DSGVO: EuGH bestätigt Befugnisse nationaler Datenschutzbehörden

Der Europäische Gerichtshof hat bestätigt, dass nationale Regulierungsbehörden zumindest unter bestimmten Umständen Untersuchungen zu möglichen Verstößen gegen die Datenschutzgrundverordnung einleiten können, selbst wenn sich die zuständige Datenschutzbehörde in einem anderen Land befindet. Das Urteil hebt die bisherigen Regelungen nicht auf, sorgt aber für mehr Flexibilität, wenn es um eine grenzüberschreitende Datenverarbeitung geht.

Auslöser für die Entscheidung ist ein Streit zwischen der belgischen Datenschutzbehörde und Facebook. Sie will verhindern, dass das Social Network Cookies und andere Tracking-Werkzeuge benutzt, um die Aktivitäten von belgischen Nutzern im Internet zu verfolgen. Das Verfahren der belgischen Behörde wurde bereits im Jahr 2015 angeworfen, also vor Inkrafttreten der DSGVO.

Facebook hatte stets die Zuständigkeit belgischer Behörden bestritten, da es seinen Firmensitz in Irland hat – was eigentlich auch von den EU-Regeln gedeckt wird, die für jedes Unternehmen eine zuständige Datenschutzbehörde vorsehen. Unter bestimmten Umständen sind laut EuGH aber auch Ausnahmen möglich.

” Unter bestimmten Bedingungen kann eine nationale Aufsichtsbehörde von ihrer Befugnis Gebrauch machen, einen mutmaßlichen Verstoß gegen die DSGVO vor ein Gericht eines Mitgliedstaats zu bringen, auch wenn diese Behörde nicht die federführende Aufsichtsbehörde in Bezug auf diese Verarbeitung ist”, heißt es in dem Urteil.

Im vorliegenden Fall betonte das Gericht unter anderem, dass die belgische Niederlassung von Facebook “untrennbar” mit der Verarbeitung der fraglichen personenbezogenen Daten verbunden ist. Die Verarbeitung erfolge “im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen”.

Facebook betonte in einer ersten Stellungnahme vor allem, dass der EuGH die Regelungen für die federführenden Aufsichtsbehörden nicht generell aufgehoben habe. ” Wir freuen uns, dass der EuGH den Wert und die Grundsätze des Mechanismus bestätigt und seine Bedeutung für die effiziente und einheitliche Anwendung der DSGVO in der EU hervorgehoben hat”, sagte Jack Gilbert, Associate General Counsel bei Facebook.

Das Urteil kann trotzdem als Niederlage für die irische Datenschutzbehörde angesehen werden. Ihr wird immer wieder vorgeworfen, Beschwerden gegen Technikkonzerne wie Facebook nur unzureichend zu verfolgen. Zumindest unter den nun vom EuGH genannten Bedingungen könnten nationale Behörden nun eigene Verfahren wegen Verstößen gegen die DSGVO anstrengen – was natürlich auch für die irische Behörde in Bezug auf Unternehmen gilt, die ihre Hauptniederlassung ein einem anderen EU-Staat haben.