EuGH und DS-GVO: Wann darf eine nicht federführende Datenschutzbehörde einschreiten?

von Dr. Axel Spies, veröffentlicht am 14.01.2021

Der neue Schlussantrag des EuGH Generalanwalts Bobek zur Kompetenz der nationalen Datenschutzbehörden bei Fällen über die Staatsgrenzen hinweg ist lesenswert, weil manche Datenschutzbehörden proaktiver sind als andere.

Der Generalanwalt betont, dass die federführende Datenschutzbehörde (Art. 56 DS-GVO) nicht als alleiniger Vollstrecker der DS-GVO in grenzüberschreitenden Situationen angesehen werden kann und in Übereinstimmung mit den einschlägigen Regeln und Fristen der DS-GVO eng mit den anderen Datenschutzbehörden zusammenarbeiten muss.

Wichtig zu wissen: Die Stellungnahme ist nicht endgültig, da letztendlich nur der Gerichtshof selbst eine Entscheidung treffen kann. Einen Termin für eine Entscheidung gibt es aber noch nicht. Der Fall ist seit 2015 (also lange vor der DS-GVO) im Gange, als die belgische Datenschutzbehörde einen großen US Social Media Anbieter vor Gericht brachte. In dem Verfahren geht es um Informationen über das Surfverhalten von Internetnutzern in Belgien und die Datensammlung mittels Cookies.

Hier einige Kernaussagen aus dem Schlussantrag:

Erw. 89: Ich komme somit zu dem Ergebnis, dass eine am Wortlaut und Kontext orientierte sowie eine teleologische und entstehungsgeschichtliche Auslegung der einschlägigen Bestimmungen der DSGVO bestätigt, dass die Aufsichtsbehörden die in der Verordnung vorgesehenen Regelungen zur Zuständigkeit und zu den Mechanismen und Verfahren der Zusammenarbeit und Kohärenz einzuhalten haben. Soweit sie sich mit einer grenzüberschreitenden Verarbeitung konfrontiert sehen, müssen diese Behörden innerhalb des von der DSGVO eingerichteten Rahmens handeln.

Erw. 140: Dementsprechend ist die erste Frage dahin zu beantworten, dass die Aufsichtsbehörde eines Mitgliedstaats nach den Bestimmungen der DSGVO befugt ist, vor einem Gericht ihres Staates Klage wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung zu erheben, auch wenn sie nicht die federführende Aufsichtsbehörde ist, sofern dies im Rahmen der in der DSGVO vorgesehenen Fälle und Verfahren geschieht.

Der Generalanwalt stellt die One-Shop-Stop Regel in der DS-GVO an sich nicht in Frage. Er spricht sich jedoch für Ausnahmen aus. Der Schlussantrag wirft eine Reihe von Abgrenzungsfragen auf, die nach dem Schlussantrag beim vorlegenden Gericht abgeladen werden, das nun prüfen muss, ob die nicht federführende Datenschutzbehörde in Belgien das Verfahren und Mechanismen der DS-GVO in der vorliegenden Rechtssache eingehalten hat.  

Was meinen Sie: Ist diese Auslegung der Vorschriften zur One-Shop-Stop Regel gerechtfertigt?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

5 Kommentare

Kommentare als Feed abonnieren

Da scharren schon einige „proaktive“ deutsche Datenschutzbehörden erwartungsfroh mit den Hufen. Sie haben sich teils lautstark beklagt, dass Irland gegen FB, um das es hier natürlich geht, viel zu lasch vorgeht.  

Aber Vorsicht, der Generalanwalt räumt in FN 70 ein:

 “Es soll hier im Übrigen nicht behauptet werden, dass die soeben angeführten Beispiele eine abschließende Aufzählung darstellten. Könnte es außerdem nicht auch den Fall geben, dass durch die in einem bestimmten Fall einer grenzüberschreitenden Verarbeitung – sei es einvernehmlich zwischen der federführenden und den betroffenen Aufsichtsbehörden oder nach Streitbeilegung durch den Ausschuss – getroffene endgültige Entscheidung eine oder mehrere betroffene Aufsichtsbehörden damit beauftragt werden könnten, in ihrem jeweiligen Hoheitsgebiet bestimmte Durchsetzungsakte durchzuführen, wozu z. B. auch die Einleitung eines gerichtlichen Verfahrens gehören könnte?”

Schnellschüssen deutscher Aufsichtsbehörden gegen FB ist damit ein Riegel vorgeschoben, die aber weiter versuchen werden, die irische Behörde zum Jagen zu tragen.

0

Die Qualität der Arbeit von Behörden ist nicht überall gleich.

In Deutschland, den Niederlanden, Dänemark, Schweden, wird im Großen und Ganzen meist recht ordentlich gearbeitet.

In Malta, Rumänien, Bulgarien, und wenn es um sehr viel Geld geht vielleicht auch in Irland, kann man das vielleicht nicht von Vorneherein so ohne weiteres sagen.

Wenn deutsche Staatsbürger auf dem Territorium der Bundesrepublik Deutschland betroffen sind, dann sollten deutsche Behörden auch das Recht haben, die Bürger zu schützen, auch wenn das Unternehmen, von dem die rechtsgefährdungen ausgehen, im Ausland seinen Sitz hat.

0

In manchen Staaten achten die Regierungen und Behörden nicht so intensiv auf die Interessen und Rechte ihrer Bürger, sondern setzen andere Prioritäten, um bei Ansiedlungen von Niederlassungen internationaler Konzerne Standortvorteile zu bieten.

Solches Entgegenkommen gibt es im Bereich des Arbeitsrechts, des Steuerechts, und des Datenschutzrechts, und nicht nur bei der Normierung des Rechts, sondern auch bei der Verwaltungspraxis.

Angesichts unterschiedlich hoher Schutzniveaus kann sich ein Staat nicht darauf verlassen, daß ein anderer Staat hinreichend sorgfältig gearbeitet hat.

0

Das ist schon richtig, aber in der DSGVO gibt es in den Artikeln 56 und 60 detaillierte Vorschriften, wie die Zusammenarbeit der Behörden abläuft. Diese Regeln sollte der EuGH nicht unterlaufen.

0

Kommentar hinzufügen