Das Safe Harbour-Urteil des EuGH vom 06.10.2015 schlug hohe Wellen in der Öffentlichkeit, markierte es einen Meilenstein hinsichtlich des Umgangs mit personenbezogenen Daten. Allerdings ist es für den EuGH kein Neuland, sich mit datenschutzrechtlichen Fragen auseinanderzusetzen. Nur wenige Tage vor Veröffentlichung von Safe Harbour fällte der EuGH eine Entscheidung zu der Frage, wie weitreichend die Befugnisse nationaler Datenschutzbehörden sind. Demnach sei die EU-Datenschutzrechtlinie so zu verstehen, dass es nur eines in irgendeiner Weise gelagerten EU-Bezugs bedarf, um mit dem Datenschutzrecht eines EU-Mitgliedstaats in Berührung zu kommen.

Ausgangspunkt war die Vorlagefrage des Obersten Gerichtshofs Ungarns. Das Gericht wollte wissen, ob die Art. 4 Abs. 1 Buchst. a und Art. 28 der EU-Datenschutzrichtlinie so auszulegen sind, dass sie der Datenschutzbehörde eines Mitgliedstaats erlauben, das nationale Datenschutzrecht ihres Mitgliedstaats auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, dessen Gesellschaft allerdings in einem anderen Mitgliedstaat registriert ist.

Sachverhalt und Entscheidung

Im Ausgangsfall vermittelte die Weltimmo s.r.c, eine in der Slowakei eingetragene Gesellschaft, Immobilien in Ungarn. Dazu betrieb sie eine in ungarischer Sprache verfasste Webseite. Inserenten konnten ihre Angebote einen Monat lang kostenlos auf dieser Webseite bereitstellen, danach fiel eine Nutzungsgebühr an. Die Inserenten verlangten von Weltimmo, ihre Angebote noch vor Ablauf der Monatsfrist von der Webseite zu entfernen und ihre persönlichen Daten zu löschen. Weltimmo hingegen reagierte nicht, sondern leitete stattdessen die Daten der Inserenten an Inkassounternehmen weiter. Die Betroffenen sahen darin eine Verletzung ihrer Datenschutzrechte und reichten Beschwerde bei der ungarischen Datenschutzbehörde ein. Da die Behörde davon ausging, dass die Datenerfassung in Ungarn erfolgte, hielt sie sich für zuständig und verhängte gegen Weltimmo ein Bußgeld wegen des Verstoßes gegen das ungarische Informationsgesetz. Weltimmo reichte Klage beim Verwaltungs- und Arbeitsgericht in Budapest ein. Das Gericht hob die Entscheidung der Datenschutzbehörde zwar auf, befand allerdings den Sachverhalt für unzureichend aufgeklärt. Weltimmo machte sodann im Berufungsverfahren beim Obersten Gerichtshof geltend, eine weitere Aufklärung des Sachverhalts sei nicht erforderlich, da die ungarische Behörde nach Art. 4 Abs. 1 Buchst. a der EU-Datenschutzrichtline ohnehin nicht befugt sei, gegenüber einer Gesellschaft mit Sitz in einem anderen Mitgliedstaat ungarisches Recht anzuwenden. Die ungarische Datenschutzbehörde hätte vielmehr die slowakische Behörde auffordern müssen, an ihrer Stelle tätig zu werden.

Da der Oberste Gerichtshof Skepsis hegte, welches Recht nun anwendbar ist und welche Befugnisse die ungarische Behörde hat, bat er den EuGH um Auslegung der Datenschutzrichtlinie. Am 01.10.2015 erging dessen Urteil.

Nach Art. 4 Abs. 1 Buchst. a der der EU-Datenschutzrichtlinie hat jeder Mitgliedstaat dasjenige nationale Recht auf die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt, anzuwenden. Allerdings setzt das voraus, dass es für die effiziente und tatsächliche Tätigkeitausübung eine Niederlassung in Form einer festen Einrichtung gibt. Bereits in den Entscheidungen Google Spain und Google betonte der EuGH, dass die Anforderungen an das Merkmal „im Rahmen der Tätigkeiten“ einer Niederlassung nicht besonders hoch anzusetzen sind. Vielmehr ist hier der Begriff der Niederlassung flexibel zu verstehen. Es soll gerade nicht darauf abgestellt werden, dass ein Unternehmen nur an einem fixen Ort, an dem es eingetragen ist, niedergelassen ist. Der Begriff der Niederlassung bemisst sich bei Unternehmen, die ihre Leistungen über das Internet anbieten, nach anderen Kriterien: Zum einen ist das der Grad an Beständigkeit der Einrichtung und zum anderen die effektive Ausübung der wirtschaftlichen Tätigkeit, in deren Rahmen die Datenverarbeitung durchgeführt wurde.

