Datenschutz in EU: Zahme Iren weiter zuständig

Irlands Datenschützer sind zahm zu Firmen wie Facebook. Doch der EuGH-Generalanwalt sieht kaum Chancen für ein Eingreifen deutscher Datenschützer.

Twitter- Facebook und Google-Logo auf einem Smartphone

Facebook, Google und Twitter sitzen in Irland – somit ist die irische Datenschutzbehörde zuständig Foto: Omar Marques/imago

Für den Datenschutz von Digitalkonzernen ist in der Regel die irische Datenschutzbehörde zuständig, weil Facebook, Google und Twitter jeweils ihren Sitz in Irland haben. Nationale Datenschützer in den anderen 26 EU-Staaten können nur in seltenen Ausnahmefällen gegen Facebook oder andere Digitalkonzerne vorgehen. Diese Auslegung des EU-Rechts empfiehlt der unabhängige Generalanwalt Michal Bobek in einem Verfahren vor dem Europäischen Gerichtshof (EuGH). Solche Schluss anträge sind ein Gutachten, an das sich die EuGH-Richter bei ihrer Entscheidung aber nicht halten müssen.

Im Ausgangsverfahren hat die belgische Datenschutzbehörde 2015 eine Untersuchung gegen Facebook eingeleitet, weil der Konzern mithilfe von Cookies und Plugins Daten über das private Surfverhalten von belgischen Internetnutzern unrechtmäßig sammle. Facebook schaue dabei Internetnutzern „über die Schulter“, während sie von einer Website zur nächsten surfen. Die Daten würden verwendet, um ein Profil der Person zu erstellen und dieser dann zielgerichtete Werbung anzuzeigen – ohne die Nutzer ausreichend zu informieren und ihre Einwilligung einzuholen.

Als im Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft trat, forderte Facebook die Einstellung des belgischen Verfahrens. Denn nun sei für Facebook, dessen Europasitz in Dublin ist, ausschließlich die irische Data Protection Commission zuständig. Allerdings gilt die irische Behörde als schlecht ausgestattet und eher zahm.

Das belgische Gericht, bei dem der Streit anhängig war, bat den EuGH um Auslegung der DSGVO. In diesem Kontext hat nun Michal Bobek, einer der elf unabhängigen Generalanwälte des EuGH, seine Schlussanträge veröffentlicht.

Man wollte auch „Unsicherheiten und Konflikte“ verhindern

Bobek betont, dass bei grenzüberschreitend tätigen Unternehmen in der Regel nur die Datenschutzbehörde am Sitz des Unternehmens zuständig ist. Dieser „One-Stop-Shop“-Mechanismus solle verhindern, dass EU-weit tätige Unternehmen wie Facebook mit 27 Datenschutzbehörden verhandeln müssen. Dies habe sich früher als „kostspielig, belastend und zeitaufwändig“ erwiesen und sollte deshalb mit der DSGVO ausdrücklich vermieden werden. Man wollte auch „Unsicherheiten und Konflikte“ verhindern, die entstehen, wenn die DSGVO in jedem Land unterschiedlich ausgelegt wird.

Nur ausnahmsweise, so Bobek, können nationale Datenschutzbehörden gegen ein Unternehmen vorgehen, das seinen Sitz in einem anderen EU-Staat hat. Relevant sind insbesondere die Fälle, bei denen die zuständige Behörde abschließend erklärt hat, nicht tätig werden zu wollen, oder bei denen ein Problem keinen Aufschub verträgt. Beides ist nach Bobeks Einschätzung hier nicht der Fall. Der EuGH wird sein Urteil in wenigen Wochen verkünden. Ob er dem Schlussantrag folgt, ist offen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben