EuGH-Urteil vom 15.6.2021, Rechtssache C-645/19
Sachverhalt:
2015 erhob der Präsident der CBPL (des belgischen Ausschusses für den Schutz des Privatlebens) eine Unterlassungsklage gegen Facebook Ireland, Facebook Inc. und Facebook Belgium. Es wurde die Beendigung eines „schweren Verstoßes gegen die Rechtsvorschriften im Bereich des Schutzes des Privatlebens“ begehrt. Facebook habe Informationen über das Surfverhalten sowohl der Inhaber eines Facebook-Kontos als auch der Personen, die die Dienste von Facebook nicht nutzen, mittels verschiedener Technologien wie Cookies, Social Plugins (z. B. die Buttons „Gefällt mir“ oder „Teilen“) oder Pixeln gesammelt.
Das erstinstanzliche Gericht gab der Unterlassungsklage statt. Facebook habe die belgischen Internetnutzer nicht ausreichend über die Erhebung und Nutzung der betreffenden Daten informiert. Es stellte außerdem fest, dass die von den Internetnutzern erteilte Einwilligung zur Erhebung und Verarbeitung der Daten nicht wirksam sei.
Facebook legte Berufung gegen dieses Urteil ein. Im Berufungsverfahren trat die belgische Datenschutzbehörde (im Folgenden: GBA) als Rechtsnachfolgerin des Präsidenten der CBLP auf. Das Gericht erklärte sich für die Entscheidung über die Berufung jedoch nur insoweit für zuständig, als diese Facebook Belgium betrifft. Soweit die Berufung Facebook Ireland und die Facebook Inc. betrifft, erklärte es sich hingegen für unzuständig. Da festgestellt worden sei, dass Facebook Ireland für die Verarbeitung der Daten verantwortlich ist, sei nach dem Verfahren der Zusammenarbeit und Kohärenz sei nach Art. 56 der Verordnung 2016/679 (DSGVO) seit dem 25. Mai 2018 offenbar allein der Data Protection Commissioner zuständig, der allein der Kontrolle durch die irischen Gerichte unterliege.
Der Appellationshof Brüssel setzte das Verfahren aus und legte es dem EuGH zur Vorabentscheidung vor.
Entscheidung:
Der EuGH entschied in seinem gestrigen Urteil, dass eine nationale Aufsichtsbehörde, die hinsichtlich einer grenzüberschreitenden Verarbeitung nicht als federführende Behörde fungiert, vermeintliche Verstöße gegen die DSGVO einem Gericht eines Mitgliedstaats zur Kenntnis bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens betreiben kann. Für grenzüberschreitende Verarbeitungen sieht die DSGVO ein Verfahren der Zusammenarbeit und Kohärenz vor (Art. 56 Abs. 1 DSGVO), das auf einer Zuständigkeitsverteilung zwischen einer „federführenden Aufsichtsbehörde“ und den anderen betroffenen nationalen Aufsichtsbehörden beruht. Die DSGVO sieht insoweit vor, dass grundsätzlich die federführende Aufsichtsbehörde für die Feststellung zuständig ist, ob eine grenzüberschreitende Verarbeitung gegen die Vorschriften der DSGVO verstößt, während die Zuständigkeit andere nationaler Aufsichtsbehörden die Ausnahme darstellt. Die federführende Aufsichtsbehörde muss wirksam mit den anderen betroffenen Aufsichtsbehörden zusammenarbeiten. Bei dieser Zusammenarbeit sind die Ansichten der anderen betroffenen Aufsichtsbehörden nicht außer Acht zu lassen; ein begründeter Einspruch einer anderen betroffenen Aufsichtsbehörde kann den Beschluss der federführenden Aufsichtsbehörde zumindest vorübergehend blockieren. Dies entspricht auch den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union, die das Recht auf den Schutz der personenbezogenen Daten einer Person bzw. auf einen wirksamen Rechtsbehelf garantieren.
Der EuGH entschied zudem, dass die Klagebefugnis einer (nicht federführenden) Aufsichtsbehörde nicht voraussetzt, dass der beklagte Datenverarbeiter über eine Hauptniederlassung oder eine andere Niederlassung im Hoheitsgebiet dieses Mitgliedstaats verfügt. Der für die grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter muss jedoch über eine Niederlassung im Gebiet der EU verfügen.
Im Fall einer grenzüberschreitenden Datenverarbeitung bezieht sich die Befugnis der (nicht federführenden) Aufsichtsbehörde sowohl auf die Hauptniederlassung des für die Verarbeitung Verantwortlichen als auch auf andere Niederlassungen, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten dieser Niederlassung erfolgt. Da im vorliegenden Fall die Tätigkeiten der Niederlassung des Facebook-Konzerns in Belgien mit der Verarbeitung der in Rede stehenden personenbezogenen Daten untrennbar verbunden sind, für die Facebook Ireland hinsichtlich des Unionsgebiets der Verantwortliche ist, erfolgt diese Verarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen“ und fällt daher in den Anwendungsbereich der DSGVO.
Klagen, die vor Inkrafttreten der DSGVO anhängig gemacht wurden, können aufrechterhalten werden, sofern diese auf Grundlage der Vorschriften der Richtlinie 95/46/EG (Datenschutzrichtlinie) beruhen. Für Verstößen nach Inkrafttreten der DSGVO kann ausnahmsweise eine (nicht federführenden) Aufsichtsbehörde zur Entscheidung befugt sein, sofern es sich dabei um einen derjenigen Fälle handelt, in denen diese Aufsichtsbehörde nach der DSGVO ausnahmsweise befugt ist.
Zu guter Letzt betonte der EuGH die unmittelbare Wirkung der Bestimmung der DSGVO, weshalb sich eine Aufsichtsbehörde auch auf diese Vorschrift berufen kann, auch wenn die DSGVO in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.
Weitere Blog-Beiträge zum Thema Facebook und Datenschutz:
EuGH zum Facebook-„Like“-Button auf Website von Online-Shop: Gemeinsame Verantwortung
EuGH: Facebook-Fanpage-Betreiber sind (mit)verantwortlich für Datensammlungen über ihre Nutzer