Voraussetzungen für die Ausübung der Befugnisse der nationalen Aufsichtsbehörden bei der grenzüberschreitenden Datenverarbeitung
EuGH v. 15.6.2021 - C-645/19
Der Sachverhalt:
Am 11.9.2015 erhob der Präsident des belgischen Ausschusses für den Schutz des Privatlebens (im Folgenden: CBPL) bei der Nederlandstalige rechtbank van eerste aanleg Brussel (niederländischsprachiges Gericht erster Instanz Brüssel, Belgien) eine Unterlassungsklage gegen Facebook Ireland, Facebook Inc. und Facebook Belgium mit dem Ziel, Verstöße gegen Datenschutzvorschriften, die Facebook angeblich begangen hat, abzustellen. Diese Verstöße bestanden u.a. in der Sammlung und Nutzung von Informationen über das Surfverhalten von belgischen Internetnutzern, von denen nicht alle über ein Facebook-Konto verfügen, mittels verschiedener Technologien wie Cookies, Social Plugins oder Pixeln.
Am 16.2.2018 erklärte sich dieses Gericht für zuständig, über diese Klage zu befinden, und entschied in der Sache, dass das soziale Netzwerk Facebook die belgischen Internetnutzer nicht ausreichend über die Erhebung und Nutzung der betreffenden Informationen informiert habe. Im Übrigen wurde die Einwilligung der Internetnutzer zur Sammlung und Verarbeitung dieser Informationen als nicht wirksam angesehen.
Am 2.3.2018 legten Facebook Ireland, Facebook Inc. und Facebook Belgium gegen dieses Urteil Berufung beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien), dem vorlegenden Gericht in der vorliegenden Rechtssache, ein. Vor diesem Gericht trat die belgische Datenschutzbehörde (im Folgenden: GBA) als Rechtsnachfolgerin des Präsidenten der CBLP auf. Das vorlegende Gericht erklärte sich lediglich für die Entscheidung über die von Facebook Belgium eingelegte Berufung für zuständig.
Beim vorlegenden Gericht bestehen Zweifel, welche Auswirkung das in der DSGV vorgesehene Verfahren der Zusammenarbeit und Kohärenz auf die Befugnisse der GBA hat, und es wirft insbesondere die Frage auf, ob die GBA in Bezug auf Sachverhalte nach dem 25.5.2018, ab dem die DSGVO gilt, gegen Facebook Belgium vorgehen kann, da Facebook Ireland als für die Verarbeitung der betreffenden Daten Verantwortlicher festgestellt worden ist. Seit diesem Zeitpunkt und insbesondere gemäß dem in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz sei nämlich nur der irische Datenschutzbeauftragte befugt, unter der Kontrolle der irischen Gerichte eine Unterlassungsklage zu erheben.
Der EuGH hat in seinem Urteil die Befugnisse der nationalen Aufsichtsbehörden im Rahmen der DSGVO präzisiert. Insbesondere hat er entschieden, dass die genannte Verordnung unter bestimmten Voraussetzungen einer Aufsichtsbehörde eines Mitgliedstaats gestattet, von ihrer Befugnis Gebrauch zu machen, vermeintliche Verstöße gegen die DSGV einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und in Bezug auf eine grenzüberschreitende Datenverarbeitung die Einleitung eines gerichtlichen Verfahrens zu betreiben, obgleich sie für diese Verarbeitung nicht die federführende Behörde ist.
Die Gründe:
Erstens sind die Voraussetzungen festzulegen, unter denen eine nationale Aufsichtsbehörde, die hinsichtlich einer grenzüberschreitenden Verarbeitung nicht als federführende Behörde fungiert, ihre Befugnis auszuüben hat, vermeintliche Verstöße gegen die DSGV einem Gericht eines Mitgliedstaats zur Kenntnis zu bringen und ggf. die Einleitung eines gerichtlichen Verfahrens zu betreiben. So muss zum einen die DSGVO dieser Aufsichtsbehörde eine Zuständigkeit für den Erlass einer Entscheidung, mit der festgestellt wird, dass die fragliche Verarbeitung gegen die in dieser Verordnung vorgesehenen Regeln verstößt, verleihen, und zum anderen muss diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden.
