Der Gerichtshof der Europäischen Union (EuGH) hat mit Urteil vom 15. Juni 2021 in der Rechtssache C-645/19 entschieden, dass auch nationale Datenschutzbehörden gegen datenschutzrelevante Verstöße von Unternehmen vorgehen können, selbst wenn deren Hauptsitz in einem anderen Land liegt und die Behörde somit nicht die Federführung bei der Aufsicht hat.
Hintergrund ist ein Verfahren zwischen einer belgischen Datenschutzbehörde und Facebook aus dem Jahr 2015. Die belgische Behörde warf Facebook insbesondere das unrechtmäßige Erfassen von Daten belgischer Internetnutzer vor. Der EuGH hat mit seinem Urteil nun die Frage nach der Zuständigkeit geklärt, die mit Inkrafttreten der Datenschutzgrundverordnung (Verordnung (EU) 2016/679, DS-GVO) entstanden ist. Denn gemäß Art. 56 DS-GVO ist in grenzüberschreitenden Fällen vorrangig die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen federführend zuständig. Damit ist im Grundsatz die Datenschutzbehörde in Irland für die Einleitung eines Verfahrens gegen Facebook zuständig. Der Gerichtshof stellte jetzt jedoch klar, dass in gesetzlich geregelten Ausnahmefällen zudem die Aufsichtsbehörde eines anderen Mitgliedstaats zuständig sein kann. Demnach kann die nationale Datenschutzbehörde gegen Facebook in Irland vorgehen, weil der räumliche Anwendungsbereich der DSGVO gegeben ist. (UV)