Datenschutz in EU: Zahme Iren weiter zuständig

Für den Datenschutz von Digitalkonzernen ist in der Regel die irische Datenschutzbehörde zuständig, weil Facebook, Google und Twitter jeweils ihren Sitz in Irland haben. Nationale Datenschützer in den anderen 26 EU-Staaten können nur in seltenen Ausnahmefällen gegen Facebook oder andere Digitalkonzerne vorgehen. Diese Auslegung des EU-Rechts empfiehlt der unabhängige Generalanwalt Michal Bobek in einem Verfahren vor dem Europäischen Gerichtshof (EuGH). Solche Schluss anträge sind ein Gutachten, an das sich die EuGH-Richter bei ihrer Entscheidung aber nicht halten müssen.

Im Ausgangsverfahren hat die belgische Datenschutzbehörde 2015 eine Untersuchung gegen Facebook eingeleitet, weil der Konzern mithilfe von Cookies und Plugins Daten über das private Surfverhalten von belgischen Internetnutzern unrechtmäßig sammle. Facebook schaue dabei Internetnutzern „über die Schulter“, während sie von einer Website zur nächsten surfen. Die Daten würden verwendet, um ein Profil der Person zu erstellen und dieser dann zielgerichtete Werbung anzuzeigen – ohne die Nutzer ausreichend zu informieren und ihre Einwilligung einzuholen.

Als im Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft trat, forderte Facebook die Einstellung des belgischen Verfahrens. Denn nun sei für Facebook, dessen Europasitz in Dublin ist, ausschließlich die irische Data Protection Commission zuständig. Allerdings gilt die irische Behörde als schlecht ausgestattet und eher zahm.

Das belgische Gericht, bei dem der Streit anhängig war, bat den EuGH um Auslegung der DSGVO. In diesem Kontext hat nun Michal Bobek, einer der elf unabhängigen Generalanwälte des EuGH, seine Schlussanträge veröffentlicht.

Bobek betont, dass bei grenzüberschreitend tätigen Unternehmen in der Regel nur die Datenschutzbehörde am Sitz des Unternehmens zuständig ist. Dieser „One-Stop-Shop“-Mechanismus solle verhindern, dass EU-weit tätige Unternehmen wie Facebook mit 27 Datenschutzbehörden verhandeln müssen. Dies habe sich früher als „kostspielig, belastend und zeitaufwändig“ erwiesen und sollte deshalb mit der DSGVO ausdrücklich vermieden werden. Man wollte auch „Unsicherheiten und Konflikte“ verhindern, die entstehen, wenn die DSGVO in jedem Land unterschiedlich ausgelegt wird.

Nur ausnahmsweise, so Bobek, können nationale Datenschutzbehörden gegen ein Unternehmen vorgehen, das seinen Sitz in einem anderen EU-Staat hat. Relevant sind insbesondere die Fälle, bei denen die zuständige Behörde abschließend erklärt hat, nicht tätig werden zu wollen, oder bei denen ein Problem keinen Aufschub verträgt. Beides ist nach Bobeks Einschätzung hier nicht der Fall. Der EuGH wird sein Urteil in wenigen Wochen verkünden. Ob er dem Schlussantrag folgt, ist offen.