EuGH: Nationale Datenschutzbehörden haben DSGVO-Befugnisse in Irland

Nationale Datenschutzbehörden können in Ausnahmen gegen DSGVO-Verstöße vorgehen, auch wenn eigentlich Irland zuständig wäre. Das EuGH-Urteil trifft Facebook.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen

(Bild: Cryptographer/Shutterstock.com)

Lesezeit: 2 Min.

Belgische Behörden hatten eine Unterlassungsklage gegen Facebook erlassen, in der es um Verstöße gegen die Datenschutzvorschriften ging. Dass sie das Recht dazu hatten, ist jetzt vom Europäischen Gerichtshof (EuGH) bestätigt worden: "Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist."

Die Facebook Ireland, Facebook Inc und Facebook Belgium gemachten Vorwürfe betreffen die Sammlung und Verarbeitung von Daten belgischer Internetnutzerinnen und -nutzer, von denen nicht alle ein Facebook-Konto haben, mittels Cookies, Social Plugins oder per Pixel. 2015 hatte sie der Präsident des belgischen Ausschusses für den "Schutz des Privatlebens" eingereicht – also noch vor Inkrafttreten der DSGVO. Ein in Belgien zuständiges Gericht entschied, dass Facebook nicht alle Menschen ausreichend über den Umgang mit ihren Daten informiert sowie die Einwilligung gefehlt habe. Gegen dieses Urteil aus dem Jahr 2018 legte Facebook Berufung ein.

Das zuständige belgische Gericht wollte daraufhin wissen, ob es handeln darf und leitete diese Frage an den EuGH weiter. Grundsätzlich wäre als Daten-verarbeitende Instanz Facebook Ireland und damit auch die irische Datenschutzbehörde zuständig. Dort liegen bereits ähnliche Verfahren, die federführend der Datenaktivist Max Schrems führt, gegen Facebook vor, die allerdings wegen einiger Nebenschauplätze nur langsam voranschreiten. Kritiker werfen der irischen Behörde vor, absichtlich Entscheidungen zu verschleppen.

Nun heißt es vom EuGH, dass nationale Behörde reagieren dürfen, wenn dabei die "Zusammenarbeit und Kohärenz" beachtet werden. Die federführende Behörde muss reagieren, wenn eine andere Aufsichtsbehörde dies verlangt. Auch dass die ursprüngliche Klage vor der DSGVO eingereicht wurde, stellt kein Hindernis dar. Zuvor hatte es bereits eine öffentliche Empfehlung des EuGH-Generalanwalts Michal Bobek gegeben, der schrieb: "Die anderen betroffenen nationalen Datenschutzbehörden seien gleichwohl befugt, in Situationen, in denen es ihnen die Datenschutz-Grundverordnung spezifisch gestattet, derartige Verfahren in ihren jeweiligen Mitgliedsstaaten einzuleiten."

Auch Datenschutzbeauftragte aus Deutschland können nun entsprechend gegen Aktivitäten von Facebook oder etwa Google vorgehen. Die Entscheidung rechtfertigt zudem das Vorgehen des Hamburger Datenschutzbeauftragten Johannes Caspar, der gegen Facebooks Tochterunternehmen WhatsApp eine Anordnung erlies, die dem Konzern die Daten-Weitergabe untersagte.

(emw)