EU-Staaten mit mehr rechtlichen Kompetenzen gegen Internetkonzerne ausgestattet

Die nationale Datenschutzbehörde Belgiens hat einen Präzedenzfall geschaffen. Künftig können EU-Staaten nach einem Urteil des Europäischen Gerichtshofs (EuGH) auch dann DSGVO-Verstöße gerichtlich verfolgen, wenn das beklagte Unternehmen seinen Sitz in einem anderen EU-Land hat.

Grundsätzlich war in der DSGVO die Zuständigkeit von Datenschutzbehörden klar geregelt: Nur eine Aufsichtsbehörde sollte für ein Unternehmen am jeweiligen Unternehmenssitz zuständig sein. Das veranlasste etliche US-Großunternehmen, ihre europäischen Firmensitze einheitlich in Irland anzusiedeln, einerseits aus steuerlichen Gründen, andererseits im Bewusstsein, sich künftig ausschließlich mit den irischen Datenschützern auseinandersetzen zu müssen. Allerdings machte sich in verschiedenen europäischen Ländern bei den dortigen Datenschutzbehörden Unmut breit. Denn bei der obersten irischen Datenschutzbehörde kam es nach und nach zum Prozess-Stau, da ja sämtlich Klagen gegen die US-amerikanischen Internetgiganten in Irland zu verhandeln waren.

Bereits 2015 hatte die oberste belgische Datenschutzbehörde BGA eine Beschwerde gegen die bislang gängige Praxis eingelegt und sich damit an den Europäischen Gerichtshof gewandt. Konkret ging es um den Sachverhalt, dass Facebook seine Nutzer nicht ausreichend über den Umfang gespeicherter Daten informiere und damit gegen Datenschutzrecht verstoße. Die belgischen Datenschützer wollten ein Verfahren anstreben, um Facebook zu mehr Datenschutz gemäß BDSG beziehungsweise jetzt DSGVO zu verpflichten. Die belgische Facebook-Niederlassung legte Rechtsmittel gegen die BGA-Klage ein und wies darauf hin, dass ausschließlich Facebook Ireland für die Datenprozesse der europäischen Landes-Niederlassungen zuständig sei und folglich in Irland geklagt werden müsse.

Dem widersprach der EuGH in einem aktuellen Urteil. Grundsätzlich können nun also die Datenschutzbehörden jedes EU-Mitgliedsstaats gegen Unternehmen juristisch tätig werden, auch wenn der Unternehmenssitz in einem anderen EU-Land liegt. Allerdings hat der EuGH das Urteil mit einer Einschränkung formuliert. Denn nach wie vor gilt der Grundsatz, dass die Datenschutzbehörde zuständig ist, auf deren Territorium das zu beklagende Unternehmen seinen Firmensitz hat. Die Behörden anderer Länder haben nur in Ausnahmefällen die Berechtigung, selbst tätig zu werden. Ferner darf dies nur dann geschehen, wenn es beim beklagten DSGVO-Verstoß um grenzüberschreitende Datentransfers geht – was im Fall der belgischen Klage eindeutig der Fall ist und von Facebook auch so dargestellt wurde. Das Urteil gilt selbst dann, wenn die DSGVO von einem EU-Mitgliedsstaat noch nicht vollends in nationales Recht umgewandelt worden ist.

Der Entscheid des EuGH stieß auf große Zustimmung bei den europäischen Datenschutzbehörden. Denn es ist ein wichtiger Schritt gegen die inzwischen gängige Praxis von Unternehmen, sich allein durch die Standortwahl das Firmensitzes handfeste juristische Vorteile zu verschaffen. Facebook wiederum sieht sich durch die Einschränkung im Urteil in seiner Rechtsauffassung bestätigt, weil ja weiterhin der Grundsatz gelte, dass im Regelfall im Land des Firmensitzes zu verhandeln ist.

Fazit: Es bleibt mit Spannung abzuwarten, wie viele Landes-Datenschutzbehörden vom neuen Recht Gebrauch machen und gegen Tech-Giganten vor Gericht ziehen.