Top-Urteil

Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch dann tätig werden, wenn sie nicht federführend sind

17. Juni 2021
[Gesamt: 0   Durchschnitt:  0/5]
174 mal gelesen
0 Shares
Schloss mit DSGVO Schriftzug, der von Europa Sternen umringt wird Urteil des EuGH vom 15.06.2021, Az.: C-645/19

Nationale Datenschutzbehörden können unter gewissen Voraussetzungen gegen DSGVO-Verstöße von Unternehmen vorgehen, auch wenn deren Hauptsitz in einem anderen Land liegt. Bei grenzüberschreitenden Datenverarbeitungen ist zwar grundsätzlich die federführende Datenschutzbehörde für die Geltendmachung von Verstößen gegen die DSGVO zuständig. Unter gewissen Umständen können jedoch auch andere nationale Aufsichtsbehörden vor einem Gericht eines EU-Mitgliedsstaats tätig werden, auch wenn sie in Bezug auf die Datenverarbeitung nicht federführende Behörde sind. Dabei muss jedoch eng mit der jeweiligen betroffenen nationalen Aufsichtsbehörde zusammengearbeitet werden. Demnach kann die belgische Datenschutzbehörde von Facebook Belgium die Einhaltung der Vorschriften der DSGVO verlangen, obwohl Facebook seine Hauptniederlassung in Irland hat und damit grundsätzlich die irische Datenschutzbehörde zuständig wäre.

Gerichtshof der Europäischen Union

Urteil vom 15.06.2021

Az.: C-645/19

 

In der Rechtssache C‑645/19

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) mit Entscheidung vom 8. Mai 2019, beim Gerichtshof eingegangen am 30. August 2019, in dem Verfahren

Facebook Ireland Ltd,

Facebook Inc.,

Facebook Belgium BVBA

gegen

Gegevensbeschermingsautoriteit

erlässt

DER GERICHTSHOF (Große Kammer)

unter Mitwirkung des Präsidenten […], der Vizepräsidentin […], des Kammerpräsidenten […], der Kammerpräsidentin […], der Kammerpräsidenten […], […] und […], der Richter […], […], […], und […], der Richterin […], der Richter […] und […] sowie der Richterin […] (Berichterstatterin),

Generalanwalt: […],

Kanzler: […], Hauptverwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 5. Oktober 2020,

unter Berücksichtigung der Erklärungen

– der Facebook Ireland Ltd, der Facebook Inc. und der Facebook Belgium BVBA, vertreten durch […], […] und […], advocaten,

– der Gegevensbeschermingsautoriteit, vertreten durch […] und […], advocaten,

– der belgischen Regierung, vertreten durch […], […] und […] als Bevollmächtigte im Beistand von […], advocaat,

– der tschechischen Regierung, vertreten durch […], […] und […] als Bevollmächtigte,

– der italienischen Regierung, vertreten durch […] als Bevollmächtigte im Beistand von […], avvocato dello Stato,

– der polnischen Regierung, vertreten durch […] als Bevollmächtigten,

– der portugiesischen Regierung, vertreten durch […], […], […] und […] als Bevollmächtigte,

– der finnischen Regierung, vertreten durch […] als Bevollmächtigte,

– der Europäischen Kommission, vertreten durch […], […] und […] als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 13. Januar 2021

folgendes

Urteil

Das Vorabentscheidungsersuchen betrifft die Auslegung des Art. 55 Abs. 1 und der Art. 56 bis 58 und 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, Berichtigungen: ABl. 2016, L 314, S. 72, ABl. 2018, L 127, S. 2, und ABl. 2021, L 74, S. 35) in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta).

Es ergeht im Rahmen eines Rechtsstreits zwischen der Facebook Ireland Ltd, der Facebook Inc. und der Facebook Belgium BVBA einerseits und der Gegevensbeschermingsautoriteit (Datenschutzbehörde, Belgien) (im Folgenden: GBA), der Rechtsnachfolgerin der Commissie ter bescherming van de persoonlijke levenssfeer (Ausschuss für den Schutz des Privatlebens, Belgien) (im Folgenden: CBPL), andererseits wegen eines vom Präsidenten der CBPL klageweise geltend gemachten Anspruchs auf Unterlassung der von dem sozialen Netzwerk Facebook mittels Cookies, Social Plugins und Pixeln vorgenommenen Verarbeitung personenbezogener Daten der Internetznutzer im belgischen Hoheitsgebiet.

Rechtlicher Rahmen

Unionsrecht

In den Erwägungsgründen 1, 4, 10, 11, 13, 22, 123, 141 und 145 der Verordnung 2016/679 heißt es:

„(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der [Charta] sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken‑, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.

(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …

(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.

(13) Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. …

(22) Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.

(123) Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Zu diesem Zweck sollten die Aufsichtsbehörden untereinander und mit der Kommission zusammenarbeiten, ohne dass eine Vereinbarung zwischen den Mitgliedstaaten über die Leistung von Amtshilfe oder über eine derartige Zusammenarbeit erforderlich wäre.

(141) Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. …

(145) Bei Verfahren gegen Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat, oder des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat; dies gilt nicht, wenn es sich bei dem Verantwortlichen um eine Behörde eines Mitgliedstaats handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.“

Art. 3 („Räumlicher Anwendungsbereich“) der Verordnung 2016/679 bestimmt in Abs. 1:

„Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“

In Art. 4 der Verordnung sind die Begriffe „Hauptniederlassung“ (Nr. 16) und „grenzüberschreitende Verarbeitung“ (Nr. 23) wie folgt definiert:

„16. ‚Hauptniederlassung‘

a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;

b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;

23. ‚grenzüberschreitende Verarbeitung‘ entweder

a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder

b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann“.

Art. 51 („Aufsichtsbehörde“) der Verordnung 2016/679 bestimmt:

„(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird …

(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.

…“

In Kapitel VI („Unabhängige Aufsichtsbehörden“) der Verordnung 2016/679 bestimmt Art. 55 („Zuständigkeit“):

„(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.“

Art. 56 („Zuständigkeit der federführenden Aufsichtsbehörde“) der Verordnung 2016/679 bestimmt:

„(1) Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.

(2) Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.

(3) In den in Absatz 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat oder nicht.

(4) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung.

(5) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall gemäß den Artikeln 61 und 62.

(6) Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung.“

Art. 57 („Aufgaben“) der Verordnung 2016/679 bestimmt in Abs. 1:

„Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet

a) die Anwendung dieser Verordnung überwachen und durchsetzen;

g) mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;

…“

Art. 58 („Befugnisse“) der Verordnung 2016/679 bestimmt in den Abs. 1, 4 und 5:

„(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,

d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,

(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.

(5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.“

Kapitel VII („Zusammenarbeit und Kohärenz“) der Verordnung 2016/679 enthält einen Abschnitt 1 („Zusammenarbeit“) mit den Art. 60 bis 62. Art. 60 („Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden“) bestimmt:

„(1) Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus.

(2) Die federführende Aufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist.

(3) Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.

(4) Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen und begründeten Einspruch ein und schließt sich die federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, so leitet die federführende Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein.

(5) Beabsichtigt die federführende Aufsichtsbehörde, sich dem maßgeblichen und begründeten Einspruch anzuschließen, so legt sie den anderen betroffenen Aufsichtsbehörden einen überarbeiteten Beschlussentwurf zur Stellungnahme vor. Der überarbeitete Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen.

(6) Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen den Beschlussentwurf ein, der von der federführenden Aufsichtsbehörde innerhalb der in den Absätzen 4 und 5 festgelegten Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf einverstanden und sind an ihn gebunden.

(7) Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt ihn der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbehörden und den Ausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis. Die Aufsichtsbehörde, bei der eine Beschwerde eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss.

(8) Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis.

(9) Sind sich die federführende Aufsichtsbehörde und die betreffenden Aufsichtsbehörden darüber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bezüglich anderer Teile dieser Beschwerde tätig zu werden, so wird in dieser Angelegenheit für jeden dieser Teile ein eigener Beschluss erlassen. …

(10) Nach der Unterrichtung über den Beschluss der federführenden Aufsichtsbehörde gemäß den Absätzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen Maßnahmen, um die Verarbeitungstätigkeiten all seiner Niederlassungen in der Union mit dem Beschluss in Einklang zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen betroffenen Aufsichtsbehörden.

(11) Hat – in Ausnahmefällen – eine betroffene Aufsichtsbehörde Grund zu der Annahme, dass zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.

