In einem Urteil vom 15. Juni 2021 (Az. C-645/19 – Facebook) hat der EuGH einige wichtige Weichenstellungen für das Vorgehen von Datenschutzbehörden gegen Konzerne vorgenommen.

Sachverhalt

Der Entscheidung lag ein Fall zu Grunde, in dem die belgische Datenschutzbehörde wegen Verarbeitung personenbezogener Daten von Internetnutzern in Belgien mittels Cookies, Social Plugins und Pixeln gegen die Facebook Inc., die Facebook Ireland Ltd. sowie die in Belgien ansässige Facebook Belgium BVBA eine gerichtliche Unterlassungsklage erhoben hatte. Die Klage war in erster Instanz erfolgreich. Facebook hatte vorgetragen, dass die Facebook Ireland Ltd. die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet habe. Die Niederlassung in Belgien sei, so Facebook, in erster Linie gegründet worden, um Beziehungen zu den Organen der Union zu unterhalten, und nur in zweiter Linie, um an in Belgien ansässige Personen gerichtete Werbe- und Marketingmaßnahmen des Konzerns zu fördern. Das Berufungsgericht erklärte sich allerdings für unzuständig, soweit die Klage gegen die Facebook Inc. und die Facebook Ireland Ltd. gerichtet war.

Hintergrund

Aus steuerlichen Gründen haben viele global agierende Unternehmen wie Facebook, Google oder Amazon ihre Europazentrale in bestimmten EU-Ländern wie Irland oder Luxemburg. Dort werden zumeist auch die personenbezogenen Daten der Nutzer verarbeitet. Im Juli 2021 haben sich allerdings die Finanzminister der G20-Staaten auf eine globale Steuerreform mit 15% Mindeststeuern für große Unternehmen geeinigt, um den Wettbewerb dieser Steueroasen um Investitionen und Schaffung von Arbeitsplätzen mittels steuerlicher Anreize zu beenden. Daher wird sich künftig die Frage stellen, nach welchen Kriterien solche Unternehmen dann den Sitz ihrer Europazentrale auswählen werden. Vielleicht danach, in welchem Land die Datenschutzbehörde am wenigsten streng ist, wenn diese Unternehmen in großem Umfang personenbezogene Daten verarbeiten? Wohl kaum, denn der EuGH hat dem Forum Shopping in Bezug auf Datenschutzbehörden nunmehr einen Riegel vorgeschoben.

Rechtlicher Rahmen gemäß DSGVO

Art. 56 DSGVO sieht vor, dass die Aufsichtsbehörde, in deren geografischem Zuständigkeitsbereich ein Verantwortlicher für Datenverarbeitung seine Hauptniederlassung oder seine einzige Niederlassung hat, als federführende Aufsichtsbehörde für die grenzüberschreitende Datenverarbeitung des Verantwortlichen zuständig ist. Die Zusammenarbeit der Datenschutzbehörden bei grenzüberschreitender Datenverarbeitung ist in den Artikeln 60 ff. DSGVO geregelt.

Nicht federführende Behörde darf selbst tätig werden

Der EuGH entschied, dass die nicht federführende Aufsichtsbehörde (hier: die belgische Aufsichtsbehörde) selbst tätig werden kann, wenn die federführende Aufsichtsbehörde (hier: die irische Aufsichtsbehörde) entschieden hat, sich mit dem Fall nicht selbst zu befassen. Weiter führte der EuGH aus, dass eine Klage der tätigkeitsbefugten nicht federführenden Aufsichtsbehörde (der belgischen Aufsichtsbehörde) nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche, gegen den die Klage erhoben wird, im Hoheitsgebiet der nicht federführenden Behörde eine Hauptniederlassung oder eine andere Niederlassung hat. Es kommt lediglich darauf an, ob der Verantwortliche eine Niederlassung (irgendwo) im Unionsgebiet hat. Die Klage der belgischen Aufsichtsbehörde gegen die Facebook Belgium BVBA setzt also nicht voraus, dass die Facebook Ireland Ltd. als für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortlicher in Belgien eine Hauptniederlassung oder eine andere Niederlassung hat.

Untrennbare Verbindung mit der Datenverarbeitung durch andere Konzerngesellschaft

Das Kernargument des EuGH lautet wie folgt: Die Tätigkeit der Facebook Belgium BVBA sei untrennbar mit der Datenverarbeitung durch die Facebook Ireland Ltd. verbunden, und deshalb erfolge die Datenverarbeitung durch die Facebook Ireland Ltd. (auch) „im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen“ im Sinne von Art. 3 Abs. 1 DSGVO. Die Datenverarbeitung durch die Facebook Ireland Ltd. erfolgt also auch durch die Facebook Belgium BVBA und damit auch auf belgischem Boden. Deshalb, so der EuGH, kann eine Aufsichtsbehörde, die nicht die federführende Behörde ist, ihre Klage sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet – was hier indes nicht der Fall war –, als auch gegenüber einer anderen Niederlassung des Verantwortlichen erheben, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt.

Demnach durfte die belgische Aufsichtsbehörde ihre Klage also gegen die Facebook Belgium BVBA erheben, obwohl Facebook vorgetragen hatte, dass für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet ausschließlich die Facebook Ireland Ltd. verantwortlich sei. Jede Konzerngesellschaft, deren Tätigkeit mit der Datenverarbeitung durch eine andere Konzerngesellschaft „untrennbar verbunden“ ist, kann für Verstöße gegen die DSGVO in Anspruch genommen werden.

Fazit: Keine Berufung auf interne Konzernstrukturen

Damit hat der EuGH dem Versuch, sich durch Verweis auf interne Konzernstrukturen einem Verfahren wegen Verletzung von Datenschutzrecht zu entziehen, eine Absage erteilt.