Heute entschied der EuGH, unter welchen Bedingungen auch die nicht federführende Aufsichtsbehörde für eine Klage bei DSGVO-Verstößen von Facebook zuständig sein kann. Damit ebnete es zwar den weiteren Weg für eine Entscheidung des belgischen Berufungsgerichts, bei dem gerade ein Verfahren der belgischen Aufsichtsbehörde gegen Facebook anhängig ist. Allerdings könnte sich das Blatt auch noch zugunsten von Facebook wenden.
Der Inhalt im Überblick
Eine (neue) Geschichte über Cookies, Tracking und die Nutzer
Bereits im Jahr 2015 und somit vor Inkrafttreten der DSGVO im Mai 2018 leitete die belgische Datenschutzbehörde Gegevensbeschermingsautoriteit ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe ein. Betroffen waren die Facebook Inc., die Facebook Ireland Ltd. sowie Facebook Belgium BVBA (Facebook Belgium).
Das Verfahren zielte darauf ab, Facebook zu verpflichten, bei in Belgien ansässigen NutzerInnen das Platzieren bestimmter Cookies auf ihrem Gerät, wenn sie auf eine Webseite der Domain Facebook.com oder eine Webseite eines Dritten gelangen, ohne Einwilligung zu unterlassen. Zudem müsse Facebook es unterlassen, übermäßig Daten durch Social Plugins und Pixels auf Webseiten zu erheben. Auch seien alle personenbezogenen Daten zu vernichten, die bereits auf diese Weise mittels Cookies und Social Plugins über in Belgien ansässige InternetnutzerInnen erlangt worden sind.
Facebook vs. Belgien: 1. Instanz
Im Februar 2018 war die Angelegenheit dann beim erstinstanzlichen Brüsseler Gericht anhängig. Dieses erklärte sich zunächst für zuständig. Zudem entschied es, dass Facebook belgische Nutzer nicht mehr tracken und deren Browserverhalten aufzeichnen dürfe, wenn dies nicht im Einklang mit belgischen Datenschutzvorgaben steht. Facebook teilte mit, von dem Urteil „enttäuscht zu sein“, entsprächen die verwendeten Cookies und Pixels doch technischen Industriestandards, und legte gegen das Urteil Berufung ein.
Facebook vs. Belgien: 2. Instanz
Beim Berufungsgericht in Brüssel, dem Hof van beroep te Brussel, zog Facebook nun den allbekannten „Das Gericht ist aber gar nicht zuständig“-Joker. Das Berufungsgericht entschied zunächst, dass es – wenn überhaupt – nur (noch) für die Klage gegen Facebook Belgium zuständig sei. Für die Klärung der weitergehenden Frage – nämlich ob die belgische Datenschutzbehörde das gerichtliche Verfahren überhaupt betreiben darf oder ob die DSGVO sie als andere Datenschutzbehörden als die federführende (was in diesem Fall die irische Datenschutzbehörde, die Irish Data Protection Commission, wäre) daran hindere, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen DSGVO-Vorschriften bezüglich grenzüberschreitender Datenverarbeitung zu betreiben – rief das Gericht den EuGH an. Kann tatsächlich keine andere als die federführende Datenschutzbehörde gerichtliche Verfahren wegen grenzüberschreitenden DSGVO-Verstößen führen?
Exkurs: Facebook und die DSGVO
Hintergrund des „Gericht-nicht-zuständig“-Jokers war, dass, nachdem Facebook in Berufung gegangen war, in der Zwischenzeit am 25. Mai 2018 die DSGVO in Kraft getreten war.
Grundsätzlich ist nach Art. 55 Abs. 1 i.V.m. Art. 57 Abs. 1 lit. a DSGVO jede Aufsichtsbehörde für die Durchsetzung der DSGVO-Vorgaben im Hoheitsgebiet ihres jeweiligen Mitgliedstaats zuständig. Allerdings ist mit der DSGVO der sogenannte „One-Stop-Shop“-Mechanismus eingeführt worden, um eine zentrale Anlaufstelle zu schaffen und so die zeitaufwändige und kostenintensive Kontaktaufnahme zu den verschiedenen nationalen Datenschutzbehörden zu ersetzen.
Demnach ist bei grenzüberschreitender Datenverarbeitung die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters die zuständige federführende Aufsichtsbehörde (Art. 56 Abs. 1 DSGVO). Art. 56 Abs. 6 DSGVO stellt klar, dass diese die einzige Ansprechpartnerin der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von ihnen durchgeführten grenzüberschreitenden Datenverarbeitung ist. Sie tritt also nicht nur nach außen als zentrale Kontaktstelle in Erscheinung, sondern koordiniert nach Art. 60 Abs. 1 DSGVO auch die anderen betroffenen Aufsichtsbehörden und arbeitet mit diesen zusammen.
