bedeckt München 28°

DSGVO-Urteil:Deutsche Datenschützer können Facebook jetzt einfacher kontrollieren

FILE PHOTO: Outbreak of the coronavirus disease (Covid-19) pandemic in Dublin

Daumen hoch auch zum Standort Dublin: Hier hat Facebook seinen Europa-Sitz.

(Foto: Clodagh Kilcoyne/Reuters)

Finger weg, die Iren sind schon dran: Bislang war für den Datenschutz nur das Land zuständig, in dem eine Firma ihren Europasitz hat. Das höchste EU-Gericht lässt das nicht gelten. Facebook freut sich trotzdem.

Von Max Muth

Eigentlich sagt die europäische Datenschutz-Grundverordnung: Für DSGVO-Verfahren gegen Unternehmen sind die nationalen Datenschutzbehörden zuständig - und zwar dort, wo die Firma ihren Hauptsitz in Europa hat. Im Fall der meisten großen Tech-Unternehmen wie Facebook, Google, Tiktok oder Apple wäre das die irische Behörde. Doch unter bestimmen Umständen kann das auch anders laufen, hat der Europäische Gerichtshof (EuGH) am Dienstag entschieden: Dann könnten auch Behörden durchgreifen, die eigentlich nicht federführend sind.

Gegen das bisherige Prinzip, das in der Fachwelt One-Stop-Shop-Verfahren heißt, gibt es seit Längerem Unmut. Es steht die Vermutung im Raum, dass die irischen Datenschutzbehörden Verfahren gegen Facebook und die anderen Digitalkonzerne nicht gerade zügig bearbeiten und Regeln der DSGVO im Zweifel zu Gunsten der Unternehmen ausgelegt werden, die Steuern in Irland zahlen.

Im konkreten Fall vor dem EuGH hatte die belgische Datenschutzaufsicht bereits 2015 gegen Facebooks Nutzung von Cookies, Pixel und Plugins geklagt, mit Hilfe derer auch Nutzer überwacht werden, die gar kein Facebook-Konto haben. Ein belgisches Gericht untersagte Facebook diese Praxis 2018. Der Konzern legte Berufung ein, unter anderem mit der Begründung, Belgien sei für diesen Fall gemäß der EU-Regeln überhaupt nicht zuständig. Das belgische Berufungsgericht bat deshalb den Europäischen Gerichtshof um Klärung.

Das oberste europäische Gericht verwarf diese Argumentation Facebooks nun weitgehend. Ziel der DSGVO sei der Schutz der Grundrechte der EU-Bürger. Wenn eine federführende Behörde diesen Schutz nicht sicherstelle, aus welchen Gründen auch immer, hätten die nationalen Behörden das Recht, dies selbst zu tun. Sonst bestehe die Gefahr, dass sich Unternehmen dort niederlassen, wo sie am wenigsten zu befürchten hätten. Allerdings gälten für diese Fälle klare Regeln. So könnten nationale Behörden dies in den meisten Fällen nur im Rahmen eines Dringlichkeitsverfahrens tun, dessen Ergebnis nur für drei Monate gilt. Danach müsse der Europäische Datenschutzausschuss ein verbindliches Urteil fällen. In dem Ausschuss der nationalen Datenschutzbehörden ist die irische Behörde auch vertreten, hat dort jedoch nur noch einfaches Stimmrecht.

Die deutschen Datenschützer freuen sich. Facebook aber auch

Der Bundesdatenschutzbeauftragte Ulrich Kelber begrüßte die Entscheidung. "Wir dürfen nicht tolerieren, dass Unternehmen sich eine federführende Aufsichtsbehörde suchen, die ihrer Verpflichtung zum Schutz dieser Grundrechte nicht entschieden nachkommt", schrieb Kelber der SZ. Er finde es deshalb gut, dass es Ausnahmen von der federführenden Zuständigkeit geben könne. Seine Behörde werde "sehr genau prüfen, wann sich diese Möglichkeiten zukünftig ergeben."

Hierzulande ist der Hamburger Datenschutzbeauftragte Johannes Caspar für Facebook zuständig, das in der Stadt seinen Deutschlandsitz hat. Für ihn dürfte das Urteil eine Bestätigung sein. Caspar hatte Facebook im Mai Rahmen eines Dringlichkeitsverfahrens untersagt, die Daten von Millionen deutschen Nutzern seiner Tochter Whatsapp zu verarbeiten. Whatsapp hatte von seinen Nutzern die Einwilligung in neue Geschäftsbedingungen verlangt, die eine solche Verarbeitung möglich gemacht hätten. Ob der Hamburger Beschluss Bestand hat, muss nun in den kommenden Wochen der Europäische Datenschutzausschuss entscheiden.

Dass es nach dem EuGH-Urteil nun zu massenhaften Dringlichkeitsverfahren wegen DSGVO-Verstößen kommt, glaubt Caspar nicht. "Dennoch dürfte das Instrument, das bislang in der Praxis kaum Anwendung gefunden hat, durch das Urteil zukünftig aufgewertet wird, um die Rechte und Freiheiten Betroffener zu schützen", so Caspar.

Während viele Beobachter das Urteil eher als Rückschlag für Facebook werten, sieht sich das US-Unternehmen selbst nach dem Urteil gestärkt. "Wir freuen uns, dass der EuGH den Wert und die Grundsätze des One-Stop-Shop-Mechanismus bestätigt und seine Bedeutung für eine effiziente und einheitliche Anwendung der DSGVO in der gesamten EU hervorgehoben hat", schreibt das Unternehmen in einer Pressemitteilung.

© SZ
Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB