Im Rahmen eines Vorabentscheidungsverfahrens muss der Europäische Gerichtshof (EuGH) klären, wie weit die Zuständigkeiten nationaler Datenschutzbehörden und die Anwendung nationalen Datenschutzrechts reichen.

Problem der grenzüberschreitenden Datenschutzverstöße

Hintergrund dieses Verfahrens ist ein Rechtsstreit zwischen einem, in der Slowakei (Klägerin) niedergelassenen, Unternehmen und der ungarischen Datenschutzbehörde (Beklagte). Die Klägerin betreibt eine Internetplattform für die Vermittlung von Immobilien, die auch aus Ungarn erreichbar ist. Zudem wurden ungarische Immobilien auf dieser Plattform inseriert. Als ungarische Nutzer die Löschung ihrer personenbezogenen Daten forderten und die Klägerin diesen Forderungen nicht nachkam, erklärte sich die ungarische Datenschutzbehörde für zuständig und verhängte ein Bußgeld gem. des ungarischen Datenschutzrechts.

Die Klägerin ging gegen diesen Bescheid vor und machte geltend, dass weder ungarisches Recht anwendbar noch die ungarische Behörde zuständig sei.

Zwei Fragen relevant: welches nationale Datenschutzrecht anwenden, wie die zuständige Behörde bestimmen?

Der Europäische Gerichtshof (EuGH) muss sich mit zwei relevanten Fragen befassen: Zum einen ist die Frage zu klären, welches nationale Datenschutzrecht in so einem Fall anwendbar ist? Zum anderen muss geklärt werden, welches die zuständige Behörde ist – eine Frage, die mit dem anzuwenden Recht korrespondiert. Zu diesen beiden Fragen hat der zuständige Generalanwalt am EuGH auch in seinem Schlussantrag Stellung bezogen.

Nur ein bindendes nationales Recht

In dieser Frage geht es um Art. 4 Abs. 1 lit. a) der Datenschutzrichtlinie RL 95/46/EG. Nach Ansicht des Generalanwaltes stellt diese Norm eine Kollisionsnorm dar und legt fest, welches nationale Datenschutzrecht bindend anzuwenden ist (Schlussantrag, Nr. 23).

»Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. « (Art. 4 Abs. 1 lit. a RL 95/46/EG)

Der Generalanwalt macht deutlich, dass nur ein nationales Recht bindend ist – gesetzt den Fall, dass das jeweilige Unternehmen ausschließlich nur in einem Mitgliedsstaat eine Niederlassung unterhält. In diesem Fall ist nur das Datenschutzrecht des Mitgliedstaates anwendbar, in dem die Niederlassung existiert (Schlussantrag, Nr. 42).

Gibt es mehrere Niederlassungen, ist das nationale Datenschutzrecht jenes Mitgliedstaates anzuwenden, in dem sich die Niederlassung befindet, in deren Rahmen die Tätigkeit der Datenverarbeitung stattfindet.

Das Problem der Niederlassung

Was an dieser Stelle als selbstverständlich erscheinen mag, ist bei näherer Betrachtung des Falles durchaus komplexer. Denn der Kern der Problematik liegt in der Definition, was als Niederlassung im Sinne der RL zu verstehen ist. Vorliegend hatte das slowakische Unternehmen zwar seinen Firmensitz in der Slowakei, die geschäftlichen Tätigkeiten fanden aber de facto ausschließlich in Ungarn statt. Auch der Vertreter des Unternehmens in dem Rechtstreit war ungarischer Staatsbürger, ein Postfach zu Kommunikationszwecken war in Ungarn ebenfalls vorhanden. Dennoch wurde dieser einzelne Vertreter des Unternehmens vom Generalanwalt nicht als Niederlassung im Sinne der Datenschutzrichtlinie klassifiziert.

Allerdings stellt der Generalanwalt auch fest, dass selbst ein einzelner Vertreter als Niederlassung zu betrachten ist, wenn »er durch das Vorhandensein der erforderlichen personellen und technischen Mittel einen hinreichenden Grad an Beständigkeit zur Erbringung der konkreten in Rede stehenden Dienstleistungen aufweist. « (Schlussantrag, Nr. 42). Eine Einzelfallentscheidung ist folglich momentan unumgänglich.

Nur eine zuständige nationale Behörde

Mit Blick auf die Art. 28 Abs. 3 und Abs. 6 RL 95/46/EG muss das Gericht klären, welche Behörde zuständig ist und inwieweit eine nationale Behörde in einem anderen Mitgliedstaat tätig werden darf.

Für den vorliegenden Fall bedeutet dies: darf die ungarische Datenschutzbehörde die Rechtswidrigkeit der Datenverarbeitung feststellen und Sanktionen verhängen, wenn ausschließlich slowakisches Recht anwendbar ist? Dies würde implizieren, dass die ungarische Behörde slowakisches Recht vollstreckt, da sie sich im Rahmen des slowakischen Datenschutzrechts bewegen müsste.

Diese Möglichkeit verneint der Generalanwalt. Möchte eine Behörde Sanktionen gegen eine rechtswidrige Datenverarbeitung verhängen und ist die verarbeitende Stelle nicht in ihrem Mitgliedsstaat niedergelassen, so bleibt ihr nur der Weg des Amtshilfeersuchens.

Besondere Relevanz für die DS-GVO

Gerade die letzte Frage hat eine besondere Relevanz für die geplante europäische Datenschutzgrundverordnung (DS-GVO). Das dort geplante One-Stop-Shop-Prinzip würde nämlich den Behörden Möglichkeiten bieten, die der Generalanwalt nach der aktuellen Rechtslage verneint.

Wird das One-Stop-Shop-Prinzip so eingeführt, wie der derzeit geplant, ist immer jene nationale Behörde zuständig, in deren Mitgliedsstaat das verantwortliche Unternehmen seine Hauptniederlassung hat.

Im vorliegenden Fall würde das bedeuten, dass die slowakische Behörde auch dann zuständig wäre, wenn die Klägerin in Ungarn tatsächlich eine Niederlassung unterhalten hätte, die im Rahmen ihrer Tätigkeit die personenbezogenen Daten verarbeitet. Nach der aktuellen Rechtslage wäre in einem solchen Fall die ungarische Behörde zuständig.