Für grenzüberschreitende Verarbeitungen sieht die DSGVO nämlich ein Verfahren der Zusammenarbeit und Kohärenz vor, das auf einer Zuständigkeitsverteilung zwischen einer "federführenden Aufsichtsbehörde" und den anderen betroffenen nationalen Aufsichtsbehörden beruht. Dieser Mechanismus erfordert eine enge, loyale und wirksame Zusammenarbeit zwischen den genannten Behörden, um zu gewährleisten, dass die Vorschriften über den Schutz personenbezogener Daten kohärent und einheitlich geschützt werden, und um somit die praktische Wirksamkeit dieses Mechanismus zu wahren. Die DSGV sieht insoweit vor, dass grundsätzlich die federführende Aufsichtsbehörde dafür zuständig ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass eine grenzüberschreitende Verarbeitung gegen die Vorschriften der Verordnung verstößt, wohingegen die Zuständigkeit der anderen nationalen Aufsichtsbehörden für den Erlass eines solchen, wenn auch nur vorläufigen, Beschlusses die Ausnahme darstellt. Indessen muss die federführende Aufsichtsbehörde bei der Wahrnehmung ihrer Zuständigkeiten insbesondere den gebotenen Dialog führen und loyal und wirksam mit den anderen betroffenen Aufsichtsbehörden zusammenarbeiten. Bei dieser Zusammenarbeit kann daher die federführende Aufsichtsbehörde die Ansichten der anderen betroffenen Aufsichtsbehörden nicht außer Acht lassen und hat ein maßgeblicher und begründeter Einspruch, der von einer anderen betroffenen Aufsichtsbehörde eingelegt wird, zur Folge, dass die Annahme des Beschlussentwurfs der federführenden Aufsichtsbehörde zumindest vorübergehend blockiert wird.
Ferner wird klargestellt, dass es mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union, die das Recht auf den Schutz der personenbezogenen Daten einer Person bzw. auf einen wirksamen Rechtsbehelf garantieren, in Einklang steht, dass eine Aufsichtsbehörde eines Mitgliedstaats, die in Bezug auf eine grenzüberschreitende Datenverarbeitung nicht die federführende Aufsichtsbehörde ist, von der Befugnis zur Geltendmachung eines vermeintlichen Verstoßes gegen die DSGVO vor einem Gericht dieses Staates nur unter Beachtung der Regeln über die Verteilung der Entscheidungsbefugnisse zwischen der federführenden Aufsichtsbehörde und den anderen Aufsichtsbehörden Gebrauch machen kann.
Zweitens wird entschieden, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Ausübung der Befugnis zur Klageerhebung , die einer Aufsichtsbehörde eines Mitgliedstaats zusteht, die nicht die federführende Aufsichtsbehörde ist, nicht voraussetzt, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, auf den sich diese Klage bezieht, über eine Hauptniederlassung oder eine andere Niederlassung im Hoheitsgebiet dieses Mitgliedstaats verfügt. Die Ausübung dieser Befugnis muss jedoch in den räumlichen Anwendungsbereich der DSGVO fallen, was voraussetzt, dass der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung im Gebiet der Union verfügt.
Drittens wird für Recht erkannt, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Befugnis einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, vermeintliche Verstöße gegen die DSGVO dem Gericht dieses Staates zur Kenntnis zu bringen und ggf. die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl in Bezug auf die Hauptniederlassung des für die Verarbeitung Verantwortlichen, die sich in dem Mitgliedstaat, dem diese Behörde angehört, befindet, als auch ggü. einer anderen Niederlassung dieses Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten dieser Niederlassung erfolgt, und die genannte Behörde dafür zuständig ist, die Befugnis auszuüben.
Es wird jedoch klargestellt, dass diese Befugnis nur ausgeübt werden kann, soweit die DSGVO gilt. Da im vorliegenden Fall die Tätigkeiten der Niederlassung des Facebook-Konzerns in Belgien untrennbar mit der Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten verbunden sind, für die Facebook Ireland hinsichtlich des Unionsgebiets der Verantwortliche ist, erfolgt diese Verarbeitung "im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen" und fällt daher in den Anwendungsbereich der DSGVO.
Viertens wird entschieden, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die "federführende Aufsichtsbehörde" ist, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten, bevor die DSGV galt, eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der genannten Aufsichtsbehörde wegen Verstößen erhoben werden, die begangen wurden, nachdem die DSGVO anwendbar wurde, sofern es sich dabei um einen derjenigen Fälle handelt, in denen diese Aufsichtsbehörde nach der Verordnung ausnahmsweise befugt ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit eingehalten werden.
Fünftens wird die unmittelbare Wirkung der Bestimmung der DSGVO anerkannt, wonach jeder Mitgliedstaat durch Rechtsvorschriften vorsieht, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und ggf. die Einleitung eines gerichtlichen Verfahrens zu betreiben. Folglich kann sich eine Aufsichtsbehörde auf diese Vorschrift berufen, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die genannte Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.
