Die irische Datenschutzbehörde ist die wohl mächtigste Datenschutzbehörde in Europa. Sie kontrolliert die großen Konzerne wie Facebook und Google. Es wird jedoch gerade noch darüber diskutiert, ob für die grenzüberschreitende Datenverarbeitung durch Facebook nur die irische Datenschutzbehörde zuständig ist. Der EuGH wird demnächst darüber ein Urteil fällen. Inwiefern die rechtliche Regelung der DSGVO dazu steht, zeigen wir in diesem Blogbeitrag.
Grundlegender Streitpunkt in dem Verfahren (EuGH, Rs. C-645/19) gegen Facebook ist, ob die DSGVO den betroffenen Datenschutzbehörden aus den jeweiligen Mitgliedstaaten verbietet, gegen DSGVO-Verstöße hinsichtlich der grenzüberschreitenden Datenverarbeitung vorzugehen oder ob dies ausschließlich in der Zuständigkeit der irischen Datenschutzbehörde liegt.
Der Generalanwalt Michal Bobek legt dabei in einer Pressemitteilung vom 13. Januar diesen Jahres in den Schlussanträgen seine Meinung offen, dass “die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit habe, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehöre; folglich seien die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden weniger umfassend.” Dies entspricht vor allem dem Wortlaut des Art. 56 Abs. 1 und Abs. 6 DSGVO: “Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.”
Nach Art. 55 Abs. 1 i.V.m. Art. 57 Abs. 1 lit. a DSGVO ist grundsätzlich jede Aufsichtsbehörde für die Durchsetzung der DSGVO-Vorgaben im Hoheitsgebiet ihres jeweiligen Mitgliedstaats zuständig. Mit der Einführung der DSGVO wurde jedoch das sog. “One-Stop-Shop”-Mechanismus mit dem Zweck eingeführt, eine zentrale Anlaufstelle bei der grenzüberschreitenden Datenverarbeitung zu eröffnen. Somit werden vor allem Zeit und Kosten, die bei der Kontaktaufnahme zu den verschiedenen nationalen Datenschutzbehörden entstehen würden, gespart. Bei der grenzüberschreitenden Datenverarbeitung ist mithin die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters die zuständige federführende Aufsichtsbehörde gem. Art 56 Abs.1 DSGVO.
Gem. Art. 60 Abs.1 tritt zudem die federführende Aufsichtsbehörde nicht nur nach außen als zentrale Kontaktstelle in Erscheinung, sondern sie arbeitet auch mit den anderen betroffenen Aufsichtsbehörden zusammen und sind gem. Art. 60 Abs.1 S.2 DSGVO dazu verpflichtet, untereinander alle zweckdienlichen Informationen auszutauschen. Zudem muss gem. Art 60 Abs.3 DSGVO die federführende Aufsichtsbehörde den anderen betroffenen Aufsichtsbehörden ihren Beschlussentwurf zur Stellungnahme vorlegen und hat somit keine alleinige Entscheidungsbefugnis.
Inwiefern der EuGH diesbezüglich entscheidet, ist noch offen und bleibt abzuwarten. Zwar hat der Generalanwalt Michal Bobek seine Schlussanträge vorgetragen, der EuGH ist jedoch nicht an diese gebunden und es ist fraglich, ob der EuGH den Anträgen des Generalanwalts folgen wird. Das vorliegende Verfahren wird an dem Hof “van beroep te Brussel”, dem Berufungsgericht Brüssels, in den kommenden Monaten entschieden.