischen Datenschutzbehörde vorzulegen. Die Iren dürfen dann den Fall aufgreifen. Möchte Irland nicht tätig werden, darf sich Belgien freuen und die Sache selbst in die Hand nehmen. Dies ist in Art. 56 Abs. 4 DSGVO geregelt.

Art. 56 Abs. 3 DSGVO besagt: “Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung”. In Art. 60 Abs. 3 steht wiederum “Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.“.

Damit müsste Irland unverzüglich reagieren, was aber wohl nicht passieren wird. Ich vermute, dass Irland rechtswidrig handeln wird und dann abwartet, was passiert. Andererseits könnte Irland zunächst wie gefordert unverzüglich reagieren und dann eine nie endende Untersuchung beginnen.

Ein Dringlichkeitsverfahren durch Belgien und ganz ohne Irland könnte allerdings nur gemäß der Vorgaben von Art. 66 DSGVO eingeleitet werden. Die Geltungsdauer der damit einher gehenden Maßnahmen darf dann allerdings maximal drei Monate betragen. Außerdem muss dringender Handlungsbedarf bestehen. Das Dringlichkeitsverfahren wählte bereits der Hamburgische Datenschutzbeauftragte als Mittel. Nach den drei Monaten muss der Europäische Datenschutzausschuss ein verbindliches Urteil fällen. Somit kann die iriische Behörde über den europäischen Ausschuss zwar mitbestimmen, aber nur mit einer einfachen Stimme. Die Chancen sind also besser geworden, weil Irland unbedeutender geworden ist.

In Art. 56 Abs. 2 DSGVO ist verankert, dass eine nationale Aufsichtsbehörde ohne die ansonsten federführende Behörde tätig werden kann, wenn nur nationale Personen von einem Verstoß gegen die DSGVO durch die nationale Niederlassung erheblich betroffen sind oder wenn nur die Niederlassung die Verstöße zu verantworten hat. Das trifft auf Facebook möglicherweise nicht zu. Allerdings verstehe ich das im Absatz zuvor genannte Dringlichkeitsverfahren so, dass eine dreimonatige Maßnahme durch Belgien selbst erlassen werden kann, wenn Belgien dies für dringend geboten hält.

Da Facebooks Niederlassung in Belgien eine gewisse Funktion haben muss, könnte Belgien gegen die Datenverarbeitung, die nur durch die belgische Niederlassung stattfindet, gemäß Art. 56 Abs. 2 DSGVO vorgehen. Diesen Ansatz verfolgt auch die weiter oben genannte Datenschutzorganisation noyb gegen Google, indem die Klage nach dem Willen von noyb in Österreich und nicht im unproduktiven Irland stattfinden soll.

Weitere Entscheidungen des EuGH

Der EuGH sagt, dass eine nationale Aufsichtsbehörde Klage gegen ein Unternehmen erlassen kann, welches eine nationale Zweigniederlassung hat und dort gegen die DSGVO verstößt (Rn. 96 des Urteils.) Ebenso besagt das Urteil, dass dies auch möglich ist, wenn keine Niederlassung im betreffenden Staat vorhanden ist (Rn. 84 des Urteils).

Der EuGH stellte auch fest, dass die Vorgängerrichtlinie der DGSVO, die Richtlinie 95/46 anwendbar ist, wenn das Verfahren vor dem 25.05.2018 eingeleitet wurde (Rn. 105 des Urteils).

Der EuGH entschied ferner, dass die DSGVO auch dann anzuwenden ist, wenn eine nationale Gesetzgebung diese noch nicht umgesetzt hat (Rn. 113 des Urteils).

Die Pressemitteilung des EuGH listet alle Entscheidungen noch einmal gebündelt auf.

Fazit

Das Urteil ist ein kleiner Erfolg für den Datenschutz und ein möglicher Ansatz gegen die unerträgliche Untätigkeit Irlands.

Belgien hat nun mehrere Möglichkeiten:

  1. Dringlichkeitsverfahren gegen Facebook einleiten und Irland ignorieren
  2. Möglichen Verstoß von Facebook feststellen und an Irland weiterleiten
    1. Irland muss dann unverzüglich reagieren und einen Beschlussentwurf vorlegen
    2. Irland kann den Fall selbst an sich ziehen und dann die Sache wieder versuchen, absichtlich zu vertrödeln
    3. Oder Irland gibt den Fall doch ab und überlässt Belgien das Feld

In jedem Fall wird Facebook in die Zange genommen werden und bekommt Gegenwind. Irland wird nun ebenfalls zur Tätigkeit gezwungen. Es bleibt abzuwarten, ob und wie Irland versucht, aus der Nummer rauszukommen, um Facebook aus nationalen Interessen und entgegen der geltenden Datenschutzrechte zu beschützen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Welche Dienste und Cookies auf Webseiten sind technisch notwendig und bedürfen somit keiner Einwilligung?