EuGH PM Nr. 103 vom 15.6.2021
Am 11.9.2015 erhob der Präsident des belgischen Ausschusses für den Schutz des Privatlebens (im Folgenden: CBPL) bei der Nederlandstalige rechtbank van eerste aanleg Brussel (niederländischsprachiges Gericht erster Instanz Brüssel, Belgien) eine Unterlassungsklage gegen Facebook Ireland, Facebook Inc. und Facebook Belgium mit dem Ziel, Verstöße gegen Datenschutzvorschriften, die Facebook angeblich begangen hat, abzustellen. Diese Verstöße bestanden u.a. in der Sammlung und Nutzung von Informationen über das Surfverhalten von belgischen Internetnutzern, von denen nicht alle über ein Facebook-Konto verfügen, mittels verschiedener Technologien wie Cookies, Social Plugins oder Pixeln.
Am 16.2.2018 erklärte sich dieses Gericht für zuständig, über diese Klage zu befinden, und entschied in der Sache, dass das soziale Netzwerk Facebook die belgischen Internetnutzer nicht ausreichend über die Erhebung und Nutzung der betreffenden Informationen informiert habe. Im Übrigen wurde die Einwilligung der Internetnutzer zur Sammlung und Verarbeitung dieser Informationen als nicht wirksam angesehen.
Am 2.3.2018 legten Facebook Ireland, Facebook Inc. und Facebook Belgium gegen dieses Urteil Berufung beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien), dem vorlegenden Gericht in der vorliegenden Rechtssache, ein. Vor diesem Gericht trat die belgische Datenschutzbehörde (im Folgenden: GBA) als Rechtsnachfolgerin des Präsidenten der CBLP auf. Das vorlegende Gericht erklärte sich lediglich für die Entscheidung über die von Facebook Belgium eingelegte Berufung für zuständig.
Beim vorlegenden Gericht bestehen Zweifel, welche Auswirkung das in der DSGV vorgesehene Verfahren der Zusammenarbeit und Kohärenz auf die Befugnisse der GBA hat, und es wirft insbesondere die Frage auf, ob die GBA in Bezug auf Sachverhalte nach dem 25.5.2018, ab dem die DSGVO gilt, gegen Facebook Belgium vorgehen kann, da Facebook Ireland als für die Verarbeitung der betreffenden Daten Verantwortlicher festgestellt worden ist. Seit diesem Zeitpunkt und insbesondere gemäß dem in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz sei nämlich nur der irische Datenschutzbeauftragte befugt, unter der Kontrolle der irischen Gerichte eine Unterlassungsklage zu erheben.
Der EuGH hat in seinem Urteil die Befugnisse der nationalen Aufsichtsbehörden im Rahmen der DSGVO präzisiert. Insbesondere hat er entschieden, dass die genannte Verordnung unter bestimmten Voraussetzungen einer Aufsichtsbehörde eines Mitgliedstaats gestattet, von ihrer Befugnis Gebrauch zu machen, vermeintliche Verstöße gegen die DSGV einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und in Bezug auf eine grenzüberschreitende Datenverarbeitung die Einleitung eines gerichtlichen Verfahrens zu betreiben, obgleich sie für diese Verarbeitung nicht die federführende Behörde ist.
Die Gründe:
Erstens sind die Voraussetzungen festzulegen, unter denen eine nationale Aufsichtsbehörde, die hinsichtlich einer grenzüberschreitenden Verarbeitung nicht als federführende Behörde fungiert, ihre Befugnis auszuüben hat, vermeintliche Verstöße gegen die DSGV einem Gericht eines Mitgliedstaats zur Kenntnis zu bringen und ggf. die Einleitung eines gerichtlichen Verfahrens zu betreiben. So muss zum einen die DSGVO dieser Aufsichtsbehörde eine Zuständigkeit für den Erlass einer Entscheidung, mit der festgestellt wird, dass die fragliche Verarbeitung gegen die in dieser Verordnung vorgesehenen Regeln verstößt, verleihen, und zum anderen muss diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden.