…“

Art. 61 („Gegenseitige Amtshilfe“) der Verordnung 2016/679 bestimmt in Abs. 1:

„Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme von Nachprüfungen und Untersuchungen.“

Art. 62 („Gemeinsame Maßnahmen der Aufsichtsbehörden“) der Verordnung 2016/679 bestimmt:

„(1) Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen einschließlich gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsmaßnahmen durch, an denen Mitglieder oder Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen.

(2) Verfügt der Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten oder werden die Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen Maßnahmen teilzunehmen. …

…“

Kapitel VII der Verordnung 2016/679 enthält einen Abschnitt 2 („Kohärenz“) mit den Art. 63 bis 67. Art. 63 („Kohärenzverfahren“) bestimmt:

„Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen.“

Art. 64 Verordnung 2016/679 bestimmt in Abs. 2:

„Jede Aufsichtsbehörde, der Vorsitz des [Europäischen Datenschutza]usschuss[es] oder die Kommission können beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom [Europäischen Datenschutza]usschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt.“

Art. 65 („Streitbeilegung durch den Ausschuss“) der Verordnung 2016/679 bestimmt in Abs. 1:

„Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der [Europäischen Datenschutza]usschuss in den folgenden Fällen einen verbindlichen Beschluss:

a) wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde eingelegt hat und sich die federführende Aufsichtsbehörde dem Einspruch nicht angeschlossen hat oder den Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß gegen diese Verordnung vorliegt,

b) wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist,

…“

Art. 66 („Dringlichkeitsverfahren“) der Verordnung 2016/679 bestimmt in den Abs. 1 und 2:

„(1) Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen betroffenen Aufsichtsbehörden, den [Europäischen Datenschutza]usschuss und die Kommission unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass in Kenntnis.

(2) Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie unter Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des [Europäischen Datenschutza]usschusses ersuchen.“

Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) der Verordnung 2016/679 bestimmt:

„(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“

Art. 78 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“) der Verordnung 2016/679 bestimmt:

„(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.

(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.

(3) Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.

(4) Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des [Europäischen Datenschutza]usschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu.“

Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) der Verordnung 2016/679 bestimmt:

„(1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

(2) Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.“

Belgisches Recht

Mit der Wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (Gesetz über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten) vom 8. Dezember 1992 (Belgisch Staatsblad, 18. März 1993, S. 5801) in der durch das Gesetz vom 11. Dezember 1998 (Belgisch Staatsblad, 3. Februar 1999, S. 3049) geänderten Fassung (im Folgenden: Gesetz vom 8. Dezember 1992) wurde die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) in das belgische Recht umgesetzt.

Durch das Gesetz vom 8. Dezember 1992 wurde die CBPL geschaffen. Es handelt sich dabei um ein unabhängiges Gremium, dessen Aufgabe darin besteht, dafür zu sorgen, dass personenbezogenen Daten gemäß dem Gesetz vom 8. Dezember 1992 unter Wahrung des Schutzes des Privatlebens der Bürger verarbeitet werden.

Art. 32 § 3 des Gesetzes vom 8. Dezember 1992 bestimmte:

„Unbeschadet der Zuständigkeit der ordentlichen Gerichtshöfe und Gerichte hinsichtlich der Anwendung der allgemeinen Grundsätze in Bezug auf den Schutz des Privatlebens kann der Präsident der [CBPL] jede Streitsache in Bezug auf die Anwendung des vorliegenden Gesetzes und seiner Ausführungsmaßnahmen dem Gericht Erster Instanz vorlegen.“

Mit der Wet tot oprichting van de Gegevensbeschermingsautoriteit (Gesetz zur Schaffung der Datenschutzbehörde) vom 3. Dezember 2017 (Belgisch Staatsblad, 10. Januar 2018, S. 989, im Folgenden: Gesetz vom 3. Dezember 2017), die am 25. Mai 2018 in Kraft getreten ist, wurde die GBA als Aufsichtsbehörde im Sinne der Verordnung 2016/679 geschaffen.

Art. 3 des Gesetzes vom 3. Dezember 2017 bestimmt:

„Bei der Abgeordnetenkammer wird eine ‚Datenschutzbehörde‘ eingerichtet. Sie ist Nachfolgerin [der CBPL].“

Art. 6 des Gesetzes vom 3. Dezember 2017 bestimmt:

„Die [GBA] ist befugt, den Gerichtsbehörden jeden Verstoß gegen die Grundprinzipien des Schutzes personenbezogener Daten im Rahmen des vorliegenden Gesetzes und der Gesetze, die Bestimmungen über den Schutz der Verarbeitung personenbezogener Daten enthalten, zur Kenntnis zu bringen und gegebenenfalls im Hinblick auf die Einhaltung dieser Grundprinzipien Klage zu erheben.“

Vom Präsident der CBPL bis zum 25. Mai 2018 gemäß Art. 32 § 3 des Gesetzes vom 8. Dezember 1992 eingeleitete Gerichtsverfahren sind nicht speziell geregelt. Nur für Beschwerden oder Anträge, die bei der GBA selbst eingelegt bzw. gestellt wurden, bestimmt Art. 112 des Gesetzes vom 3. Dezember 2017:

„Kapitel VI findet keine Anwendung auf Beschwerden oder Anträge, die zum Zeitpunkt des Inkrafttretens des vorliegenden Gesetzes noch bei der [GBA] anhängig sind. Die in Absatz 1 erwähnten Beschwerden oder Anträge werden von der [GBA] als Rechtsnachfolgerin des [CBPL] nach dem vor Inkrafttreten des vorliegenden Gesetzes anwendbaren Verfahren bearbeitet.“

Das Gesetz vom 8. Dezember 1992 wurde durch die Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Gesetz über den Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten) vom 30. Juli 2018 (Belgisch Staatsblad, 5. September 2018, S. 68616, im Folgenden: Gesetz vom 30. Juli 2018) aufgehoben. Mit dem Gesetz vom 30. Juli 2018 werden diejenigen Bestimmungen der Verordnung 2016/679 in das belgische Recht umgesetzt, die die Mitgliedstaaten verpflichten bzw. ermächtigen, ergänzend zur Verordnung eingehendere Regelungen zu erlassen.

Ausgangsverfahren und Vorlagefragen

Am 11. September 2015 erhob der Präsident der CBPL bei der Nederlandstalige rechtbank van eerste aanleg Brussel (Niederländischsprachiges Gericht erster Instanz Brüssel, Belgien) gegen Facebook Ireland, Facebook Inc. und Facebook Belgium eine Unterlassungsklage. Da die CBPL keine Rechtspersönlichkeit besaß, mussten Klagen, mit denen gewährleistet werden sollte, dass die Rechtsvorschriften über den Schutz personenbezogener Daten eingehalten werden, vom Präsidenten dieses Gremiums erhoben werden. Die CBPL beantragte jedoch, in dem von ihrem Präsidenten angestrengten Verfahren als freiwillig Beitretende zugelassen zu werden.

Mit der Unterlassungsklage wurde die Beendigung eines „schweren Verstoßes gegen die Rechtsvorschriften im Bereich des Schutzes des Privatlebens“ begehrt, „den Facebook in großem Umfang begangen hat“, wie die CBPL behauptet. Der Verstoß soll darin bestanden haben, dass dieses soziale Netzwerk im Internet Informationen über das Surfverhalten sowohl der Inhaber eines Facebook-Kontos als auch der Personen, die die Dienste von Facebook nicht nutzen, mittels verschiedener Technologien wie Cookies, Social Plugins (z. B. die Buttons „Gefällt mir“ oder „Teilen“) oder Pixeln gesammelt habe. Diese Komponenten ermöglichen es Facebook, bei einem Internetnutzer, der eine Seite einer Website besucht, die sie enthält, an bestimmte Daten zu gelangen, etwa die Adresse der besuchten Seite, die IP-Adresse des Besuchers der Seite sowie Tag und Uhrzeit des Besuchs.

Mit Urteil vom 16. Februar 2018 erklärte sich die Nederlandstalige rechtbank van eerste aanleg Brussel (Niederländischsprachiges Gericht erster Instanz Brüssel) für zuständig, über die Unterlassungsklage, soweit diese gegen Facebook Ireland, Facebook Inc. und Facebook Belgium gerichtet ist, zu entscheiden. Der Antrag der CBPL auf Zulassung als freiwillig Beitretende wurde hingegen als unzulässig zurückgewiesen.

