Die Stellungnahme des europäischen Gerichts stärkt die Rolle der nationalen Datenaufsichtsbehörden im Fall Facebook

Der Generalanwalt der Europäischen Union (EuGH), Generalanwalt Bobek, hat heute (13. Januar) seine Stellungnahme dazu veröffentlicht, ob eine nationale Datenschutzbehörde ein Verfahren gegen ein Unternehmen, in diesem Fall Facebook, einleiten kann, weil es die Daten der Nutzer nicht geschützt hat, auch wenn Es ist nicht die federführende Aufsichtsbehörde (LSA).

Die belgische Datenschutzbehörde (ehemals Datenschutzkommission) hat 2015 ein Verfahren gegen Facebook wegen rechtswidriger Erfassung von Browserinformationen ohne gültige Zustimmung eingeleitet. Das Brüsseler Gericht stellte fest, dass der Fall in seine Zuständigkeit fällt, und befahl Facebook, bestimmte Aktivitäten einzustellen. Dies wurde von Facebook in Frage gestellt, das argumentierte, dass der neue One-Stop-Shop-Mechanismus der DSGVO (Allgemeine Datenschutzverordnung) bedeutet, dass die grenzüberschreitende Verarbeitung von der federführenden Aufsichtsbehörde - in diesem Fall den irischen Daten - geregelt werden sollte Die Schutzkommission als Hauptsitz von Facebook in der Europäischen Union befindet sich in Irland (Facebook Ireland Ltd).

Der Generalanwalt der EU, Michal Bobek, stimmte zu, dass die federführende Aufsichtsbehörde eine allgemeine Zuständigkeit für die grenzüberschreitende Datenverarbeitung habe – und dass andere Datenschutzbehörden folglich nur begrenzte Befugnisse hätten, Gerichtsverfahren einzuleiten. Er stellte jedoch auch fest, dass es Situationen gebe, in denen nationale Datenschutzbehörden eingreifen könnten.

Eines der Hauptanliegen des Generalanwalts (AG) schien die Gefahr einer „Unterdurchsetzung“ der DSGVO zu sein. Die AG argumentiert, dass die LSA eher als eine gesehen werden sollte primus inter pares, aber dass die nationalen Aufsichtsbehörden nicht in jedem Fall auf ihre Fähigkeit verzichten, bei einem mutmaßlichen Verstoß tätig zu werden. Die derzeitige Governance setzt auf Zusammenarbeit, um eine einheitliche Anwendung sicherzustellen.

Es ist nicht schwer, seine Bedenken zu ergründen. Jeder, der den Rechtsstreit von Max Schrems in den letzten Jahren in Irland gegen die EU-US-Datenübertragung von Facebook verfolgt hat, wäre von der weniger als vorbildlichen Leistung des Vorgesetzten und des irischen Gerichtssystems nicht beeindruckt. Es war ein Zufall, dass die irische Datenschutzkommission am selben Tag, an dem diese Stellungnahme veröffentlicht wurde, ihren 7.5-jährigen Kampf gegen Schrems endgültig beigelegt hat.

Die AG sieht die potenzielle Gefahr, dass Unternehmen ihren Hauptstandort auf der Grundlage der nationalen Regulierungsbehörde auswählen, wobei Länder mit weniger aktiven oder unterfinanzierten Regulierungsbehörden als eine Art regulatorische Arbitrage bevorzugt werden. Er fügt hinzu, dass, obwohl Konsistenz zu begrüßen sei, die Gefahr bestehe, dass „kollektive Verantwortung zu kollektiver Verantwortungslosigkeit und letztendlich zu Trägheit führen könnte“.

Teile diesen Artikel: