Im Rahmen eines Vorabentscheidungsverfahrens hat der EuGH (C-645/19, Link zur Entscheidung unten) am 15. Juni 2021 eine spannende Entscheidung betreffend die Zuständigkeit nationaler Aufsichtsbehörden bei grenzüberschreitenden Verstößen gegen die datenschutzrechtlichen Bestimmungen gefällt.
Hintergrund dieses Vorabentscheidungsverfahrens war ein Rechtsstreit zwischen der belgischen Aufsichtsbehörde und drei Unternehmen der Facebook-Gruppe aus dem Jahr 2015. Gegenstand dieses Verfahrens war unter anderem das Setzen von entsprechenden Cookies ohne Einwilligung, die Datenverarbeitung mittels Social-Plugins und die Löschung von personenbezogenen Daten belgischer Nutzer, die mittels Cookies und Social-Plugins verarbeitet wurden. Facebook brachte im Wesentlichen vor, dass die belgische Aufsichtsbehörde im Verfahren nicht federführend sei, da der Sitz der Facebook-Gruppe in Irland liege und sohin die irische Aufsichtsbehörde zuständig sei.
Gemäß der Entscheidung des EuGH können nationale Aufsichtsbehörden, die hinsichtlich einer grenzüberschreitenden Verarbeitung nicht federführend sind, unter Umständen bei vermeintlichen Verstößen tätig werden, auch dann wenn der Sitz des Verantwortlichen nicht im Gebiet „ihres“ Mitgliedstaats liegt. Eine solche Zuständigkeit ist dann gegeben, wenn die Bestimmungen DSGVO der jeweiligen Aufsichtsbehörde eine eigene Zuständigkeit für den Erlass einer Entscheidung einräumen und das Verfahren der Zusammenarbeit und Kohärenz eingehalten wird.
Das Verfahren der Zusammenarbeit und der Kohärenz sieht grundsätzlich eine Verteilung der Zuständigkeit zwischen den verschiedenen nationalen Aufsichtsbehörden vor. Dadurch soll gewährleistet werden, dass der Schutz von personenbezogenen Daten in der EU einheitlich gewahrt wird.
Grundsätzlich obliegt es der federführenden Aufsichtsbehörde, den Beschluss zu fassen, ob eine grenzüberschreitende Verarbeitung gegen die DSGVO verstößt. Allerdings darf dieses Verfahren nicht dazu beitragen, dass die Bestimmungen der DSGVO umgangen werden können. Aus diesem Grund muss auch für die nicht-federführenden Behörde bei Erfüllung der entsprechenden Anforderungen die Möglichkeit bestehen, eigenständig tätig zu werden.
Darüber hinaus stellte der EuGH fest, dass die Ausübung der Befugnis einer Aufsichtsbehörde nicht voraussetzt, dass der Verantwortliche oder Auftragsverarbeiter überhaupt eine (Haupt-)Niederlassung im Gebiet des Mitgliedstaates der Aufsichtsbehörde hat, sofern die DSGVO anwendbar ist.
Zudem soll es auch einer nicht-federführenden Aufsichtsbehörde möglich sein, ein Verfahren sowohl gegen die Hauptniederlassung des Verantwortlichen im jeweiligen Mitgliedstaat als auch gegenüber andern Niederlassungen zu führen, wenn die mutmaßliche rechtswidrige Datenverarbeitung in eben jener stattfindet.
Im Ergebnis soll also weiterhin grundsätzlich die federführende Aufsichtsbehörde zuständig sein. Allerdings können bei vermuteten Verstößen auch nicht-federführende Aufsichtsbehörden tätig werden, sofern die Anforderungen hierfür erfüllt sind. Der EuGH stärkt damit die Rolle der nationalen Aufsichtsbehörden bei grenzüberschreitenden DSGVO-Verstößen. Aus diesem Grund ist es für Verantwortliche dringend empfehlenswert, zu prüfen, ob und inwieweit die Datenverarbeitungen grenzüberschreitend stattfinden, welche Anknüpfungspunkte zu anderen Staaten bestehen und ob die Datenverarbeitungen auch rechtskonform ausgestaltet sind.
PS: Den Link zur Entscheidung des EuGH C-645/19 vom 15.06.2021 finden Sie hier.