In der Sache entschied die Nederlandstalige rechtbank van eerste aanleg Brussel (Niederländischsprachiges Gericht erster Instanz Brüssel), dass Facebook die belgischen Internetnutzer nicht ausreichend über die Erhebung und Nutzung der betreffenden Daten informiert habe. Es stellte außerdem fest, dass die von den Internetnutzern erteilte Einwilligung zur Erhebung und Verarbeitung der Daten nicht wirksam sei. Facebook Ireland, Facebook Inc. und Facebook Belgium wurde daher aufgegeben, es erstens gegenüber im belgischen Hoheitsgebiet ansässigen Internetnutzern zu unterlassen, ohne deren Einwilligung Cookies zu setzen, die, wenn sie auf einer Internetseite der Domain „facebook.com“ surfen oder auf die Website eines Dritten gelangen, auf dem von ihnen verwendeten Gerät zwei Jahre lang aktiv bleiben, und mittels Social Plugins, Pixeln oder ähnlichen Technologien in einer Weise, die im Hinblick auf die von dem sozialen Netzwerk Facebook verfolgten Ziele unverhältnismäßig ist, auf Internetseiten Dritter Cookies zu setzen oder Daten zu erheben, es zweitens zu unterlassen, Angaben zu machen, die bei verständiger Würdigung geeignet sind, bei den betreffenden Personen einen Irrtum hinsichtlich der tatsächlichen Tragweite der von Facebook für die Verwendung der Cookies zur Verfügung gestellten Mechanismen hervorzurufen, und drittens, alle personenbezogenen Daten, die durch Cookies und Social Plugins erlangt worden sind, zu löschen.

Am 2. März 2018 legten Facebook Ireland, Facebook Inc. und Facebook Belgium beim Hof van beroep te Brussel (Appelationshof Brüssel, Belgien) gegen dieses Urteil Berufung ein. Vor diesem Gericht tritt die GBA als Rechtsnachfolgerin sowohl des Präsidenten der CBPL, der die Unterlassungsklage erhoben hatte, als auch der CBPL selbst auf.

Das vorlegende Gericht hat sich für die Entscheidung über die eingelegte Berufung nur insoweit für zuständig erklärt, als diese Facebook Belgium betrifft. Soweit die Berufung Facebook Ireland und die Facebook Inc. betrifft, hat es sich hingegen für unzuständig erklärt.

Vor einer Entscheidung in der Sache stellt sich das vorlegende Gericht die Frage, ob die GBA über die erforderliche Klagebefugnis und das erforderliche Rechtsschutzinteresse verfügt. Facebook Belgium vertritt die Auffassung, dass die Unterlassungsklage, soweit sie sich auf Sachverhalte vor dem 25. Mai 2018 beziehe, unzulässig sei, da Art. 32 Abs. 3 des Gesetzes vom 8. Dezember 1992, die Rechtsgrundlage für die Erhebung einer solchen Klage, nach dem Inkrafttreten des Gesetzes vom 3. Dezember 2017 und der Verordnung 2016/679 aufgehoben worden sei. Für Sachverhalte nach dem 25. Mai 2018 sei die GBA im Anbetracht des Verfahrens der Zusammenarbeit und Kohärenz, wie es die Verordnung 2016/679 nun vorsehe, nicht zuständig und nicht befugt, eine Unterlassungsklage zu erheben. Nach der Verordnung 2016/679 sei allein der Data Protection Commissioner (Datenschutzbeauftragter, Irland) für die Erhebung von Unterlassungsklagen gegen Facebook Ireland zuständig. Verantwortlich für die Verarbeitung der personenbezogenen Daten der Personen, die die Dienste von Facebook im Unionsgebiet nutzten, sei nämlich allein Facebook Ireland.

Das vorlegende Gericht hat entschieden, dass die GBA, soweit die Unterlassungsklage Sachverhalte vor dem 25. Mai 2018 betreffe, das für diese Klage erforderliche Rechtsschutzinteresse nicht dargetan habe. In Bezug auf nach diesem Zeitpunkt liegende Sachverhalte hat das vorlegende Gericht jedoch Zweifel hinsichtlich der Auswirkungen des Inkrafttretens der Verordnung 2016/679, insbesondere der Anwendung des darin vorgesehenen Verfahrens der Zusammenarbeit und Kohärenz, auf die Zuständigkeiten der GBA und auf deren Befugnis, eine solche Unterlassungsklage zu erheben.

Nun, da festgestellt worden sei, dass Facebook Ireland der für die Verarbeitung der betreffenden Daten Verantwortliche sei, stelle sich die Frage, ob die GBA hinsichtlich der nach dem 25. Mai 2018 liegenden Sachverhalte gegen Facebook Belgium Klage erheben könne. Nach dem Verfahren der Zusammenarbeit und Kohärenz sei nach Art. 56 der Verordnung 2016/679 seit dem 25. Mai 2018 offenbar allein der Data Protection Commissioner zuständig, der allein der Kontrolle durch die irischen Gerichte unterliege.

Das vorlegende Gericht weist darauf hin, dass der Gerichtshof in dem Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), entschieden habe, dass die „deutsche Kontrollstelle“ für die Entscheidung über einen den Schutz personenbezogener Daten betreffenden Rechtsstreit zuständig sei, obwohl der für die Verarbeitung der betreffenden Daten Verantwortliche seinen Sitz in Irland gehabt habe und dessen in Deutschland ansässige Tochtergesellschaft, die Facebook Germany GmbH, allein für den Verkauf von Werbeflächen und für sonstige Marketingtätigkeiten im deutschen Hoheitsgebiet zuständig gewesen sei.

Das Vorabentscheidungsersuchen, über das der Gerichtshof in der Rechtssache, in der dieses Urteil ergangen sei, zu befinden gehabt habe, habe aber die Auslegungen der Vorschriften der Richtlinie 95/46 betroffen. Diese seien jedoch durch die Verordnung 2016/679 aufgehoben worden. Das vorlegende Gericht fragt sich deshalb, inwieweit die vom Gerichtshof in dem Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), vorgenommene Auslegung für die Anwendung der Verordnung 2016/679 noch relevant ist.

Das vorlegende Gericht weist weiter auf einen Beschluss des Bundeskartellamts (Deutschland) vom 6. Februar 2019 (im Folgenden: Facebook-Beschluss) hin, in dem diese Wettbewerbsbehörde im Wesentlichen festgestellt habe, dass das betreffende Unternehmen seine Stellung missbräuchlich ausgenutzt habe, indem es Daten aus verschiedenen Quellen zusammengeführt habe, was in Zukunft nur noch mit ausdrücklicher Einwilligung der Nutzer geschehen dürfe, wobei ein Nutzer, der diese Einwilligung nicht erteile, nicht von den Diensten von Facebook ausgeschlossen werden dürfe. Die betreffende Wettbewerbsbehörde habe sich offensichtlich trotz des Verfahrens der Zusammenarbeit und Kohärenz für zuständig erachtet.

Das vorlegende Gericht führt weiter aus, dass Art. 6 des Gesetzes vom 3. Dezember 2017, der es der GBA grundsätzlich gestatte, gegebenenfalls ein gerichtliches Verfahren einzuleiten, nach seiner Auffassung nicht bedeute, dass deren Klagen stets vor den belgischen Gerichten erhoben werden könnten. Nach dem Verfahren der Zusammenarbeit und Kohärenz seien nämlich solche Klagen wohl bei dem Gericht des Ortes der Datenverarbeitung zu erheben.

Der Hof van beroep te Brussel (Appellationshof Brüssel) hat das Verfahren daher ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1. Sind Art. 55 Abs. 1 und die Art. 56 bis 58 und 60 bis 66 der Verordnung 2016/679 in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde, die nach den in Umsetzung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, bei Verstößen gegen die Verordnung eine Klage vor einem Gericht ihres Mitgliedstaats zu erheben, diese Befugnis bei einer grenzüberschreitenden Verarbeitung, bei der sie nicht die federführende Aufsichtsbehörde ist, nicht ausüben kann?

2. Macht es dabei einen Unterschied, dass der für eine solche grenzüberschreitende Verarbeitung Verantwortliche in diesem Mitgliedstaat nicht seine Hauptniederlassung hat, wohl aber eine andere Niederlassung?

3. Macht es dabei einen Unterschied, dass die nationale Aufsichtsbehörde die Klage nicht gegen die Niederlassung erhebt, die der für die grenzüberschreitende Verarbeitung Verantwortliche in ihrem eigenen Mitgliedstaat hat, sondern gegen dessen Hauptniederlassung?

4. Macht es dabei einen Unterschied, dass die nationale Aufsichtsbehörde die Klage erhoben hat, noch bevor die Verordnung 2016/679 galt (25. Mai 2018)?

