Nationale Datenschutzbehörden dürfen unter Umständen auch dann tätig werden, wenn das verantwortliche Unternehmen seinen Hauptsitz im Ausland hat und damit unter der Federführung einer anderen Behörde steht. Zu diesem Schluss kam der Europäische Gerichtshof (EuGH) in seinem Urteil C‑645/19 vom 15. Juni 2021.
Ausgangspunkt war eine Unterlassungsklage belgischer Datenschützer an die Adresse von Facebook mit dem Vorwurf übermässiger Datenerhebung. Die in Dublin ansässige Beklagte bestritt bereits die Zulässigkeit der Klage und argumentierte, dass der «One-Stop-Shop»-Mechanismus der europäischen Datenschutzgrundverordnung (DSGVO) allein die federführende Aufsichtsbehörde für zuständig erkläre – was im Fall von Facebook die für ihre Zurückhaltung bekannte irische Datenschutzbehörde ist.
Der zugrunde liegende Zielkonflikt zwischen einheitlicher Beurteilung und effektivem Rechtsschutz durchzieht schon den Rechtsrahmen: Einerseits ist jede Aufsichtsbehörde unabhängig und «im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig» (Art. 55 Abs. 1 DSGVO). Andererseits erklärt Art. 56 derselben Verordnung die Behörde am Ort der Haupt- bzw. der einzigen Niederlassung für «federführend» (Abs. 1) und in Fragen der grenzüberschreitenden Datenverarbeitung zum «einzige[n] Ansprechpartner der Verantwortlichen» (Abs. 6).
Anders als die Klägerin erachtete der EuGH diesen Vorbehalt in der Aufgabenteilung als grundrechtskonform (Rn. 66) und bestätigte, dass «bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten die Zuständigkeit der federführenden Aufsichtsbehörde […] die Regel und die Zuständigkeit der anderen betroffenen Aufsichtsbehörden […] die Ausnahme bilden» (Rn. 63). Entsprechend wertete Facebook den Entscheid in einer Stellungnahme als Erfolg, habe das Gericht doch «den Grundsatz und Stellenwert des One-Stop-Shop-Mechanismus bestätigt».
Das ist aber nur die eine Seite des Entscheids. Denn der EuGH machte auch deutlich, dass jene Arbeitsteilung «notwendigerweise auf der Prämisse einer loyalen und wirksamen Zusammenarbeit» beruhe und die «korrekte und kohärente Anwendung» der DSGVO bezwecke (Rn. 72). An dieser Annahme und Zielsetzung findet der «One-Stop-Shop»-Mechanismus seine Grenzen:
«[D]ie in der Verordnung enthaltenen Vorschriften über die Aufteilung der Entscheidungszuständigkeiten zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden […] ändern [nichts daran], dass alle diese Behörden zu einem hohen Niveau des Schutzes der genannten Rechte beizutragen haben […]. Dies bedeutet insbesondere, dass das Verfahren der Zusammenarbeit und Kohärenz keinesfalls dazu führen darf, dass eine nationale Aufsichtsbehörde, namentlich die federführende, ihren Verpflichtungen […] nicht nachkommt, zu einem wirksamen Schutz […] beizutragen. Sonst würde einem forum shopping – insbesondere der Verantwortlichen – zur Umgehung dieser Grundrechte und der wirksamen Anwendung der Vorschriften […] Vorschub geleistet.» (Rn. 67 f.)
Der Umfang der Entscheidungsbefugnis federführender Behörden hängt also wesentlich von der Wirksamkeit ihrer Rechtsdurchsetzung ab und ist auch sonst in mehrfacher Hinsicht zu relativieren:
- Ausdrückliche Ausnahmen gelten für Fälle besonderer Dringlichkeit (Art. 66 DSGVO; Rn. 59) sowie bei Auswirkungen auf nur einen Mitgliedstaat (Art. 56 Abs. 2 DSGVO; Rn. 58). Zwar darf die federführende Behörde auch diese Fälle übernehmen, doch hat sie diesfalls dem Beschlussentwurf der unterrichtenden Behörde «weitestgehend Rechnung» zu tragen (Art. 56 Abs. 4 DSGVO; Rn 61);
- Verweigert die federführende Behörde die amtshilfeweise Übermittlung von Informationen, ist es der ersuchenden Behörde ferner unbenommen, einstweilige Massnahmen zu ergreifen (Art. 61 Abs. 8 DSGVO; Rn. 71);
- Darüber hinaus bietet das Kohärenzverfahren nach Art. 63 DSGVO umfangreiche Beteiligungsmöglichkeiten für nicht-federführende Behörden und überlässt die Entscheidung in Streitfällen dem Europäischen Datenschutzausschuss (Art. 65 Abs. 1 DSGVO; Rn. 59);
- Schliesslich setzt die Klageerhebung durch die Aufsichtsbehörden nicht voraus, dass das verantwortliche Unternehmen eine Niederlassung in ihrem Mitgliedstaat besitzt (Rn. 84).
Mit dem neuesten Entscheid in Sachen Facebook hat die Ausschliesslichkeit der federführenden Behörde weitere Risse bekommen. Für das «One-Stop-Shop»-Prinzip bedeutet er höchstens ein «Ja, aber».