EuGH C‑645/19: Aus­nah­men vom «One-Stop-Shop»

Natio­na­le Daten­schutz­be­hör­den dür­fen unter Umstän­den auch dann tätig wer­den, wenn das ver­ant­wort­li­che Unter­neh­men sei­nen Haupt­sitz im Aus­land hat und damit unter der Feder­füh­rung einer ande­ren Behör­de steht. Zu die­sem Schluss kam der Euro­päi­sche Gerichts­hof (EuGH) in sei­nem Urteil C‑645/19 vom 15. Juni 2021.

Aus­gangs­punkt war eine Unter­las­sungs­kla­ge bel­gi­scher Daten­schüt­zer an die Adres­se von Face­book mit dem Vor­wurf über­mä­ssi­ger Daten­er­he­bung. Die in Dub­lin ansäs­si­ge Beklag­te bestritt bereits die Zuläs­sig­keit der Kla­ge und argu­men­tier­te, dass der «One-Stop-Shop»-Mechanismus der euro­päi­schen Daten­schutz­grund­ver­ord­nung (DSGVO) allein die feder­füh­ren­de Auf­sichts­be­hör­de für zustän­dig erklä­re – was im Fall von Face­book die für ihre Zurück­hal­tung bekann­te iri­sche Daten­schutz­be­hör­de ist.

Der zugrun­de lie­gen­de Ziel­kon­flikt zwi­schen ein­heit­li­cher Beur­tei­lung und effek­ti­vem Rechts­schutz durch­zieht schon den Rechts­rah­men: Einer­seits ist jede Auf­sichts­be­hör­de unab­hän­gig und «im Hoheits­ge­biet ihres eige­nen Mit­glied­staats zustän­dig» (Art. 55 Abs. 1 DSGVO). Ande­rer­seits erklärt Art. 56 der­sel­ben Ver­ord­nung die Behör­de am Ort der Haupt- bzw. der ein­zi­gen Nie­der­las­sung für «feder­füh­rend» (Abs. 1) und in Fra­gen der grenz­über­schrei­ten­den Daten­ver­ar­bei­tung zum «ein­zi­ge[n] Ansprech­part­ner der Ver­ant­wort­li­chen» (Abs. 6).

Anders als die Klä­ge­rin erach­te­te der EuGH die­sen Vor­be­halt in der Auf­ga­ben­tei­lung als grund­rechts­kon­form (Rn. 66) und bestä­tig­te, dass «bei einer grenz­über­schrei­ten­den Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten die Zustän­dig­keit der feder­füh­ren­den Auf­sichts­be­hör­de […] die Regel und die Zustän­dig­keit der ande­ren betrof­fe­nen Auf­sichts­be­hör­den […] die Aus­nah­me bil­den» (Rn. 63). Ent­spre­chend wer­te­te Face­book den Ent­scheid in einer Stel­lung­nah­me als Erfolg, habe das Gericht doch «den Grund­satz und Stel­len­wert des One-Stop-Shop-Mecha­nis­mus bestä­tigt».

Das ist aber nur die eine Sei­te des Ent­scheids. Denn der EuGH mach­te auch deut­lich, dass jene Arbeits­tei­lung «not­wen­di­ger­wei­se auf der Prä­mis­se einer loya­len und wirk­sa­men Zusam­men­ar­beit» beru­he und die «kor­rek­te und kohä­ren­te Anwen­dung» der DSGVO bezwecke (Rn. 72). An die­ser Annah­me und Ziel­set­zung fin­det der «One-Stop-Shop»-Mechanismus sei­ne Grenzen:

«[D]ie in der Ver­ord­nung ent­hal­te­nen Vor­schrif­ten über die Auf­tei­lung der Ent­schei­dungs­zu­stän­dig­kei­ten zwi­schen der feder­füh­ren­den Auf­sichts­be­hör­de und den ande­ren betrof­fe­nen Auf­sichts­be­hör­den […] ändern [nichts dar­an], dass alle die­se Behör­den zu einem hohen Niveau des Schut­zes der genann­ten Rech­te bei­zu­tra­gen haben […]. Dies bedeu­tet ins­be­son­de­re, dass das Ver­fah­ren der Zusam­men­ar­beit und Kohä­renz kei­nes­falls dazu füh­ren darf, dass eine natio­na­le Auf­sichts­be­hör­de, nament­lich die feder­füh­ren­de, ihren Ver­pflich­tun­gen […] nicht nach­kommt, zu einem wirk­sa­men Schutz […] bei­zu­tra­gen. Sonst wür­de einem forum shop­ping – ins­be­son­de­re der Ver­ant­wort­li­chen – zur Umge­hung die­ser Grund­rech­te und der wirk­sa­men Anwen­dung der Vor­schrif­ten […] Vor­schub gelei­stet.» (Rn. 67 f.)

Der Umfang der Ent­schei­dungs­be­fug­nis feder­füh­ren­der Behör­den hängt also wesent­lich von der Wirk­sam­keit ihrer Rechts­durch­set­zung ab und ist auch sonst in mehr­fa­cher Hin­sicht zu relativieren:

  • Aus­drück­li­che Aus­nah­men gel­ten für Fäl­le beson­de­rer Dring­lich­keit (Art. 66 DSGVO; Rn. 59) sowie bei Aus­wir­kun­gen auf nur einen Mit­glied­staat (Art. 56 Abs. 2 DSGVO; Rn. 58). Zwar darf die feder­füh­ren­de Behör­de auch die­se Fäl­le über­neh­men, doch hat sie dies­falls dem Beschlus­s­ent­wurf der unter­rich­ten­den Behör­de «wei­test­ge­hend Rech­nung» zu tra­gen (Art. 56 Abs. 4 DSGVO; Rn 61);
  • Ver­wei­gert die feder­füh­ren­de Behör­de die amts­hil­fe­wei­se Über­mitt­lung von Infor­ma­tio­nen, ist es der ersu­chen­den Behör­de fer­ner unbe­nom­men, einst­wei­li­ge Mass­nah­men zu ergrei­fen (Art. 61 Abs. 8 DSGVO; Rn. 71);
  • Dar­über hin­aus bie­tet das Kohä­renz­ver­fah­ren nach Art. 63 DSGVO umfang­rei­che Betei­li­gungs­mög­lich­kei­ten für nicht-feder­füh­ren­de Behör­den und über­lässt die Ent­schei­dung in Streit­fäl­len dem Euro­päi­schen Daten­schutz­aus­schuss (Art. 65 Abs. 1 DSGVO; Rn. 59);
  • Schliess­lich setzt die Kla­ge­er­he­bung durch die Auf­sichts­be­hör­den nicht vor­aus, dass das ver­ant­wort­li­che Unter­neh­men eine Nie­der­las­sung in ihrem Mit­glied­staat besitzt (Rn. 84).

Mit dem neue­sten Ent­scheid in Sachen Face­book hat die Aus­schliess­lich­keit der feder­füh­ren­den Behör­de wei­te­re Ris­se bekom­men. Für das «One-Stop-Shop»-Prinzip bedeu­tet er höch­stens ein «Ja, aber».