5. Falls Frage 1 bejaht wird: Entfaltet Art. 58 Abs. 5 der Verordnung 2016/679 unmittelbare Wirkung, so dass sich eine nationale Aufsichtsbehörde auf diese Vorschrift berufen kann, um ein Gerichtsverfahren gegen eine natürliche Person oder ein Unternehmen einzuleiten oder fortzusetzen, obwohl Art. 58 Abs. 5 der Verordnung trotz einer entsprechenden Verpflichtung nicht speziell in nationales Recht umgesetzt worden ist?

6. Falls die Fragen 1 bis 5 bejaht werden: Kann das Ergebnis solcher Verfahren einer gegenteiligen Feststellung der federführenden Aufsichtsbehörde entgegenstehen, wenn diese nach dem in den Art. 56 und 60 der Verordnung 2016/679 vorgesehenen Verfahren dieselben oder ähnliche grenzüberschreitende Verarbeitungsvorgänge untersucht?

Zu den Vorlagefragen

Zu Frage 1

Mit Frage 1 möchte das vorlegende Gericht wissen, ob Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung 2016/679 in Verbindung mit den Art. 7, 8 und 47 der Charta dahin auszulegen sind, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung für diese Datenverarbeitung ist.

Insoweit ist zunächst darauf hinzuweisen, dass zum einen im Gegensatz zur Richtlinie 95/46, die auf der Grundlage von Art. 100a EG-Vertrag betreffend die Harmonisierung des Gemeinsamen Marktes erlassen worden war, Rechtsgrundlage der Verordnung 2016/679 Art. 16 AEUV ist, nach dem jede Person das Recht auf Schutz der personenbezogenen Daten hat und durch den das Europäische Parlament und der Rat der Europäischen Union ermächtigt werden, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr zu erlassen. Zum anderen bekräftigt der erste Erwägungsgrund der Verordnung 2016/679, dass „[d]er Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten … ein Grundrecht [ist]“, und weist darauf hin, dass gemäß Art. 8 Abs. 1 der Charta sowie Art. 16 Abs. 1 AEUV jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat.

Entsprechend erlegt die Verordnung 2016/679, wie sich aus ihrem Art. 1 Abs. 2 in Verbindung mit den Erwägungsgründen 10, 11 und 13 ergibt, den Organen, Einrichtungen und sonstigen Stellen der Union sowie den zuständigen Behörden der Mitgliedstaaten die Verpflichtung auf, für die in Art. 16 AEUV und Art. 8 der Charta garantierten Rechte ein hohes Schutzniveau zu gewährleisten.

Im Übrigen steht die Verordnung 2016/679, wie es in ihrem vierten Erwägungsgrund heißt, im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden.

Vor diesem Hintergrund sieht Art. 55 Abs. 1 der Verordnung 2016/679 vor, dass jede Aufsichtsbehörde grundsätzlich für die Erfüllung der ihr mit der Verordnung übertragenen Aufgaben und die Ausübung der ihr mit der Verordnung übertragenen Befugnisse im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 147).

Die Aufsichtsbehörden haben u. a. die Aufgabe, die Anwendung der Verordnung 2016/679 zu überwachen und durchzusetzen (Art. 57 Abs. 1 Buchst. a der Verordnung 2016/679) und mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung der Verordnung zu gewährleisten (Art. 57 Abs. 1 Buchst. g der Verordnung 2016/679). Zur Erfüllung dieser Aufgaben haben die Aufsichtsbehörden u. a. verschiedene Untersuchungsbefugnisse (Art. 58 Abs. 1 der Verordnung 2016/679) sowie die Befugnis, Verstöße gegen die Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, um die Bestimmungen der Verordnung durchzusetzen (Art. 58 Abs. 5 der Verordnung 2016/679).

Die Erfüllung der genannten Aufgaben und die Ausübung der genannten Befugnisse setzt jedoch voraus, dass die Aufsichtsbehörde für eine bestimmte Datenverarbeitung überhaupt zuständig ist.

Insoweit sieht Art. 56 Abs. 1 der Verordnung 2016/679 – unbeschadet der in Art. 55 Abs. 1 der Verordnung enthaltenen Zuständigkeitsregel – für „grenzüberschreitende Verarbeitungen“ im Sinne von Art. 4 Nr. 23 der Verordnung das Verfahren der Zusammenarbeit und Kohärenz vor, das auf einer Aufteilung der Zuständigkeiten zwischen einer „federführenden Aufsichtsbehörde“ und den anderen betroffenen Aufsichtsbehörden beruht. Danach ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Art. 60 der Verordnung die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.

In Art. 60 der Verordnung 2016/679 ist das Verfahren der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden geregelt. In diesem Verfahren hat sich die federführende Aufsichtsbehörde insbesondere darum zu bemühen, einen Konsens zu erzielen. Hierzu legt sie den anderen betroffenen Aufsichtsbehörden gemäß Art. 60 Abs. 3 der Verordnung 2016/679 unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.

Es ergibt sich insbesondere aus den Art. 56 und 60 der Verordnung 2016/679, dass in Bezug auf die „grenzüberschreitenden Verarbeitungen“ im Sinne von Art. 4 Nr. 23 der Verordnung die verschiedenen betroffenen nationalen Aufsichtsbehörden – unbeschadet von Art. 56 Abs. 2 der Verordnung – nach dem in diesen Vorschriften geregelten Verfahren zusammenarbeiten müssen, um zu einem Konsens und zu einem einheitlichen Beschluss zu gelangen, der alle Aufsichtsbehörden bindet und mit dem der Verantwortliche die Verarbeitungstätigkeiten all seiner Niederlassungen in der Union in Einklang zu bringen hat. Darüber hinaus verpflichtet Art. 61 Abs. 1 der Verordnung die Aufsichtsbehörden u. a. dazu, sich einander maßgebliche Informationen zu übermitteln und einander Amtshilfe zu gewähren, um die Verordnung in der gesamten Union einheitlich durchzuführen und anzuwenden. Hierzu ist das in den Art. 64 und 65 der Verordnung geregelte Kohärenzverfahren vorgesehen, wie in Art. 63 der Verordnung klargestellt wird (Urteil vom 24. September 2019, Google [Räumliche Reichweite der Auslistung], C‑507/17, EU:C:2019:772, Rn. 68).

Das Verfahren der Zusammenarbeit und Kohärenz verlangt mithin eine loyale und wirksame Zusammenarbeit zwischen der federführenden und den anderen betroffenen Aufsichtsbehörden, was auch der 13. Erwägungsgrund der Verordnung 2016/679 bestätigt. Wie der Generalanwalt in Nr. 111 seiner Schlussanträge ausgeführt hat, kann die federführende Aufsichtsbehörde die Ansichten der anderen betroffenen Aufsichtsbehörden daher nicht außer Acht lassen und hat ein maßgeblicher und begründeter Einspruch, der von einer anderen betroffenen Aufsichtsbehörde eingelegt wird, zur Folge, dass die Annahme des Beschlussentwurfs der federführenden Aufsichtsbehörde zumindest vorübergehend blockiert wird.

So sieht Art. 60 Abs. 4 der Verordnung 2016/679 vor, dass die federführende Aufsichtsbehörde, wenn eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem sie konsultiert wurde, gegen den Beschlussentwurf einen maßgeblichen und begründeten Einspruch einlegt und sich die federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht anschließt oder der Ansicht ist, dass der Einspruch nicht maßgeblich oder nicht begründet ist, das Kohärenzverfahren gemäß Art. 63 der Verordnung für die Angelegenheit einleitet, um zu erreichen, dass der Europäische Datenschutzausschuss gemäß Art. 65 Abs. 1 Buchst. a der Verordnung einen verbindlichen Beschluss erlässt.

Beabsichtigt die federführende Aufsichtsbehörde hingegen, sich dem maßgeblichen und begründeten Einspruch anzuschließen, legt sie den anderen betroffenen Aufsichtsbehörden einen überarbeiteten Beschlussentwurf zur Stellungnahme vor (Art. 60 Abs. 5 der Verordnung 2016/679). Der überarbeitete Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach Art. 60 Abs. 4 der Verordnung 2016/679 unterzogen.

Nach Art. 60 Abs. 7 der Verordnung 2016/679 ist es grundsätzlich Sache der federführenden Aufsichtsbehörde, für die betreffende grenzüberschreitende Verarbeitung einen Beschluss zu erlassen, diesen der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mitzuteilen und die anderen betroffenen Aufsichtsbehörden sowie den Europäischen Datenschutzausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis zu setzen.

Die Verordnung 2016/679 sieht jedoch Ausnahmen vom Grundsatz der Entscheidungsbefugnis der federführenden Aufsichtsbehörde im Rahmen des Verfahrens der Zusammenarbeit und Kohärenz gemäß Art. 56 Abs. 1 der Verordnung vor.

