Datenschutzwissen

Verfolgung von Datenschutzverstößen: Belgische Datenschutzbehörde schafft Präzedenzfall

Ein Urteil des Europäischen Gerichtshofs (EuGH) könnte es EU-Staaten künftig gestatten, auch außerhalb ihrer Landesgrenzen Datenschutzverstöße gerichtlich zu verfolgen.

In der DSGVO gilt eigentlich der Grundsatz, dass ausschließlich die Datenschutzbehörde für den Datenschutzverstoß eines Unternehmens verantwortlich ist, die in dem Land beheimatet ist, in dem das Unternehmen seinen Sitz hat. Das veranlasste etliche US-Großunternehmen, ihre europäischen Firmensitze einheitlich in Irland anzusiedeln, einerseits aus steuerlichen Gründen, andererseits im Bewusstsein, sich künftig ausschließlich mit den irischen Datenschützern auseinandersetzen zu müssen. Allerdings machte sich in verschiedenen europäischen Ländern bei den dortigen Datenschutzbehörden Unmut breit. Die irischen Datenschützer kamen nämlich in argen Verzug mit ihren Gerichtsverfahren, weil ja hier sämtlich Klagen gegen US-Großkonzerne anfielen.

Schon im Jahr 2015 rief Belgiens oberste Datenschutzbehörde den EuGH an, da ihr die Regelung der Zuständigkeiten ein Dorn im Auge war. Schon damals ging es um unzureichenden Datenschutz bei Facebook. Konkret ging es um den Sachverhalt, dass Facebook Nutzer nicht ausreichend über den Umfang gespeicherter Daten informiere und damit gegen Datenschutzrecht verstoße. Die belgischen Datenschützer wollten ein Verfahren anstreben, um Facebook zu mehr Datenschutz gemäß BDSG beziehungsweise jetzt DSGVO zu verpflichten. Dagegen wehrte sich die belgische FB-Niederlassung mit dem Hinweis auf Irland als Europa-Zentrale des Messenger-Dienstes.

Im aktuellen Urteil beurteilt der EuGH dies grundsätzlich anders. Ab jetzt können EU-Staaten auch außerhalb ihres Territoriums gerichtlich tätig werden, um Datenschutzsünder in die Schranken zu weisen. Allerdings hat der EuGH das Urteil mit einer Einschränkung formuliert. Denn nach wie vor gilt der Grundsatz, dass die Datenschutzbehörde zuständig ist, auf deren Territorium das zu beklagende Unternehmen seinen Firmensitz hat. Die Behörden anderer Länder haben nur in Ausnahmefällen die Berechtigung, selbst tätig zu werden. Ferner darf dies nur dann geschehen, wenn es beim beklagten DSGVO-Verstoß um grenzüberschreitende Datentransfers geht – was bei der belgischen Klage eindeutig der Fall ist und von Facebook auch so dargestellt wurde. Sogar dann hat das Urteil Bestand, wenn bislang noch keine Umsetzung der DSGVO ins nationale Rechtssystem des Mitgliedsstaats stattgefunden hat.

Die EU-Datenschützer begrüßten das Urteil des EuGH unisono. Sie sehen darin eine Bestätigung, dass damit Schluss sein muss, dass sich Konzerne allein durch die Standortwahl innerhalb Europas rechtliche Vorteile sichern. Facebook wiederum sieht sich durch die Einschränkung im Urteil in seiner Rechtsauffassung bestätigt, weil ja weiterhin der Grundsatz gelte, dass im Regelfall im Land des Firmensitzes zu verhandeln ist.

Fazit: Nun wird sich bereits in den nächsten Wochen zeigen, bei wie vielen Landes-Datenschutzbehörden das Urteil für juristische Aktivitäten sorgen wird, die vorher an der Zuständigkeitsfrage gescheitert waren.

Zurück

Hier bloggt Ihre Redaktion.