Im Weltimmo-Urteil gibt der EuGH Anhaltspunkte vor, um eine effektive und tatsächliche Tätigkeitsausübung in einem Mitgliedstaat zu identifizieren. An die Identifizierungsmerkmale stellt der EuGH ebenfalls keine hochen Ansprüche: Es reicht schon aus, dass die Webseite des Unternehmens in der Sprache eines anderen Mitgliedstaats verfasst ist. Oder dass das Unternehmen ein Postfach oder ein Bankkonto in einem anderen Mitgliedstaat hat. Um an den Flexibilitätsgedanken des Niederlassungsbegriffs wieder anzuknüpfen, betont der EuGH, dass ein in einem anderen Mitgliedstaat tätiger Vertreter des Unternehmens bereits als eine Niederlassung zu verstehen ist. Im vorliegenden Fall war der Vertreter ungarischer Staatsbürger und wurde vom EuGH im weiteren Sinne sogar als „beständige Einrichtung“ klassifiziert.

Interessant ist, dass die Staatsangehörigkeit der Betroffenen für das anwendbare Recht bedeutungslos ist. Es kommt nur darauf an, ob personenbezogene Daten in irgendeiner Weise in der EU verarbeitet werden.

Was die Befugnisse der einzelstaatlichen Datenschutzbehörden angeht, macht der EuGH deutlich, dass jede Behörde erst einmal Ansprechpartner für Betroffene sein kann. Zudem hat jede Datenschutzbehörde vollkommen losgelöst vom anwendbaren Recht die Befugnis, Ermittlungen einzuleiten. Lediglich, wenn es um Eingriffswirkungen wie Bußgelder geht, beschränken sich Befugnisse auf das jeweilig Hoheitsgebiet. Nach Art. 28 Abs. 6 der EU-Datenschutzrichtlinie kann die Datenschutzbehörde die Behörde des anderen Mitgliedstaats ersuchen, Maßnahmen zu ergreifen.

Bedeutung für Webseitenbetreiber

Die Weltimmo-Entscheidung macht deutlich, dass der räumliche Anwendungsbereich der Datenschutzrichtlinie sehr weit reicht, da ein einfacher EU-Bezug, wie die Sprache, in der die Webseite verfasst ist, ausreicht. Auf diese Weise soll ein möglichst umfangreicher und tiefgreifender Datenschutz sichergestellt werden.

Allerdings führt das Ganze nicht unbedingt zu einer wünschenswerten Rechtssicherheit. Denn für Unternehmen, die ihre Tätigkeit über Internetseiten auf eine Vielzahl von Mitgliedstaaten ausrichten, besteht das Risiko, mit verschiedenen mitgliedstaatlichen Datenschutzgesetzen konfrontiert zu sein.

Des Weiteren dürfen Datenschutzbehörden grenzüberschreitend Untersuchungen durchführen. Erst, wenn klar ist, dass das Recht eines anderen Mitgliedstaats einschlägig ist, muss für entsprechende Sanktionen die zuständige Datenschutzbehörde ins Boot geholt werden. Das führt dazu, dass bis zu 28 Datenschutzbehörden Ermittlungen einleiten können.

Letztendlich wird durch das Urteil nur wieder einmal deutlich, dass Europa unbedingt ein einheitliches Datenschutzrecht benötigt, um Unternehmen nachhaltig Rechtssicherheit und Vorausschaubarkeit zu garantieren. Spätestens nach dem Safe Harbour-Urteil hat die EU die Brisans dieser Thematik erkannt und sich nach dreijährigem Hin und Her zu einer Reform des EU-Datenschrechts durchgerungen. Die neue EU-Datenschutzverordnung soll zukünftig einen einheitlichen Datenschutzstandard sicherstellen und dadurch insbesondere Unternehmen auf dem europäischen Markt Rechtssicherheit bieten. Unter anderem ist vorgesehen, dass nationale Datenschutzbehörden weiter ausgebaut werden und als zentrale Anlaufstellen für Beschwerden dienen sollen. Zudem soll die Zusammenarbeit der nationalen Behörden noch verstärkt werden. Das bedeutet wohl, dass die Befugnisse nationaler Datenschutzbehörden sogar noch stärker erweitert werden.

Es stellt sich also abschließend die Frage, inwieweit das Weltimmo-Urteil noch von Bedeutung ist. Innerhalb der EU womöglich nicht mehr so sehr, da die im Urteil angestellten Überlegungen nun per Verordnung verbindlich werden. Allerdings könnte das Urteil für Internetdienstleistungen anbietende Unternehmen mit Sitz außerhalb der EU noch beachtenswert sein.

Ob durch die Erweiterung der Befugnisse nationaler Datenschutzbehörden  sensible Umgang mit personenbezogenen Daten garantiert werden kann, ist fraglich und bleibt erst einmal abzuwarten. Im Frühjahr 2016  wird über den Kompromisstext für die Verordnung abgestimmt.

 

Quellen:
EuGH: Anwendbarkeit nationalen Datenschutzrechts auf ausländische Gesellschaft, NJW 2015, 3636.
Pressemitteilung des Europäischen Parlaments vom 17.12.2015.