Erstens bestimmt Art. 56 Abs. 2 der Verordnung 2016/679, dass eine Aufsichtsbehörde, die nicht die federführende Aufsichtsbehörde ist, dafür zuständig ist, sich mit einer bei ihr eingereichten Beschwerde zu befassen, die eine grenzüberschreitende Verarbeitung personenbezogener Daten oder einen etwaigen Verstoß gegen die Verordnung betrifft, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.

Zweitens sieht Art. 66 der Verordnung 2016/679 abweichend von den Kohärenzverfahren gemäß den Art. 60 und 63 bis 65 der Verordnung ein Dringlichkeitsverfahren vor. Das Dringlichkeitsverfahren ermöglicht es unter außergewöhnlichen Umständen, nämlich, wenn die betroffene Aufsichtsbehörde zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen, sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten zu treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen. Weiter sieht Art. 66 Abs. 2 der Verordnung vor, dass eine Aufsichtsbehörde, wenn sie eine Maßnahme nach Abs. 1 ergriffen hat und der Auffassung ist, dass dringend endgültige Maßnahmen erlassen werden müssen, unter Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des Europäischen Datenschutzausschusses ersuchen kann.

Bei der Ausübung dieser Zuständigkeit muss die Aufsichtsbehörde jedoch nach dem Verfahren gemäß Art. 56 Abs. 3 bis 5 der Verordnung 2016/670 loyal und wirksam mit der federführenden Aufsichtsbehörde zusammenarbeiten. Sie hat in solchen Fällen unverzüglich die federführende Aufsichtsbehörde zu unterrichten, die innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet, ob sie sich mit dem Fall befasst oder nicht (Art. 56 Abs. 3 der Verordnung 2016/670).

Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren der Zusammenarbeit nach Art. 60 der Verordnung 2016/670 Anwendung (Art. 56 Abs. 4 der Verordnung 2016/679). Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Art. 60 Abs. 3 der Verordnung weitestgehend Rechnung.

Entscheidet die federführende Aufsichtsbehörde hingegen, sich mit dem Fall nicht selbst zu befassen, so befasst sich die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, gemäß den Art. 61 und 62 der Verordnung 2016/679 mit dem Fall (Art. 56 Abs. 5 der Verordnung 2016/679). Danach haben die Aufsichtsbehörden, damit eine wirksame Zusammenarbeit der betroffenen Behörden gewährleistet ist, die Regeln über die gegenseitige Amtshilfe und über die Zusammenarbeit bei gemeinsamen Maßnahmen zu beachten.

Folglich ist zum einen bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten die Zuständigkeit der federführenden Aufsichtsbehörde für den Erlass eines Beschlusses, mit dem festgestellt wird, dass die Verarbeitung gegen die Vorschriften der Verordnung 2016/679 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, die Regel und die Zuständigkeit der anderen betroffenen Aufsichtsbehörden für den Erlass eines solchen, wenn auch nur vorläufigen, Beschlusses die Ausnahme. Zum anderen wird zwar die grundsätzliche Zuständigkeit der federführende Aufsichtsbehörde durch Art. 56 Abs. 6 der Verordnung bestätigt, wonach die genannte Behörde der „einzige Ansprechpartner“ der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung ist, doch muss sie bei der Wahrnehmung dieser Zuständigkeit eng mit den anderen betroffenen Aufsichtsbehörden zusammenarbeiten. Wie bereits ausgeführt (siehe oben, Rn. 53), muss die federführende Aufsichtsbehörde bei der Wahrnehmung ihrer Zuständigkeiten insbesondere den gebotenen Dialog führen und loyal und wirksam mit den anderen betroffenen Aufsichtsbehörden zusammenarbeiten.

Insoweit ergibt sich aus dem zehnten Erwägungsgrund der Verordnung 2016/679, dass mit dieser u. a. erreicht werden soll, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten unionsweit gleichmäßig und einheitlich angewandt werden und dass die Hemmnisse für den Verkehr personenbezogener Daten in der Union beseitigt werden.

Dieses Ziel und die praktische Wirksamkeit des Verfahrens der Zusammenarbeit und Kohärenz könnten aber gefährdet werden, wenn eine Aufsichtsbehörde, die in Bezug auf eine grenzüberschreitende Datenverarbeitung nicht die federführende ist, die Befugnis gemäß Art. 58 Abs. 5 der Verordnung 2016/679 außerhalb derjenigen Fälle ausüben könnte, in denen sie für den Erlass eines Beschlusses der in Rn. 63 des vorliegenden Urteils genannten Art zuständig ist. Die Ausübung dieser Befugnis zielt nämlich darauf ab, eine rechtsverbindliche gerichtliche Entscheidung zu erwirken. Eine solche Entscheidung vermag aber das genannte Ziel und das Verfahren der Zusammenarbeit und Kohärenz genauso zu beeinträchtigen wie ein Beschluss, der von einer Aufsichtsbehörde erlassen wird, die nicht die federführende ist.

Dass eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende ist, die Befugnis gemäß Art. 58 Abs. 5 der Verordnung 2016/679 nur unter Beachtung der Vorschriften über die Aufteilung der Entscheidungszuständigkeiten, wie sie insbesondere in den Art. 55 und 56 der Verordnung in Verbindung mit Art. 60 der Verordnung vorgesehen sind, wahrnehmen kann, steht entgegen dem Vorbringen der GBA mit den Art. 7, 8 und 47 der Charta in Einklang.

Was zum einen den angeblichen Verstoß gegen die Art. 7 und 8 der Charta betrifft, ist darauf hinzuweisen, dass Art. 7 der Charta jeder Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation garantiert, während Art. 8 Abs. 1 der Charta – so wie auch Art. 16 Abs. 1 AEUV – ausdrücklich das Recht einer jeden Person auf Schutz der sie betreffenden personenbezogenen Daten anerkennt. Es ergibt sich insbesondere aus Art. 51 Abs. 1 der Verordnung 2016/679, dass die Aufsichtsbehörden für die Überwachung der Anwendung der Verordnung u. a. deswegen zuständig sind, um die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu schützen. Daraus folgt nach dem oben in Rn. 45 Gesagten, dass die in der Verordnung enthaltenen Vorschriften über die Aufteilung der Entscheidungszuständigkeiten zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden nichts daran ändern, dass alle diese Behörden zu einem hohen Niveau des Schutzes der genannten Rechte beizutragen haben, wobei diese Vorschriften und die Anforderungen an Zusammenarbeit und gegenseitige Amtshilfe (siehe oben, Rn. 52) zu beachten sind.

Dies bedeutet insbesondere, dass das Verfahren der Zusammenarbeit und Kohärenz keinesfalls dazu führen darf, dass eine nationale Aufsichtsbehörde, namentlich die federführende, ihren Verpflichtungen aus der Verordnung 2016/679 nicht nachkommt, zu einem wirksamen Schutz der natürlichen Personen gegen Beeinträchtigungen der in der vorstehenden Randnummer genannten Grundrechte beizutragen. Sonst würde einem forum shopping –insbesondere der Verantwortlichen – zur Umgehung dieser Grundrechte und der wirksamen Anwendung der Vorschriften der Verordnung, mit denen diese konkretisiert werden, Vorschub geleistet.

Was zum anderen den angeblichen Verstoß gegen das in Art. 47 der Charta garantierte Recht auf einen wirksamen Rechtsbehelf angeht, ist festzustellen, dass auch diesem Vorbringen nicht gefolgt werden kann. Denn das oben in den Rn. 64 und 65 geschilderte Rahmenwerk, innerhalb dessen eine Aufsichtsbehörde, die nicht die federführende ist, die Möglichkeit hat, die Befugnis gemäß Art. 58 Abs. 5 der Verordnung 2016/679 in Bezug auf eine grenzüberschreitende Verarbeitung personenbezogener Daten auszuüben, lässt das in Art. 78 Abs. 1 und 2 der Verordnung einer jeden Person zuerkannte Recht unberührt, gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde oder dagegen einen wirksamen gerichtlichen Rechtsbehelf einzulegen, dass sich die Aufsichtsbehörde, die nach Art. 55 und 56 der Verordnung in Verbindung mit Art. 60 der Verordnung für die Entscheidung zuständig ist, nicht mit einer von der fraglichen Person eingelegten Beschwerde befasst hat.

Dies gilt insbesondere für den in Art. 56 Abs. 5 der Verordnung 2016/679 geregelten Fall, dass sich, wie oben in Rn. 62 ausgeführt, diejenige Aufsichtsbehörde, die gemäß Art. 56 Abs. 3 der Verordnung die federführende Aufsichtsbehörde unterrichtet hat, mit dem Fall gemäß den Art. 61 und 62 der Verordnung befassen kann, wenn die federführende Aufsichtsbehörde, nachdem sie unterrichtet worden ist, entscheidet, sich mit dem Fall nicht selbst zu befassen. Dabei kann sich die Aufsichtsbehörde gegebenenfalls durchaus dafür entscheiden, von der Befugnis, die ihr Art. 58 Abs. 5 der Verordnung verleiht, Gebrauch zu machen.

Allerdings ist zu beachten, dass die Ausübung der Befugnis einer Aufsichtsbehörde eines Mitgliedstaats, die Gerichte des eigenen Staates anzurufen, nicht ausgeschlossen sein kann, wenn ihr die federführende Aufsichtsbehörde, nachdem sie von der erstgenannten Behörde gemäß Art. 61 der Verordnung 2016/679 um gegenseitige Amtshilfe ersucht worden ist, die Informationen, um die sie ersucht worden ist, nicht übermittelt. In einem solchen Fall kann die betroffene Aufsichtsbehörde nach Art. 61 Abs. 8 der Verordnung eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats ergreifen. Ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie gemäß Art. 66 Abs. 2 der Verordnung im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des Europäischen Datenschutzausschusses ersuchen. Zudem kann eine Aufsichtsbehörde nach Art. 64 Abs. 2 der Verordnung beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Europäischen Datenschutzausschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Art. 61 der Verordnung nicht nachkommt. Nach einer solchen Stellungnahme oder einem solchen verbindlichen Beschluss des Europäischen Datenschutzausschusses muss die betroffene Aufsichtsbehörde, soweit sich der Europäische Datenschutzausschuss nach Berücksichtigung sämtlicher relevanter Umstände dafür ausgesprochen hat, die Maßnahmen ergreifen können, die erforderlich sind, um zu gewährleisten, dass die Vorschriften der Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten eingehalten werden, und hierzu die Befugnis ausüben können, die ihr Art. 58 Abs. 5 der Verordnung verleiht.

Die Aufteilung der Zuständigkeiten und Verpflichtungen zwischen den Aufsichtsbehörden beruht nämlich notwendigerweise auf der Prämisse einer loyalen und wirksamen Zusammenarbeit untereinander sowie mit der Kommission, um die korrekte und kohärente Anwendung der Verordnung 2016/679 zu gewährleisten, wie deren Art. 51 Abs. 2 bestätigt.

Im vorliegenden Fall wird das vorlegende Gericht zu prüfen haben, ob die Vorschriften über die Aufteilung der Zuständigkeiten sowie die einschlägigen Verfahren und Mechanismen der Verordnung 2016/679 in dem Fall, der Gegenstand des Ausgangsverfahrens ist, richtig angewandt worden sind. Dabei wird es insbesondere zu prüfen haben, ob hinsichtlich der betreffenden Verarbeitung, für die die GBA nicht die federführende Aufsichtsbehörde ist, soweit es um Verhaltensweisen des sozialen Netzwerks Facebook nach dem 25. Mai 2018 im Internet geht, nicht der oben in Rn. 71 dargestellte Fall vorliegt.

Insoweit weist der Gerichtshof darauf hin, dass der Europäische Datenschutzausschuss in seiner Stellungnahme 5/2019 vom 12. März 2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der [Datenschutz-Grundverordnung], insbesondere in Bezug auf die Zuständigkeiten, Aufgaben und Befugnisse von Datenschutzbehörden, erklärt hat, dass das Speichern und das Lesen von personenbezogenen Daten mittels Cookies in den Anwendungsbereich der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) und nicht unter das Verfahren der Zusammenarbeit und Kohärenz falle. Alle früheren Vorgänge und die späteren Verarbeitungen der personenbezogenen Daten mittels anderer Technologien fallen hingegen durchaus in den Anwendungsbereich der Verordnung 2016/679 und damit unter das Verfahren der Zusammenarbeit und Kohärenz. Da ihr Antrag auf gegenseitige Amtshilfe solche späteren Vorgänge der Verarbeitung personenbezogener Daten betraf, ersuchte die GBA den Data Protection Commissioner im April 2019 darum, ihrem Antrag so schnell wie möglich nachzukommen. Der Data Protection Commissioner soll darauf nicht reagiert haben.

Nach alledem ist auf Frage 1 zu antworten, dass Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung 2016/679 in Verbindung mit den Art. 7, 8 und 47 der Charta dahin auszulegen sind, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.

Zu Frage 2

Mit Frage 2 möchte das vorlegende Gericht wissen, ob Art. 58 Abs. 5 der Verordnung 2016/679 dahin auszulegen ist, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis, die Einleitung eines gerichtlichen Verfahrens zu betreiben, bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine „Hauptniederlassung“ im Sinne von Art. 4 Nr. 16 der Verordnung oder eine andere Niederlassung hat.

Nach Art. 55 Abs. 1 der Verordnung 2016/679 ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit der Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

Nach Art. 58 Abs. 5 der Verordnung 2016/679 sind die Aufsichtsbehörden befugt, vermeintliche Verstöße gegen diese Verordnung einem Gericht ihres Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, um die Bestimmungen der Verordnung durchzusetzen.

Art. 58 Abs. 5 der Verordnung 2016/679 ist jedoch allgemein formuliert, und der Unionsgesetzgeber hat die Ausübung dieser Befugnis durch eine Aufsichtsbehörde eines Mitgliedstaats nicht davon abhängig gemacht, dass die Klage gegen einen Verantwortlichen erhoben wird, der im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde eine „Hauptniederlassung“ im Sinne von Art. 4 Nr. 16 der Verordnung oder eine andere Niederlassung hat.

Eine Aufsichtsbehörde eines Mitgliedstaats kann ihre Befugnis gemäß Art. 58 Abs. 5 der Verordnung 2016/679 allerdings nur ausüben, wenn feststeht, dass diese Befugnis in den räumlichen Anwendungsbereich der Verordnung fällt.

Insoweit sieht Art. 3 der Verordnung 2016/679, in dem der räumliche Anwendungsbereich der Verordnung geregelt wird, in Abs. 1 vor, dass die Verordnung auf die Verarbeitung personenbezogener Daten Anwendung findet, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

Hierzu heißt es im 22. Erwägungsgrund der Verordnung 2016/679, dass eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraussetzt und dass die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, dabei nicht ausschlaggebend ist.

Folglich ist gemäß Art. 3 Abs. 1 der Verordnung 2016/679 deren räumlicher Anwendungsbereich – vorbehaltlich der in Art. 3 Abs. 2 und 3 der Verordnung genannten Fälle – dadurch bedingt, dass der für eine grenzüberschreitende Verarbeitung Verantwortliche oder der Auftragsverarbeiter eine Niederlassung im Unionsgebiet hat.

Somit ist auf Frage 2 zu antworten, dass Art. 58 Abs. 5 der Verordnung 2016/679 dahin auszulegen ist, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.

Zu Frage 3

Mit Frage 3 möchte das vorlegende Gericht wissen, ob Art. 58 Abs. 5 der Verordnung 2016/679 dahin auszulegen ist, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, wenn sie bei einer grenzüberschreitenden Datenverarbeitung von der ihr nach dieser Vorschrift zustehenden Befugnis Gebrauch macht, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, ihre Klage gegen die Hauptniederlassung des Verantwortlichen zu erheben hat, oder dahin, dass sie ihre Klage gegen die Niederlassung in ihrem eigenen Mitgliedstaat zu erheben hat.

Aus der Vorlageentscheidung geht hervor, dass Hintergrund dieser Frage der Streit der Parteien darüber ist, ob das vorlegende Gericht für die Unterlassungsklage, soweit diese gegen Facebook Belgium gerichtet ist, unter Berücksichtigung dessen zuständig ist, dass zum einen der Facebook-Konzern in der Union seinen Sitz in Irland und Facebook Ireland die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet hat und dass zum anderen nach einer konzerninternen Aufteilung die Niederlassung in Belgien in erster Linie gegründet worden sein soll, um es dem Konzern zu ermöglichen, Beziehungen zu den Organen der Union zu unterhalten, und nur in zweiter Linie, um an in Belgien ansässige Personen gerichtete Werbe- und Marketingmaßnahmen des Konzerns zu fördern.

Wie bereits ausgeführt (siehe oben, Rn. 47), sieht Art. 55 Abs. 1 der Verordnung 2016/679 vor, dass grundsätzlich jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr gemäß der Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist.

