Die Federführung einer Aufsichtsbehörde – ein hehrer Grundsatz
Die Datenschutz-Aufsichtsbehörden in der EU sollen laut Datenschutz-Grundverordnung (DSGVO) eng zusammenarbeiten. Falls eine Verarbeitung in mehreren Mitgliedstaaten (im Extremfall in allen Mitgliedstaaten) erfolgt, ist die Aufsichtsbehörde federführend, in deren Zuständigkeitsbereich sich die Hauptniederlassung des Verantwortlichen befindet.
Das bedeutet nach der Konzeption der DSGVO, dass sie die einzige Ansprechpartnerin des Verantwortlichen ist. So steht es ausdrücklich in Art. 56 Abs. 6 DSGVO. Er lautet: „Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeitern durchgeführten grenzüberschreitenden Verarbeitung.“
Aber was ist, wenn der Federführer nichts tut?
Doch was ist, wenn es zu Verstößen gegen die DSGVO kommt und die federführende Aufsichtsbehörde schlicht nichts tut? Kann dann auch eine andere beteiligte Aufsichtsbehörde rechtlich gegen den Verantwortlichen vorgehen?
Um diese Frage für den konkreten Fall von Facebook beantworten zu können, ist zunächst ein Blick auf die Struktur des Facebook-Konzerns erforderlich.
Die Struktur von Facebook
Der Konzern „Facebook“ besteht aus einer ganzen Reihe von rechtlich selbstständigen Unternehmen. Außer der Konzernmutter Facebook Incorporated (Facebook Inc.) mit Sitz in den USA gibt es noch Facebook Ireland mit Sitz in Irland sowie weitere Gesellschaften in den einzelnen europäischen Ländern. Eine dieser weiteren Ländergesellschaften ist Facebook Belgium.
Nur Facebook Ireland ist Verarbeiter
Nach Darstellung von Facebook ist ausschließlich Facebook Ireland für die Erhebung und Verarbeitung aller personenbezogener Daten im gesamten Gebiet der Europäischen Union verantwortlich.
Die Niederlassung in Belgien sei in erster Linie gegründet worden, damit der Konzern mit ihrer Hilfe Beziehungen zu den Organen der EU unterhalten könne. Und in zweiter Linie, um Werbe- und Marketingmaßnahmen des Konzerns zu fördern, die sich an Personen in Belgien richten.
Facebook Inc. mit Sitz in den USA habe übergreifende Lenkungsaufgaben für den gesamten Konzern und nichts mit der Verarbeitung von Daten in der EU zu tun.
Diese Darstellung von Facebook akzeptieren die Datenschutzaufsichtsbehörden in der EU offensichtlich als zutreffend. Auch der EuGH stellt sie nicht infrage.
Deshalb: Federführung der inländischen Datenschutzaufsicht
Davon ausgehend ist eindeutig die irische Datenschutzaufsichtsbehörde die für Facebook zuständige federführende Aufsichtsbehörde (Art. 56 Abs. 1 DSGVO). Denn Verantwortlicher für die Verarbeitung personenbezogener Daten in der gesamten Europäischen Union ist Facebook Ireland. Und Facebook Ireland hat seinen Sitz in Irland.
Die belgische Datenschutzaufsicht hat genug und klagt
Dies war auch der belgischen Aufsichtsbehörde klar. Dennoch erhob sie vor einem belgischen Gericht eine Unterlassungsklage gegen alle drei Gesellschaften (Facebook Inc., Facebook Ireland und Facebook Belgium).
Die belgische Aufsichtsbehörde ist der Auffassung, dass Facebook im Internet Informationen nicht nur zum Surfverhalten der Personen sammelt, die Inhaber eines Facebook-Kontos sind. Vielmehr sammle Facebook außerdem auch Informationen über das Surfverhalten von Personen, die Facebook überhaupt nicht selbst nutzen. Dies geschieht nach Auffassung der Aufsichtsbehörde über verschiedene Technologien wie Cookies, Social Plugins (wie etwa den Button „Gefällt mir“) und Pixel.
Dies hält die belgische Aufsichtsbehörde für unzulässig. Deshalb fordert sie von allen drei Gesellschaften, solche Technologien künftig nicht mehr einzusetzen.
Das Gericht nimmt die Klage nur zum Teil an
Das Berufungsgericht Brüssel als zuständiges belgisches Gericht sieht die Angelegenheit differenziert. Hinsichtlich der Klage gegen Facebook Belgium hält es sich für zuständig. Hinsichtlich der Klage gegen Facebook Ireland und gegen Facebook Inc. hat es sich dagegen für unzuständig erklärt.
Diese Differenzierung ergibt sich nach Auffassung des Gerichts aus dem System der Zusammenarbeit zwischen den Aufsichtsbehörden in der EU, wie es in der DSGVO angelegt ist.
Da die Verantwortung für die Verarbeitung von Daten durch Facebook im Gebiet der EU ausschließlich bei Facebook Ireland liege, sei ausschließlich die irische Datenschutzaufsicht dafür zuständig, mit einer Unterlassungsklage gegen Facebook Ireland und Facebook Inc. vorzugehen.
Es bittet den EuGH um eine rechtliche Klärung
Ob diese Auffassung zutrifft, hängt davon ab, wie die DSGVO auszulegen ist.
Rechtsprechung des Europäischen Gerichtshofs (EuGH) aus der Zeit seit dem Inkrafttreten der DSGVO gibt es zu dieser Frage nicht. Deshalb hat das Gericht beschlossen, die Angelegenheit dem EuGH vorzulegen.
Wenn Unklarheiten über die Auslegung von EU-Recht bestehen, ist es Sache des EuGH, sie zu klären.