26. Januar 2022 EuGH ebnet den Weg für das Vorgehen nationaler Aufsichtsbehörden gegen Verantwortliche bei grenzüberschreitender Verarbeitung personenbezogener Daten.

EuGH Urt. v. 15.06.2021 

Der EuGH hatte vom vorlegenden Gericht, dem Berufungsgericht in Brüssel (Hof van beroep te Brussel) unter anderem die Frage zu klären, ob nationale Aufsichtsbehörden von Mitgliedstaaten dazu befugt sind, ein gerichtliches Verfahren in Fällen grenzüberschreitender Datenverarbeitung einzuleiten, selbst wenn sie nicht die „zuständige federführende Aufsichtsbehörde“ sind.

Der Frage ging ein Verfahren in Belgien gegen Facebook voraus, bei dem sich das erstinstanzliche Gericht für zuständig erklärte und entschied, dass es Facebook untersagt ist, ohne Einwilligung der belgischen Nutzer diese zu tracken und deren Browserdaten aufzuzeichnen. Hiergegen legte Facebook Berufung mit der Begründung ein, dass erstinstanzliche Gericht sei für den verhandelten Fall überhaupt nicht zuständig gewesen. In der Folge entschied das Berufungsgericht, dass lediglich eine Zuständigkeit für die Klage gegeben sei, sofern diese sich gegen Facebook Belgium richtet. Für die Klärung der Frage, ob die belgische Datenschutzbehörde dazu befugt ist ein gerichtliches Verfahren in Belgien bei grenzüberschreitender Verarbeitung persönlicher Daten einzuleiten oder zu führen, wendete sich das Berufungsgericht an den EuGH.

Dieser stellte unter anderem fest, dass eine Aufsichtsbehörde eines Mitgliedstaats, die (nach Art. 58 Abs. 5 der Verordnung 2016/679) befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegenbenenfalls. die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis in Fällen von grenzüberschreitenden Datenverarbeitung Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ i. S. v.  Art. 56 Abs. 1 der Verordnung ist.

Die vermeintlich unzuständige Behörde darf von dieser Befugnisübertragung jedoch nur Gebrauch machen, sofern es sich um einen der Fälle handelt, in denen die Verordnung der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.

Weiterhin stellte der EuGH klar, dass zur Ausübung dieser Befugnis nicht vorausgesetzt wird, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder Auftragsverarbeiter, gegen den die Klage gerichtet wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.

Ferner verdeutlichte der EuGH, dass es keinen Unterschied macht, ob eine nationalen Aufsichtsbehörde die Klage gegen die Niederlassung erhebt, welche für die grenzüberschreitende Verarbeitung in ihrem Mitgliedstaat verantwortlich ist oder gegen dessen Hauptniederlassung, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach der zuvor dargestellten Auslegung hierfür zuständig ist. Das bedeutet, dass eine nationale Aufsichtsbehörde, welche nicht zwingend die federführende Aufsichtsbehörde ist aber deren Befugnisse übertragen bekommt, sowohl die Klage gegen die Niederlassung im betroffenen Mitgliedstaat als auch gegen die Hauptniederlassung richten kann.

Zudem steht dem auch nicht entgegen, dass die Klage bereits vor Inkrafttreten der Verordnung am 28. Mai 2018 erhoben wurde, sofern es sich im einen Fall handelt, in dem die eine nationale Aufsichtsbehörde die nicht federführende Aufsichtsbehörde ist, ausnahmsweise die Befugnis verliehen bekommt, einen Beschluss zu erlassen mit dem ein Verstoß gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten festgestellt und zudem das vorgesehen Verfahren der Zusammenarbeit und die Kohärenz zwischen der nationalen Aufsichtsbehörde und der federführenden Aufsichtsbehörde eingehalten wird.

Weiterhin kann sich die nationale Aufsichtsbehörde auf die in der Verordnung geregelten Vorschriften berufen, selbst wenn diese, trotz entsprechender Verpflichtung, nicht in speziell nationales Recht umgesetzt worden sind.

 

Letztlich ermöglicht der EuGH durch seine Klarstellungen hinsichtlich der vom Berufungsgericht vorgelegten Fragen, dass nationale Aufsichtsbehörden die selbst nicht federführende Aufsichtsbehörde sind, gegen grenzüberschreitende Verarbeitung von personenbezogener Daten unter Einhaltung der hierfür erforderlichen Voraussetzungen gegen die jeweilige Verantwortlichen vorgehen können.

Falls Sie Fragen zu dem Artikel oder zum Wettbewerbsrecht haben, können Sie uns gerne kontaktieren.

Wir helfen Ihnen schnell und kompetent.

Ihre Ansprechpartnerin für weitere Fragen ist:

Rechtsanwältin Daniela Wagner-Schneider LL.M.

Fachanwältin für Gewerblichen Rechtsschutz

Verfasser: Jan Müller

WAGNER webvocat® Rechtsanwaltsgesellschaft mbH - Small.Different.Better

Zurück

Weiterempfehlung in Social Networks: