EuGH-Urteil stärkt Datenschutzbehörden gegenüber US-Tech-Konzernen
Ein Urteil des EuGH ermöglicht sämtlichen europäischen Datenschutzbehörden die Regulierung von US-Unternehmen, deren europäische Niederlassung in Irland sitzt.
- Joerg Heidrich
Viele US-Tech-Konzerne haben ihre europäischen Hauptniederlassungen in Irland, beispielsweise Facebook, Microsoft und Google. Dies hat mit den dortigen, extrem niedrigen Steuersätzen zu tun, es gibt aber noch einen weiteren Grund: Während die Konzerne von Datenschutz-Aufsichtsbehörden etwa in Frankreich oder Deutschland stark kritisiert werden, haben sie in Irland bisher wenig zu befürchten.
Die irische Datenschutzbehörde Data Protection Commission (DPC) hat sich in den drei Jahren seit Anwendung der DSGVO den Ruf aufgebaut, auf jegliche ernst zu nehmende Regulierung der ortsansässigen Unternehmen zu verzichten. Zuletzt kündigte Behördenleiterin Helen Dixon im Rahmen einer Anhörung an, dass die DPC plane, im Jahr 2021 nur sechs bis sieben von mehr als 10.000 im Jahr 2020 aufgelaufenen Beschwerden zu entscheiden. Dieses laxe Vorgehen hat erhebliche Auswirkungen auf die Glaubwürdigkeit des gesamten europäischen Datenschutzes, denn bislang konnte nur die DPC die US-Konzerne datenschutzrechtlich in die Schranken weisen.
Ursache ist das Prinzip des "One Stop Shop", das Artikel 56 DSGVO regelt. Danach ist bei grenzüberschreitender Datenverarbeitung die sogenannte federführende Aufsichtsbehörde der alleinige Ansprechpartner für die Einhaltung der Datenschutzvorgaben. Welche das ist, bestimmt sich nach dem Sitz der Hauptniederlassung des jeweiligen Unternehmens.
Dass die DPC gegenüber den Tech-Riesen so passiv bleibt, bringt Aufseher anderer Staaten immer mehr gegen sie auf. Der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber etwa beschwerte sich offiziell beim EU-Parlament und betonte, Commissioner Dixon stehe mit ihren Auffassungen im Kreis der EU-Aufsichtsbehörden oft isoliert da. Die irische Behörde unterbinde mit ihrer Haltung "zu einem gewissen Grad etwaige Initiativen anderer Aufsichtsbehörden".
Blockade gelöst
Diese Blockade brach der Europäische Gerichtshof (EuGH) mit einem aufsehenerregenden Urteil vom 15. 6. 2021 (Az.: C-645/19), das die strenge Auslegung des One-Stop-Shop-Prinzips ad acta legt. Im Ergebnis ermöglicht das Urteil jetzt auch Datenschutzbehörden anderer EU-Staaten, unter bestimmten Voraussetzungen in die irische Regulierung der US-Multis einzugreifen.
Konkret ging es um eine Klage der belgischen Datenschutzaufsicht gegen Facebook, die bereits 2015 erhoben wurde. Gegenstand des Verfahrens vor belgischen Gerichten waren Vorwürfe, Facebook habe Daten über das Verhalten von Internetnutzern in Belgien auf unrechtmäßige Weise erhoben und verarbeitet, und zwar mit Cookies, Tracking-Pixeln und Social-Plug-ins. Zwar unterhält der US-Konzern auch eine Niederlassung in Belgien, die europäische Hauptniederlassung befindet sich aber im irischen Dublin.
In der ersten Instanz war die belgische Datenschutzaufsicht erfolgreich. Gegen diese Entscheidung legte Facebook bereits 2016 Rechtsmittel beim Berufungsgericht in Brüssel ein. Nachdem sich Mitte 2018 die Rechtslage durch die Anwendung der DSGVO geändert hatte, legte das Gericht dem EuGH Fragen rund um die Zuständigkeit der Aufsichtsbehörden bei grenzüberschreitenden Datenverarbeitungen zur Vorabentscheidung vor. Der EuGH kam zum Ergebnis, dass auch eine nationale Aufsichtsbehörde die Befugnis haben kann, Verstöße gegen die DSGVO vor einem Gericht des jeweiligen EU-Landes geltend zu machen. Dies gelte auch dann, wenn sie in Bezug auf die fragliche Verarbeitung nicht die federführende Behörde ist.
Verpflichtung zur Zusammenarbeit
Voraussetzung für dieses eigenverantwortliche Handeln sei, dass sich die Zuständigkeit der Aufsichtsbehörde für solche Maßnahmen aus der DSGVO ergebe und die Tätigkeiten unter Beachtung der vorgesehenen "Verfahren der Zusammenarbeit und Kohärenz ausgeübt werden". Hieraus ergebe sich die Verpflichtung zu einer Zusammenarbeit der beiden beteiligten Landesbehörden.
Das EuGH-Urteil dürfte vielen Kritikern der irischen Behörde Auftrieb geben, beispielsweise dem scheidenden Hamburgischen Datenschutzbeauftragten Johannes Caspar. Dieser hatte sich wiederholt über die offenkundige Untätigkeit seiner Kollegin aus Irland echauffiert. Mitte Mai erließ seine Behörde eine Anordnung, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. Die Erfolgsaussichten, dass diese Anordnung vor Gericht standhalten wird, sind durch die Entscheidung des EuGH merklich gestiegen.
In c’t 16/2021 haben wir das neue kachelfreie Windows 11 getestet, erläutern dessen Systemanforderungen, den neuen Store und wie Sie die neue Vorabversion kostenlos selbst ausprobieren. Warum Quantencomputer die klassische Verschlüsselung bedrohen, zeigen wir in einem weiteren Schwerpunkt auf. Außerdem widmen wir uns dem Alleskönner USB-C, testen lange Kabel, Kopfhörer mit Geräuschunterdrückung und Apps fürs Rückentraining. Ausgabe 16/2021 finden Sie ab dem 6. Juli im Heise-Shop und am gut sortierten Zeitschriftenkiosk.
(hob)