Für grenzüberschreitende Verarbeitungen sieht die DSGVO nämlich ein Verfahren der Zusammenarbeit und Kohärenz vor, das auf einer Zuständigkeitsverteilung zwischen einer "federführenden Aufsichtsbehörde" und den anderen betroffenen nationalen Aufsichtsbehörden beruht. Dieser Mechanismus erfordert eine enge, loyale und wirksame Zusammenarbeit zwischen den genannten Behörden, um zu gewährleisten, dass die Vorschriften über den Schutz personenbezogener Daten kohärent und einheitlich geschützt werden, und um somit die praktische Wirksamkeit dieses Mechanismus zu wahren. Die DSGV sieht insoweit vor, dass grundsätzlich die federführende Aufsichtsbehörde dafür zuständig ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass eine grenzüberschreitende Verarbeitung gegen die Vorschriften der Verordnung verstößt, wohingegen die Zuständigkeit der anderen nationalen Aufsichtsbehörden für den Erlass eines solchen, wenn auch nur vorläufigen, Beschlusses die Ausnahme darstellt. Indessen muss die federführende Aufsichtsbehörde bei der Wahrnehmung ihrer Zuständigkeiten insbesondere den gebotenen Dialog führen und loyal und wirksam mit den anderen betroffenen Aufsichtsbehörden zusammenarbeiten. Bei dieser Zusammenarbeit kann daher die federführende Aufsichtsbehörde die Ansichten der anderen betroffenen Aufsichtsbehörden nicht außer Acht lassen und hat ein maßgeblicher und begründeter Einspruch, der von einer anderen betroffenen Aufsichtsbehörde eingelegt wird, zur Folge, dass die Annahme des Beschlussentwurfs der federführenden Aufsichtsbehörde zumindest vorübergehend blockiert wird.
Ferner wird klargestellt, dass es mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union, die das Recht auf den Schutz der personenbezogenen Daten einer Person bzw. auf einen wirksamen Rechtsbehelf garantieren, in Einklang steht, dass eine Aufsichtsbehörde eines Mitgliedstaats, die in Bezug auf eine grenzüberschreitende Datenverarbeitung nicht die federführende Aufsichtsbehörde ist, von der Befugnis zur Geltendmachung eines vermeintlichen Verstoßes gegen die DSGVO vor einem Gericht dieses Staates nur unter Beachtung der Regeln über die Verteilung der Entscheidungsbefugnisse zwischen der federführenden Aufsichtsbehörde und den anderen Aufsichtsbehörden Gebrauch machen kann.
Zweitens wird entschieden, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Ausübung der Befugnis zur Klageerhebung , die einer Aufsichtsbehörde eines Mitgliedstaats zusteht, die nicht die federführende Aufsichtsbehörde ist, nicht voraussetzt, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, auf den sich diese Klage bezieht, über eine Hauptniederlassung oder eine andere Niederlassung im Hoheitsgebiet dieses Mitgliedstaats verfügt. Die Ausübung dieser Befugnis muss jedoch in den räumlichen Anwendungsbereich der DSGVO fallen, was voraussetzt, dass der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung im Gebiet der Union verfügt.
Drittens wird für Recht erkannt, dass im Fall einer grenzüberschreitenden Datenverarbeitung die Befugnis einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, vermeintliche Verstöße gegen die DSGVO dem Gericht dieses Staates zur Kenntnis zu bringen und ggf. die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl in Bezug auf die Hauptniederlassung des für die Verarbeitung Verantwortlichen, die sich in dem Mitgliedstaat, dem diese Behörde angehört, befindet, als auch ggü. einer anderen Niederlassung dieses Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten dieser Niederlassung erfolgt, und die genannte Behörde dafür zuständig ist, die Befugnis auszuüben.
Es wird jedoch klargestellt, dass diese Befugnis nur ausgeübt werden kann, soweit die DSGVO gilt. Da im vorliegenden Fall die Tätigkeiten der Niederlassung des Facebook-Konzerns in Belgien untrennbar mit der Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten verbunden sind, für die Facebook Ireland hinsichtlich des Unionsgebiets der Verantwortliche ist, erfolgt diese Verarbeitung "im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen" und fällt daher in den Anwendungsbereich der DSGVO.
Viertens wird entschieden, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die "federführende Aufsichtsbehörde" ist, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten, bevor die DSGV galt, eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der genannten Aufsichtsbehörde wegen Verstößen erhoben werden, die begangen wurden, nachdem die DSGVO anwendbar wurde, sofern es sich dabei um einen derjenigen Fälle handelt, in denen diese Aufsichtsbehörde nach der Verordnung ausnahmsweise befugt ist, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit eingehalten werden.
Fünftens wird die unmittelbare Wirkung der Bestimmung der DSGVO anerkannt, wonach jeder Mitgliedstaat durch Rechtsvorschriften vorsieht, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und ggf. die Einleitung eines gerichtlichen Verfahrens zu betreiben. Folglich kann sich eine Aufsichtsbehörde auf diese Vorschrift berufen, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die genannte Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.