DSGVO: Nicht nur Irland ist für Facebooks Datenschutz zuständig

Der Europäische Gerichtshof (EuGH) stärkt die Kompetenzen der nationalen Datenschutzbehörden. Einem am Dienstag veröffentlichten Urteil zufolge dürfen belgische Datenschützer juristisch gegen Facebook vorgehen, obwohl das Unternehmen seinen europäischen Hauptsitz in Irland hat. Die EU-Datenschutzgrundverordnung (DSGVO) erlaube es "unter bestimmten Voraussetzungen" einer nationalen Behörde, gegen Datenschutzverstöße vorzugehen, auch wenn wegen des Herkunftslandsprinzips eigentlich eine andere Behörde federführend für ein Unternehmen zuständig sei, teilte der EuGH mit (PDF).

Hintergrund ist ein Streit um die Verarbeitung personenbezogener Daten durch Facebook in Belgien. Facebook Belgium macht dabei unter Berufung auf die DSGVO geltend, die nationale Datenschutzbehörde sei nicht zuständig. Vielmehr sehe das EU-Regelwerk vor, dass die Datenschutzbehörde jenes Landes zuständig sei, in dem sich die Hauptniederlassung von Facebook in der EU befinde - also die irische. Ein belgisches Gericht wollte deshalb vom EuGH wissen, ob die DSGVO andere Datenschutzbehörden tatsächlich daran hindere, wegen Verstößen bei der grenzüberschreitenden Datenverarbeitung in ihrem Land ein Gerichtsverfahren zu betreiben.

Der EuGH folgte in seiner Entscheidung dem im Januar 2021 veröffentlichten Gutachten von Generalanwalt Michal Bobek und stellte mehrere Grundsätze für die Zuständigkeit von Behörden auf.

Demnach ist eine solche Klage im Rahmen der DSGVO-Vorgaben durchaus möglich. Dabei ist es nicht erforderlich, dass das Unternehmen eine eigene Niederlassung in dem EU-Mitgliedstaat hat. Im Gegenzug kann die Klage sowohl gegen die Hauptniederlassung des Unternehmens in einem anderen Mitgliedstaat als auch gegen jede andere Niederlassung in der EU erhoben werden. Zudem kann eine Klage auch noch unter Berufung auf die EU-Datenschutzrichtlinie von 1995 fortgeführt werden, obwohl diese eigentlich im Mai 2018 von der DSGVO abgelöst wurde.

Zu guter Letzt entschieden die Luxemburger Richter, dass sich nationale Datenschutzbehörden unmittelbar auf die entsprechenden Vorgaben der DSGVO berufen können, auch wenn diese Vorschriften nicht speziell in die nationale Gesetzgebung überführt wurden.

Kritik an irischer Behörde

Da viele US-Konzerne wie Apple, Facebook, Twitter, Google und Amazon sich in Ländern wie Irland und Luxemburg angesiedelt haben, müssen die dortigen Behörden besonders viele Beschwerden bearbeiten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Politiker und Datenschützer aus den übrigen EU-Staaten stören sich schon seit längerem daran, dass die irische Datenschutzbehörde eher schleppend gegen die großen IT-Konzerne wie Facebook vorgeht, die in Irland ihren europäischen Firmensitz haben. Die Vizepräsidentin des EU-Parlaments, Katarina Barley (SPD), stellte im Februar 2020 die Zuständigkeit Irlands für Facebook infrage. Die dortige Behörde habe nicht die "nötige Durchsetzungskraft", sagte die frühere Bundesjustizministerin.

Der Bundesdatenschutzbeauftragte Ulrich Kelber favorisiert hingegen ein anderes Verfahren. "Mir persönlich würde auch ein System gefallen, eine europäische Datenschutzagentur oder -behörde zu haben, der der Europäische Datenschutzausschuss mit einer Dreiviertelmehrheit große, grenzüberschreitende Fälle übertragen kann", sagte er. Der Datenschutzausschuss EDSA besteht aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten.