Im Rahmen der Beschwerde eines deutschen Staatsbürgers hat sich die Europäische Kommission unter anderem zur Frage des anwendbaren Datenschutzrechts und der zuständigen Datenschutzaufsichtsbehörde für das Unternehmen PayPal geäußert. Die Stellungnahme der Europäischen Kommission ist über die Webseite des Petitionsausschusses des Europäischen Parlaments abrufbar (pdf).
Der Petent rügte unter anderem, dass PayPal personenbezogene Daten, auch auf Aufforderung, nicht löschen würde und dass Kundenkonten nach einer Sperrung nur nach Übermittlung personenbezogener Daten wieder freigeschaltet werden würden.
Die Kommission befasst sich in ihrer Stellungnahme zunächst mit allgemeinen Grundsätzen und Vorgaben des geltenden Datenschutzrechts. Mit Blick auf PayPal weißt die Kommission darauf hin, dass das unternehmen eventuell gesetzlich dazu verpflichtet sein kann, personenbezogene Daten für Zwecke der Verhinderung der Geldwäsche und Terrorismusfinanzierung zu verarbeiten. In einem solchen Fall sei die Datenverarbeitung auch gerechtfertigt, jedoch muss sich diese auf das erforderliche Maß zur Erfüllung der gesetzlichen Pflichten beschränken.
Zudem führt die Kommission aus, dass es in erster Linie Aufgabe der nationalen Aufsichtsbehörden sei, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Da PayPal (Europe) in Luxemburg niedergelassen ist und die von der Beschwerde umfassten Datenverarbeitungen im Rahmen der Tätigkeiten dieser Niederlassung ausgeführt werden, sei auf den ersten Blick auch luxemburgisches Datenschutzrecht anwendbar.
Wenn der Petent der Ansicht ist, dass die Datenverarbeitung nicht den Vorgaben des luxemburgischen Rechts entspreche, dann kann er sich, so die Kommission, mit einer Beschwerde an die luxemburgische Datenschutzbehörde wenden.
Alternativ könne er sich auch an die für ihn zuständige Aufsichtsbehörde in Deutschland wenden, die dann mit der Aufsichtsbehörde in Luxemburg kooperieren müsse. Denn jede nationale Aufsichtsbehörde ist, unabhängig vom anwendbaren Recht, dem Grunde nach erst einmal befugt und auch verpflichtet, Beschwerden von Bürgern entgegen zu nehmen. Sie darf, bei Anwendbarkeit eines anderen Datenschutzrechts, jedoch z.B. keine sanktionierenden Maßnahmen erlassen. Diesbezüglich verweist die Kommission auf das Urteil des EuGH in der Sache „Weltimmo“ (C-230/14).