Zur Befugnis einer Aufsichtsbehörde eines Mitgliedstaats zur Erhebung einer Klage im Sinne von Art. 58 Abs. 5 der Verordnung 2016/679 ist darauf hinzuweisen, dass diese Bestimmung, wie der Generalanwalt in Nr. 150 seiner Schlussanträge ausgeführt hat, weit formuliert ist und nicht angibt, gegen wen die Aufsichtsbehörden wegen eines Verstoßes gegen die Verordnung Klage erheben müssen oder können.

Folglich beschränkt Art. 58 Abs. 5 der Verordnung 2016/679 die Ausübung der Befugnis, ein gerichtliches Verfahren einzuleiten, nicht in dem Sinne, dass eine Klage nur gegen eine „Hauptniederlassung“ oder gegen eine andere „Niederlassung“ des Verantwortlichen erhoben werden könnte. Vielmehr kann die Aufsichtsbehörde eines Mitgliedstaats nach dieser Bestimmung, wenn sie gemäß den Art. 55 und 56 der Verordnung über die hierzu erforderliche Zuständigkeit verfügt, die ihr durch die Verordnung verliehenen Befugnisse in ihrem nationalen Hoheitsgebiet ungeachtet dessen ausüben, in welchem Mitgliedstaat der Verantwortliche oder sein Auftragsverarbeiter niedergelassen ist.

Die Ausübung der den jeweiligen Aufsichtsbehörden durch Art. 58 Abs. 5 der Verordnung 2016/679 verliehenen Befugnis setzt jedoch voraus, dass die Verordnung anwendbar ist. Wie bereits ausgeführt (siehe oben, Rn. 81), sieht Art. 3 Abs. 1 der Verordnung 2016/679 vor, dass die Verordnung auf die Verarbeitung personenbezogener Daten Anwendung findet, soweit diese „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet“.

Im Hinblick auf das Ziel der Richtlinie 2016/679, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen zu gewährleisten, insbesondere des Rechts auf Achtung des Privatlebens und des Rechts auf Schutz der personenbezogenen Daten, kann die Voraussetzung, dass die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten“ der betreffenden Niederlassung erfolgen muss, nicht eng ausgelegt werden (vgl. entsprechend Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 56 und die dort angeführte Rechtsprechung).

Im vorliegenden Fall geht aus der Vorlageentscheidung und den schriftlichen Erklärungen von Facebook Belgium hervor, dass die Aufgabe dieser Gesellschaft in erster Linie darin besteht, Beziehungen zu den Unionsorganen zu unterhalten, und lediglich in zweiter Linie, an in Belgien ansässige Personen gerichtete Werbe- und Marketingmaßnahmen des Konzerns zu fördern.

Die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten, die im Unionsgebiet ausschließlich von Facebook Ireland vorgenommen wird und darin besteht, dass mittels verschiedener Technologien wie z. B. Social Plugins und Pixeln Informationen über das Surfverhalten sowohl der Inhaber eines Facebook-Kontos als auch von Personen, die die Dienste von Facebook nicht nutzen, gesammelt werden, dient gerade dazu, es dem betreffenden sozialen Netzwerk zu ermöglichen, die Wirksamkeit seines Werbesystems zu steigern, indem gezielt Mitteilungen verbreitet werden.

Zum einen ist aber festzustellen, dass ein soziales Netzwerk wie Facebook seine Einkünfte zu einem erheblichen Teil namentlich mit über das Netzwerk verbreiteter Werbung erzielt und dass die Tätigkeit der Niederlassung in Belgien, wenn auch nur in zweiter Linie, dazu dient, in diesem Mitgliedstaat die Werbung und den Verkauf von Werbeflächen zu gewährleisten, mit denen die Dienste von Facebook rentabel gemacht werden sollen. Zum anderen zielt die von Facebook Belgium in erster Linie ausgeübte Tätigkeit, die darin besteht, Beziehungen zu den Unionsorganen zu unterhalten und für diese einen Ansprechpartner darzustellen, u. a. darauf ab, die Politik der Verarbeitung personenbezogener Daten durch Facebook Ireland festzulegen.

Unter diesen Umständen ist bei den Tätigkeiten der Niederlassung des Facebook-Konzerns in Belgien davon auszugehen, dass sie untrennbar mit der im Ausgangsverfahren in Rede stehenden Verarbeitung der personenbezogenen Daten verbunden ist, für die Facebook Ireland der hinsichtlich des Hoheitsgebiets der Union Verantwortliche ist. Einer solche Verarbeitung erfolgt daher „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen“ im Sinne von Art. 3 Abs. 1 der Verordnung 2016/679.

Nach alledem ist auf Frage 3 zu antworten, dass Art. 58 Abs. 5 der Verordnung 2016/679 dahin auszulegen ist, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Frage 1 dafür zuständig ist, diese Befugnis auszuüben.

Zu Frage 4

Mit Frage 4 möchte das vorlegende Gericht wissen, ob Art. 58 Abs. 5 der Verordnung 2016/679 dahin auszulegen ist, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, gegen eine grenzüberschreitende Verarbeitung personenbezogener Daten Klage erhoben hat, dieser Umstand geeignet ist, sich auf die Voraussetzungen auszuwirken, unter denen diese Aufsichtsbehörde eines Mitgliedstaats die ihr nach Art. 58 Abs. 5 der Verordnung zustehende Befugnis, die Einleitung eines gerichtlichen Verfahrens zu betreiben, ausüben kann.

Facebook Ireland, Facebook Inc. und Facebook Belgium machen vor dem vorlegenden Gericht nämlich geltend, dass infolge dessen, dass ab dem 25. Mai 2018 die Verordnung 2016/679 gelte, es unzulässig, wenn nicht gar unbegründet sei, eine vor diesem Zeitpunkt erhobene Klage aufrechtzuerhalten.

Die Verordnung 2016/679 tritt nach ihrem Art. 99 Abs. 1 am 20. Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Nachdem die genannte Verordnung am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden war, trat sie mithin am 25. Mai 2016 in Kraft. Nach ihrem Art. 99 Abs. 2 gilt sie ab dem 25. Mai 2018.

Insoweit ist festzustellen, dass eine neue Rechtsnorm ab dem Inkrafttreten des Rechtsakts anwendbar ist, mit dem sie eingeführt wird, und dass sie zwar nicht auf unter dem alten Recht entstandene und endgültig erworbene Rechtspositionen anwendbar ist, doch auf deren künftige Wirkungen sowie auf neue Rechtspositionen Anwendung findet. Etwas anderes gilt nur – und vorbehaltlich des Verbots der Rückwirkung von Rechtsakten –, wenn zusammen mit der Neuregelung besondere Vorschriften getroffen werden, die speziell die Voraussetzungen für ihre zeitliche Geltung regeln. Insbesondere ist bei Verfahrensvorschriften im Allgemeinen davon auszugehen, dass sie ab dem Zeitpunkt ihres Inkrafttretens Anwendung finden, während materiell-rechtliche Vorschriften in der Regel so ausgelegt werden, dass sie für vor ihrem Inkrafttreten entstandene Sachverhalte nur gelten, wenn aus ihrem Wortlaut, ihrer Zielsetzung oder ihrem Aufbau eindeutig hervorgeht, dass ihnen eine solche Wirkung beizumessen ist (Urteil vom 25. Februar 2021, Caisse pour l’avenir des enfants [Beschäftigung bei der Geburt], C‑129/20, EU:C:2021:140, Rn. 31 und die dort angeführte Rechtsprechung).

Die Verordnung 2016/679 enthält weder eine Übergangsregelung noch eine andere Regelung über den Status von Gerichtsverfahren, die eingeleitet wurden, bevor sie galt, und zu dem Zeitpunkt, zu dem sie galt, noch anhängig waren. Insbesondere sieht keine Bestimmung der Verordnung vor, dass diese zur Beendigung aller am 25. Mai 2018 anhängigen Gerichtsverfahren führte, die angebliche Verstöße gegen Vorschriften der Richtlinie 95/46 zur Regelung der Verarbeitung personenbezogener Daten zum Gegenstand haben, und zwar auch dann, wenn die Verhaltensweisen, die solche Verstöße darstellen sollen, über diesen Zeitpunkt hinaus andauern.

Im vorliegenden Fall enthält Art. 58 Abs. 5 der Verordnung 2016/679 Vorschriften über die Befugnis einer Aufsichtsbehörde, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.

