Aktuelles – Dürfen auch nationale Datenschutzbehörden gegen Facebook vorgehen und falls das der Fall ist, unter welchen Voraussetzungen?
Richtungsweisende Entscheidung des Europäischen Gerichtshofes
Paukenschlag in Luxembourg: Nach Auffassung des EuGH dürfen auch Behörden gegen Unternehmen tätig werden, die für das betroffene Unternehmen nicht die sog. federführende Behörde sind. Die federführende Behörde ist nach art. 56 DSGVO die Behörde der Hauptniederlassung oder der einzigen Niederlassung des betroffenen Unternehmens für grenzüberschreitende Verarbeitungen. Der EuGH schiebt der Warteschlange vor der irländischen Datenschutzbehörde somit einen Riegel vor und hält nunmehr auch nationale Datenschutzbehörden für Verfahren gegen Facebook für zuständig, soweit bestimmte Voraussetzungen erfüllt sind (vgl. EuGH, 15.06.2021 – C-645/19).
Anlass und Hintergrund für diese Auffassung ist eine Rechtsstreitigkeit der belgischen Datenschutzbehörde gegen mehrere Unternehmen der Facebook-Gruppe aus September 2015. Die belgische Datenschutzbehörde beantragte vor dem nationalen belgischen Gericht, dass Facebook für das Platzieren von Cookies eine wirksame Rechtsgrundlage in Form einer Einwilligung bedürfe und die umfassende Erhebung von personenbezogenen Daten mittels Social Plugins zu unterlassen habe. Nach Inkrafttreten der DSGVO sah Facebook Belgium eine Zuständigkeit für eine Verfahrensführung durch die belgische Aufsichtsbehörde jedoch nicht mehr als gegeben an. Demnach sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der Europäischen Union (EU) befinde, zu einer Verfahrensführung befugt. Dies sieht der EuGH mit seinem Urteil vom 15.06.2021 weitestgehend anders. Demnach ist unter folgenden Voraussetzungen die Zuständigkeit von nationalen Aufsichtsbehörden als gegeben anzusehen:
- Das datenverarbeitende Unternehmen hat eine Niederlassung im Hoheitsgebiet der EU.
- Die federführende Aufsichtsbehörde muss der nationalen Aufsichtsbehörde eine Zuständigkeit für den Erlass einer Entscheidung verleihen.
- Die federführende Aufsichtsbehörde arbeitet nach Art. 60 DSGVO mit der nationalen Aufsichtsbehörden im Einklang mit der DSGVO zusammen und bemüht sich dabei durch den Austausch von Informationen, einen Konsens bei der Verfahrensführung zu erzielen.
Infolgedessen steht nationalen Aufsichtsbehörden also nur eine Zuständigkeit zu, wenn diese von der federführenden Aufsichtsbehörde übertragen wurde. Dieser Umstand stellt jedoch einen Lichtblick für betroffene Personen dar: Es gibt nun die Möglichkeit, gezielter gegen Unternehmen wie Facebook vorzugehen und auf diese Weise die Rechte und Freiheiten natürlicher Personen zu stärken.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
