Heute hat der Europäische Gerichtshof (EuGH) ein wichtiges Urteil für das europäische Datenschutzrecht gefällt. Im Verfahren „Weltimmo“ (C-230/14) geht es im Grunde um zwei Themenkomplexe (in einem früheren Blogbeitrag habe ich ausführlich zu dem Sachverhalt und der Vorlagefrage berichtet):
Zum einen geht es um die Frage des anwendbaren Datenschutzrechts, wenn ein Unternehmen (hier: Weltimmo), welches allein in einem Mitgliedstaat der EU ansässig ist (hier: Slowakei), seine Dienste über das Internet auch in anderen Mitgliedstaaten (hier: Ungarn) anbietet. Gilt dann nur das Datenschutzrecht des Mitgliedstaates, in dem das Unternehmen, als verantwortliche Stelle, seinen Sitz hat?
Zum anderen geht es um die Frage, wie weit die Kompetenzen von nationalen Datenschutzaufsichtsbehörden (hier: die ungarische Behörde) reichen, wenn das Datenschutzrecht ihres Mitgliedstaates nicht anwendbar ist, sie jedoch die Datenverarbeitung durch ein Unternehmen prüfen möchten, welches zwar in einem anderen Mitgliedstaat niedergelassen ist, seine Dienste (etwa über eine Website) jedoch auch im Mitgliedstaat der Aufsichtsbehörde anbietet.
Die untersuchten Konstellationen betreffen insoweit „EU-Sachverhalte“. Datenverarbeitungen finden allein innerhalb der EU statt und auch die für die Datenverarbeitung Verantwortlichen sind allein in der EU niedergelassen. Dies ist ein wichtiger Unterschied zum „Google-Urteil“ des EuGH aus dem Mail 2014. Denn dort hatte die verantwortliche Stelle (Google Inc.) ihren Sitz in den USA.
Schlussanträge des Generalanwalts
Der zuständige Generalanwalt Pedro Cruz Villalón, hatte seine Schlussanträge im Juni 2015 vorgelegt (hierzu mein ausführlicher Blogbeitrag).
Kurz zusammengefasst ging er davon aus, dass es der ungarischen Datenschutzbehörde verwehrt ist, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.
Zudem ging der Generalanwalt davon aus, dass zwar dem Grunde nach jede Datenschutzbehörde gewisse Grundbefugnisse besitzt, u.a. auch eine Untersuchung einer Datenverarbeitung einzuleiten, die einem anderen nationalen Datenschutzrecht unterliegt. Aufgrund der territorialen Souveränität jedes Staates enden die öffentlich-rechtlichen Befugnisse von Aufsichtsbehörden jedoch an den Landesgrenzen. Eine Aufsichtsbehörde, deren Datenschutzrecht nicht anwendbar ist, kann daher nicht rechtsverbindlich feststellen, dass eine Datenverarbeitung rechtswidrig ist und sie kann auch keine Sanktionsmaßnahmen vornehmen, wie etwa ein Bußgeld festsetzen. Dies ist allein derjenigen Aufsichtsbehörde vorbehalten, deren nationales Datenschutzrecht anwendbar ist.
Die Entscheidung des EuGH
Kurz gesagt, bestätigt der EuGH die Ausführungen des Generalanwalts in dessen Schlussanträgen. Gerade mit Blick auf den ersten Themenkomplex (anwendbares Datenschutzrecht), geht das Gericht aber noch etwas über die Vorschläge des Generalanwalts hinaus.
Zum anwendbaren Recht
Bereits zu Beginn weist der EuGH auf zusätzlich tatsächliche Informationen hin, die für das Urteil im konkreten Verfahren von Bedeutung sind. Nach Informationen der ungarischen Datenschutzbehörde soll Weltimmo am Ort ihres Gesellschaftssitzes, der Slowakei, keine Tätigkeit ausüben. Außerdem habe Weltimmo diesen Sitz mehrmals von einem Staat in einen anderen verlegt. Zudem habe Weltimmo in Ungarn ein Bankkonto zur Einziehung ihrer Forderungen eröffnet und in diesem Mitgliedstaat ein Postfach für ihre laufenden Geschäfte besessen. Die Post sei regelmäßig abgeholt worden. Weltimmo selbst sei einfach nur in der Slowakei als Gesellschaft eingetragen.
Wie auch schon in seinem Google-Urteil, so legt der EuGH auch hier zunächst den Begriff der „Niederlassung“ aus Art. 4 Abs. 1 Buchst. a der Datenschutz-Richtlinie (RL 95/46/EG) aus. Die Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ kann, so der EuGH, im Hinblick auf das Ziel der Richtlinie 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden.
Dem Generalanwalt folgend ergibt sich für den EuGH aus Erwägungsgrund 19 der Datenschutz-Richtlinie, eine flexible Konzeption des Begriffs der Niederlassung, die Abstand nimmt von einer formalistischen Sichtweise, nach der ein Unternehmen ausschließlich an dem Ort niedergelassen sein kann, an dem es eingetragen ist (Rz. 29). Diese Feststellung ist hier besonders wichtig, da Weltimmo in der Slowakei tatsächlich anscheinend allein im Handelsregister eingetragen war. Zudem ist sie von besonderer Bedeutung für Unternehmen, die ihr Geschäft vor allem über das Internet betreiben und Dienste online, in mehreren Mitgliedstaaten anbieten.
Der EuGH führt weiter aus, dass sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten in einem anderen Mitgliedstaat unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen ist. Dies gelte insbesondere für Unternehmen, die Leistungen ausschließlich über das Internet anbieten. Es sei auch davon auszugehen, dass das Vorhandensein eines einzigen Vertreters unter bestimmten Umständen ausreichen kann, um eine feste Einrichtung (die Voraussetzung einer „Niederlassung“ ist) zu begründen, wenn dieser mit einem ausreichenden Grad an Beständigkeit mit den für die Erbringung der betreffenden konkreten Dienstleistungen erforderlichen Mitteln im fraglichen Mitgliedstaat tätig ist. Vorliegend stellt der EuGH fest, dass Weltimmo mit dem Betreiben einer oder mehrerer Websites zur Vermittlung von in Ungarn belegenen Immobilien, die in ungarischer Sprache verfasst sind und deren Inserate nach einem Monat kostenpflichtig werden, eine tatsächliche und effektive Tätigkeit in Ungarn ausübt. Eine Niederlassung in Ungarn würde damit vorliegen. Jedoch weist der EuGH auch darauf hin, dass das tatsächliche Vorliegen eines Vertreters, eines Postfachs und eines Bankkontos in Ungarn (also der Voraussetzungen einer Niederlassung), noch durch das vorlegende Gericht geprüft werden müssen.
Danach widmet sich der EuGH dem Begriff der Verarbeitung personenbezogener Daten, die „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt werden (Rz. 34). Erfreulicherweise nimmt der EuGH hier die konkret in Rede stehenden Datenverarbeitungen in den Blick.
„Im vorliegenden Fall besteht die im Ausgangsverfahren in Rede stehende Verarbeitung insbesondere in der Veröffentlichung von personenbezogenen Daten der Eigentümer dieser Immobilien auf den Websites zur Vermittlung von Immobilien von Weltimmo sowie gegebenenfalls in der Nutzung dieser Daten für Zwecke der Abrechnung der Inserate nach Ablauf eines Monats.“
Für den bestehen keine Zweifel, dass diese Verarbeitung im Rahmen der Tätigkeiten stattgefunden hat, die Weltimmo in Ungarn ausübt (Rz. 38).