Unter diesen Umständen ist bei Klagen, die von einer Aufsichtsbehörde eines Mitgliedstaats wegen Verstößen des Verantwortlichen oder des Auftragsverarbeiters gegen die Vorschriften über den Schutz personenbezogener Daten erhoben werden, zu unterscheiden zwischen denen, die Verstöße betreffen, die begangen worden sind, bevor die Verordnung 2016/679 galt, und denen, die Verstöße betreffen, die begangen worden sind, als die Verordnung galt.

Im ersten Fall kann eine Klage wie die, die Gegenstand des Ausgangsverfahren ist, unionsrechtlich auf der Grundlage der Bestimmungen der Richtlinie 95/46 aufrechterhalten werden, die für die bis zu ihrer Aufhebung am 25. Mai 2018 begangenen Verstöße weiter gilt. Im zweiten Fall kann eine solche Klage gemäß Art. 58 Abs. 5 der Verordnung 2016/679 nur unter der Voraussetzung erhoben werden, dass sie, wie im Rahmen der Antwort auf Frage 1 ausgeführt, unter die Fälle fällt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Zuständigkeit verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Verarbeitung personenbezogener Daten gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und dass die in der Verordnung vorgesehenen Verfahren eingehalten werden.

Nach alledem ist auf Frage 4 zu antworten, dass Art. 58 Abs. 5 der Verordnung 2016/679 dahin auszulegen ist, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46 aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.

Zu Frage 5

Für den Fall, dass Frage 1 bejaht werden sollte, möchte das vorlegende Gericht mit Frage 5 wissen, ob Art. 58 Abs. 5 der Verordnung 2016/679 dahin auszulegen ist, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.

Art. 58 Abs. 5 der Verordnung 2016/679 bestimmt, dass jeder Mitgliedstaat durch Rechtsvorschriften vorsieht, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.

Zunächst ist festzustellen, dass, wie die belgische Regierung vorträgt, Art. 58 Abs. 5 der Verordnung 2016/679 durch Art. 6 des Gesetzes vom 3. Dezember 2017 in das belgische Recht umgesetzt worden ist. Nach diesem Art. 6 des Gesetzes vom 3. Dezember 2017, dessen Wortlaut im Wesentlichen mit dem von Art. 58 Abs. 5 der Verordnung 2016/679 übereinstimmt, ist die GBA befugt, den Gerichtsbehörden jeden Verstoß gegen die Grundprinzipien des Schutzes personenbezogener Daten im Rahmen des Gesetzes vom 3. Dezember 2017 und der Gesetze, die Bestimmungen über den Schutz der Verarbeitung personenbezogener Daten enthalten, zur Kenntnis zu bringen und gegebenenfalls im Hinblick auf die Einhaltung dieser Grundprinzipien Klage zu erheben. Somit ist davon auszugehen, dass sich die GBA auf eine Bestimmung des nationalen Rechts wie Art. 6 des Gesetzes vom 3. Dezember 2017 stützen kann, mit der Art. 58 Abs. 5 der Verordnung 2016/679 in das belgische Recht umgesetzt wird, um zur Durchsetzung der Verordnung ein gerichtliches Verfahren zu betreiben.

Der Vollständigkeit halber ist ferner darauf hinzuweisen, dass eine Verordnung nach Art. 288 Abs. 2 AEUV in allen ihren Teilen verbindlich ist und unmittelbar in jedem Mitgliedstaat gilt, so dass ihre Vorschriften grundsätzlich keiner Durchführungsmaßnahmen der Mitgliedstaaten bedürfen.

Nach gefestigter Rechtsprechung des Gerichtshofs haben Verordnungen nach Art. 288 AEUV sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären. Allerdings kann es vorkommen, dass manche Bestimmungen einer Verordnung zu ihrer Durchführung des Erlasses von Durchführungsmaßnahmen durch die Mitgliedstaaten bedürfen (Urteil vom 15. März 2017, Al Chodor, C‑528/15, EU:C:2017:213, Rn. 27 und die dort angeführte Rechtsprechung).

Wie der Generalanwalt in Nr. 167 seiner Schlussanträge im Wesentlichen ausgeführt hat, enthält Art. 58 Abs. 5 der Verordnung 2016/679 eine spezifische und unmittelbar geltende Regel, wonach die Aufsichtsbehörden vor nationalen Gerichten klagebefugt sein müssen und befugt sein müssen, gerichtliche Verfahren nach dem nationalen Recht einzuleiten.

Aus Art. 58 Abs. 5 der Verordnung 2016/679 geht nicht hervor, dass die Mitgliedstaaten durch eine ausdrückliche Bestimmung festlegen müssten, unter welchen Voraussetzungen die nationalen Aufsichtsbehörden im Sinne dieser Bestimmung die Einleitung eines gerichtlichen Verfahrens betreiben können. Es genügt, dass die Aufsichtsbehörde nach den nationalen Rechtsvorschriften die Möglichkeit hat, Verstöße gegen die Verordnung 2016/679 den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sonst ein Verfahren anzustrengen, um die Bestimmungen der Verordnung durchzusetzen.

Somit ist auf Frage 5 zu antworten, dass Art. 58 Abs. 5 der Verordnung 2016/679 dahin auszulegen ist, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.

Zu Frage 6

Für den Fall, dass die Fragen 1 bis 5 bejaht werden sollten, möchte das vorlegende Gericht mit Frage 6 wissen, ob die federführende Aufsichtsbehörde durch den Ausgang eines von einer Aufsichtsbehörde eines Mitgliedstaats eingeleiteten Gerichtsverfahrens, das eine grenzüberschreitende Verarbeitung personenbezogener Daten zum Gegenstand hat, nach dem in den Art. 56 und 60 der Verordnung 2016/679 vorgesehenen Mechanismus daran gehindert sein kann, einen Beschluss zu erlassen, in dem sie zu einer gegenteiligen Feststellung gelangt, wenn sie dieselben oder ähnliche Tätigkeiten der grenzüberschreitenden Verarbeitung untersucht.

Hierzu ist festzustellen, dass nach ständiger Rechtsprechung für Fragen, die das Unionsrecht betreffen, die Vermutung der Entscheidungserheblichkeit gilt. Der Gerichtshof kann es nur dann ablehnen, über eine Vorlagefrage eines nationalen Gerichts zu befinden, wenn die erbetene Auslegung einer unionsrechtlichen Regelung offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (Urteile vom 16. Juni 2015, Gauweiler u. a., C‑62/14, EU:C:2015:400, Rn. 25, und vom 7. Februar 2018, American Express, C‑304/16, EU:C:2018:66, Rn. 32).

Ebenso entspricht es ständiger Rechtsprechung, dass die Rechtfertigung des Vorabentscheidungsersuchens nicht in der Abgabe von Gutachten zu allgemeinen oder hypothetischen Fragen liegt, sondern darin, dass das Ersuchen für die tatsächliche Entscheidung eines Rechtsstreits erforderlich ist (Urteil vom 10. Dezember 2018, Wightman u. a., C‑621/18, EU:C:2018:999, Rn. 28 und die dort angeführte Rechtsprechung).

Im vorliegenden Fall ist festzustellen, dass Frage 6, wie die belgische Regierung geltend macht, Umstände zugrunde liegen, für die mitnichten erwiesen ist, dass sie im Ausgangsverfahren vorlägen, nämlich dass es für die grenzüberschreitende Verarbeitung, die Gegenstand des Ausgangsverfahrens ist, eine federführende Aufsichtsbehörde gäbe, die nicht nur dieselben oder ähnliche Tätigkeiten der grenzüberschreitenden Verarbeitung personenbezogener Daten untersucht wie die, die Gegenstand des von der Aufsichtsbehörde des betreffenden Mitgliedstaats eingeleiteten Gerichtsverfahrens sind, sondern auch beabsichtigt, einen Beschluss zu erlassen, der zu einem entgegengesetzten Ergebnis kommt.

Unter diesen Umständen ist festzustellen, dass Frage 6 in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht und ein Problem hypothetischer Natur betrifft. Frage 6 ist mithin für unzulässig zu erklären.

Kosten

Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:

1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.

2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.

3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.

4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.

5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Jetzt zum Newsletter anmelden!

Erlaubnis zum Versand des Newsletters: Ich möchte regelmäßig per E-Mail über aktuelle News und interessante Entwicklungen aus den Tätigkeitsfeldern der Anwaltskanzlei Hild & Kollegen informiert werden. Diese Einwilligung zur Nutzung meiner E-Mail-Adresse kann ich jederzeit für die Zukunft widerrufen, in dem ich z. B. eine E-Mail an newsletter [at] kanzlei.biz sende. Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

n/a