Nur Facebook vs. Irland?
Anfang des Jahres nahm der Generalanwalt Michal Bobek in dem beim EuGH anhängigen Verfahren (Az.: C-645/19) in seinem Schlussantrag zur Problematik der Zuständigkeit von nationalen Datenschutzbehörden Stellung. Nach seiner Ansicht könne tatsächlich keine andere als die federführende Datenschutzbehörde gerichtliche Verfahren wegen grenzüberschreitenden DSGVO-Verstößen führen. Auch wenn die DSGVO zwar anderen Datenschutzbehörden die Befugnis erteile, tätig zu werden, wenn es sich um Verstöße auf ihrem Hoheitsgebiet handelt, so sei diese Befugnis ausdrücklich beschränkt, wenn es um die grenzüberschreitende Datenverarbeitung geht (sog. One-Stop-Shop-Mechanismus).
Allerdings hob der Generalanwalt auch hervor, dass nationale Datenschutzbehörden, selbst wenn sie nicht als federführende Behörde fungierten, gleichwohl unter bestimmten Umständen vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Verarbeitung einleiten könnten. Dies sei beispielsweise der Fall, wenn die Behörde bei Dringlichkeit Maßnahmen ergriffen oder tätig würde, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.
Facebook vs. Luxemburg: EuGH
Heute äußerte sich nun der EuGH. Wie auch der Generalanwalt kam das Gericht zu dem Ergebnis, dass unter bestimmten Voraussetzungen eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben kann. Dies gelte auch, wenn sie nicht die federführende Behörde i.S.d. Art. 56 DSGVO ist. Der EuGH legt hierfür jedoch andere Voraussetzungen als der Generalanwalt fest:
- Bei einer grenzüberschreitenden Datenverarbeitung kann eine andere als die federführende Aufsichtsbehörde von ihrer Befugnis, einen vermeintlichen Verstoß gegen die DSGVO gerichtlich geltend zu machen, Gebrauch machen, wenn die Regeln über die Verteilung der Entscheidungsbefugnis nach Art. 56 und 60 DSGVO beachtet werden.
- Die Ausübung der behördlichen Befugnis muss in den räumlichen Anwendungsbereich der DSGVO (3 DSGVO) fallen. Dafür muss die verantwortliche Stelle jedoch nicht zwingend über eine Niederlassung im Hoheitsgebiet der Behörde verfügen.
- Im Fall einer grenzüberschreitenden Datenverarbeitung bezieht sich die in Rede stehende behördliche Befugnis sowohl auf die Hauptniederlassung der verantwortlichen Stelle als auch auf andere Niederlassungen, sofern Gegenstand eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten dieser anderen Niederlassung erfolgt.
- Sofern eine Klage vor Inkrafttreten der DSGVO erhoben wurde, kann diese aufrecht erhalten bleiben, wenn diese zuvor auf Grundlage der Vorschriften der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten beruht. Verstöße gegen die DSGVO, die erst nach Inkrafttreten der DSGVO begangen wurden, können Gegenstand einer Klage sein, wenn die Behörde für diese ausnahmsweise befugt ist.
Nochmal Facebook vs. Belgien?
Die Frage nach einer generellen Möglichkeit einer Zuständigkeit wäre damit geklärt. Allerdings stellt das oberste europäische Gericht klar, dass der One-Stop-Shop-Mechanismus einzuhalten ist. Dieser Mechanismus erfordere eine enge, loyale und wirksame Zusammenarbeit zwischen den beteiligten Behörden.
Vorliegend kommt zudem die Besonderheit zum Tragen, dass die belgische Aufsichtsbehörde die Klage bereits vor Inkrafttreten der DSGVO erhoben hat. Hier stellt der EuGH fest, dass eine solche aufrechterhalten werden kann. Die Klage dürfte sich dann jedoch nicht auf die DSGVO stützen, sondern auf die Vorschriften der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Richtlinie 95/46/EG).
Wenn das belgische Berufungsgericht also feststellt, dass der One-Stop-Shop-Mechanismus beachtet worden ist und/oder sich die datenschutzrechtlichen Verstöße von Facebook vor Inkrafttreten der DSGVO ereigneten, bestünde für die belgische Aufsichtsbehörde eine Chance auf Fortführung der Klage. Grundsätzlich stellt die Entscheidung des EuGHs aber eines klar: Unter den nun festgelegten Voraussetzungen können bei grenzüberschreitenden Verarbeitungen auch die nationalen Aufsichtsbehörden und nicht nur die federführende Behörde gegen DSGVO-Verstöße vorgehen.