Interessant ist zudem, dass der EuGH dem nationalen Gericht noch eine Handreichung dazu gibt, wie das Gericht bestimmen können soll, ob Weltimmo in Ungarn eine effektive und tatsächliche Tätigkeit ausübt. Dazu gehört:
- dass die Tätigkeit des für diese Verarbeitung Verantwortlichen, in deren Rahmen diese stattfindet, im Betreiben von Websites besteht, die der Vermittlung von Immobilien dienen, die sich im Hoheitsgebiet dieses Mitgliedstaats befinden,
- dass die Websites in dessen Sprache verfasst sind,
- und dass sie daher hauptsächlich oder sogar vollständig auf diesen Mitgliedstaat ausgerichtet ist,
- und zum anderen, dass dieser Verantwortliche über einen Vertreter in diesem Mitgliedstaat verfügt, der dafür zuständig ist, die Forderungen aus dieser Tätigkeit einzuziehen sowie den Verantwortlichen im Verwaltungsverfahren und im gerichtlichen Verfahren über die Verarbeitung der betreffenden Daten zu vertreten.
Sollten das ungarische Gericht anhand dieser Kriterien zu dem Schluss gelangen, dass eine Niederlassung in Ungarn besteht, dann gelte auch ungarisches Datenschutzrecht.
Kompetenzen von Datenschutzbehörden
Hier geht es um die Frage, wie weit die Befugnisse der ungarischen Behörde reichen, wenn eine Niederlassung von Weltimmo in Ungarn nicht existieren sollte und damit nicht ungarisches Recht anzuwenden wäre.
Der EuGH geht dabei zunächst auf Art. 28 Abs. 3 Datenschutz-Richtlinie ein und stellt fest, dass die Datenschutzbehörden danach insbesondere über Untersuchungsbefugnisse, wie das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, und über wirksame Einwirkungsbefugnisse, wie die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten, verfügen (Rz. 48).
Diese Auflistung ist jedoch nicht abschließend. Nach dem EuGH ist davon auszugehen, dass diese Einwirkungsbefugnisse die Befugnis umfassen können, den für die Datenverarbeitung Verantwortlichen zu bestrafen, indem gegen ihn gegebenenfalls ein Bußgeld verhängt wird (Rz. 49).
Zudem sind die den Behörden eingeräumten Befugnisse allein gemäß dem Verfahrensrecht ihres Mitgliedstaats auszuüben (Rz. 50).
Weiterhin geht der EuGH auf Art. 28 Abs. 6 Datenschutz-Richtlinie ein und stellt fest, dass aus diesem hervorgehe, dass die Kontrollstelle eines Mitgliedstaats, an die sich natürliche Personen mit einer Beschwerde über die Verarbeitung der sie betreffenden personenbezogenen Daten wenden, diese Beschwerde unabhängig vom anwendbaren Recht und daher selbst dann prüfen kann, wenn das auf die Verarbeitung der betreffenden Daten anwendbare Recht das eines anderen Mitgliedstaats ist.
Der EuGH folgt danach den Ausführungen des Generalanwalts und stellt fest, dass die Sanktionsgewalt der Behörden grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56).
Daraus ergibt sich für den EuGH die Schlussfolgerung, dass, wenn bei einer Kontrollstelle eine Beschwerde eingereicht wird, diese Stelle ihre Untersuchungsbefugnisse unabhängig vom anwendbaren Recht und noch bevor sie weiß, welches nationale Recht auf die fragliche Verarbeitung anzuwenden ist, ausüben kann.
Doch, so der EuGH weiter, wenn die Behörde feststellt, dass das Recht eines anderen Mitgliedstaats anwendbar ist, darf sie keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaats verhängen. In einer solchen Situation obliegt es ihr in Wahrnehmung der Verpflichtung zur Zusammenarbeit, die Kontrollstelle dieses anderen Mitgliedstaats zu ersuchen, einen möglichen Verstoß gegen dieses Recht festzustellen und Sanktionen zu verhängen (Rz. 57).
Für das konkrete Verfahren bedeutet dies, dass die ungarische Kontrollstelle für den Fall, dass das anwendbare Recht das eines anderen Mitgliedstaats als Ungarn ist, die ihr durch das ungarische Recht übertragenen Sanktionsbefugnisse nicht ausüben darf.
Fazit
Der EuGH bleibt seiner Rechtsprechung zum Recht auf den Schutz personenbezogener Daten treu. Den Begriff der „Niederlassung“, der für die Anwendbarkeit des Datenschutzrechts bedeutsam ist, legt er, wie auch im Urteil zu Google, sehr weit aus. Vorliegend lässt er die Existenz eines Vertreters, eines Handelsregistereintrages und eines Bankkontos ausreichen, um ungarisches Datenschutzrecht zur Anwendung zu bringen. Insbesondere die Ausführungen zur flexiblen Anwendung des Begriffs und auch der „Checkliste“ für das nationale Gericht, sind besonders interessant.
Was bedeutet dies nun? Unternehmen, die (wenn auch nur über Webseiten) ihre Dienste in mehreren Mitgliedstaaten anbieten und dazu einen (Handels-)Vertreter in einem Mitgliedstaat und dazu eventuell noch einen Handelsregistereintrag besitzen, werden sich mit mehreren, im äußersten Fall 28 verschiedenen, nationalen Datenschutzgesetzen auseinandersetzen müssen. Damit einhergehend auch mit 28 verschiedenen Datenschutzbehörden und deren Auslegung des Datenschutzrechts. Möchte ein Unternehmen nicht in diese Situation geraten, so müsste es jegliche physische Verbindungen in Form von Büros, Mitarbeitern oder Handelsregistereintragungen, zu Mitgliedstaaten kappen und seine Dienste über das Internet allein von einem Ort aus anbieten. Dann gilt auch nur das Datenschutzrecht des Mitgliedstaates am Ort der einzigen Niederlassung.
Für mich wird leider oft zu wenig Wert auf eine genau Trennung und Prüfung der einzelnen Datenverarbeitungen gelegt, wenn über die Frage des anwendbaren Datenschutzrechts gesprochen wird. Eine generelle Aussage, dass etwa für Weltimmo stets nun (auch) ungarisches Datenschutzrecht gilt, wäre meines Erachtens falsch. Denn Datenverarbeitungsprozesse werden zu ganz verschiedenen Zwecken vorgenommen. Der eine etwa, um Mitarbeiterdaten für Abrechnungszwecke zu verarbeiten, der andere, um Forderungen von Kunden einzuziehen und wiederum ein anderer Prozess, um Angebote auf einer Website ein- und darzustellen. Wie genau der hier vom EuGH als mögliche Niederlassung qualifizierte Vertreter in Ungarn jedoch mit diesen Datenverarbeitungen verbunden ist, muss das nationale Gericht noch klären.
Wenn man gerade im Bereich der Feststellung des anwendbaren Datenschutzrechts mit eine groben Kelle arbeiten würde und pauschal ein Datenschutzrecht für ein Unternehmen für anwendbar erklärt, fänden wir uns am Ende in der oben geschilderten Situation wieder, dass nämlich Unternehmen (und es geht hier nicht nur um amerikanische, chinesische oder japanische Unternehmen, die auf dem europäischen Markt unterwegs sind) einfach dem Grunde nach mehrere Datenschutzgesetze parallel beachten müssen. Genau das wollte aber die geltende Datenschutz-Richtlinie nicht. Aus gutem Grund. Denn dann hätte es einer europäischen Vereinheitlichung überhaupt nicht bedurft.
Ihre Schlussfolgerung passt m.E. nicht ganz. Es ist konsequent, dass Unternehmen (auch Internetunternehmen) die global tätig sind, mehrere Rechtsordnungen zu beachten (wie in anderen Rechtsgebieten z.B. dem Zivilrecht auch). Die Richtlinie ist eben keine Verordnung und verlangt nach einer nationalen Implementierung. Nur weil das Internet geografisch und technisch entgrenzt ist, „folgt“ das Recht eben nicht automatisch. Code is not law.
Pingback: Wochenrückblick: Kachelmann, Routerzwang, Adblock Plus - Telemedicus