Der Anwendungsbereich des Datenschutzrechts einzelner EU-Staaten beschäftigt nationale Gerichte und wie den Gerichtshof der Europäischen Union (EuGH) seit Jahren. In seinem Urteil vom 1. Oktober 2015 (Weltimmo – Az. C-230/14) äußerte sich der EuGH zum anwendbaren Datenschutzrecht bei grenzüberschreitenden Sachverhalten innerhalb der EU. Darüber hinaus konkretisierte das Gericht wichtige Vorgaben für die Befugnisse von nationalen Datenschutzaufsichtsbehörden und deren Zusammenwirken.
Sachverhalt und Fragestellung
Weltimmo ist eine Gesellschaft mit Sitz in der Slowakei. Sie betreibt eine auf den ungarischen Markt gerichtete Website zur Vermittlung von Immobilien in Ungarn. In diesem Zusammenhang verarbeitet sie personenbezogene Daten von Inserenten der Immobilien. Als das Angebot nach einem Monat kostenpflichtig wurde, verlangten einige Inserenten ab diesem Zeitpunkt die Löschung ihrer Inserate und ihrer personenbezogenen Daten. Dieser Aufforderung kam Weltimmo nicht nach, sondern stellte den Inserenten ihre Dienstleistungen in Rechnung. Daten derjenigen Inserenten, die die Rechnung nicht beglichen, übermittelte das Unternehmen an verschiedene Inkassounternehmen.
Anlässlich der eingereichten Beschwerden der Inserenten erklärte sich die ungarische Datenschutzaufsichtsbehörde (Nemzeti Adatvédelmi és Információszabadság Hatóság) für zuständig und verhängte wegen Verstoßes gegen das ungarische Datenschutzrecht ein Bußgeld. Weltimmo klagte gegen das Bußgeld. Der Oberste Gerichtshof Ungarns (Kúria) hat den Fall dem EuGH in einem Vorabentscheidungsverfahren vorgelegt.
Der EuGH befasst sich in der Entscheidung damit, wann eine Niederlassung vorliegt, die die Anwendbarkeit des mitgliedstaatlichen Datenschutzrechts auslöst. Zudem bestimmen die Luxemburger Richter, welche nationale Datenschutzaufsichtsbehörde zuständig ist und in welchem Umfang diese tätig werden darf.
Entscheidung des EuGH
Der EuGH folgte weitgehend den Schlussanträgen des Generalanwalts. Er bestätigte seine Rechtsprechung zur weiten Auslegung des Niederlassungsbegriffs: Die Anwendbarkeit des mitgliedstaatlichen Datenschutzrechts setze in Auslegung von Art. 4 Abs. 1 lit. a) der Datenschutzrichtlinie 95/46/EG lediglich voraus, dass im Mitgliedstaat mittels einer festen Einrichtung eine effektive tatsächliche Tätigkeit ausgeübt werde. Dies gelte auch bei einer nur geringfügigen Tätigkeit. Dabei sei nicht maßgeblich, ob die Verarbeitung “von” der betreffenden Niederlassung ausgeführt werde. Vielmehr sei entscheidend, dass die Datenverarbeitung “im Rahmen der Tätigkeit” der Niederlassung erfolge. Der EuGH geht hierbei von einer “flexiblen Konzeption des Begriffs der Niederlassung aus, die Abstand nimmt von einer formalistischen Sichtweise, nach der ein Unternehmen ausschließlich an einem Ort niedergelassen sein kann, an dem es eingetragen ist“. Gerade bei Unternehmen, die Leistungen ausschließlich über das Internet anbieten, sei der Begriff der Niederlassung sowohl anhand des Grads an Beständigkeit der Einrichtung als auch anhand der effektiven Ausübung der wirtschaftlichen Tätigkeit unter Beachtung des besonderen Charakters der Tätigkeit und der in Rede stehenden Dienstleistungen zu bestimmen.
Im vorliegenden Fall gibt der EuGH konkrete Hinweise, um zu bestimmen, ob eine effektive und tatsächliche Tätigkeit, in deren Rahmen die Datenverarbeitung erfolgt, in Ungarn ausgeübt wird: Das slowakische Unternehmen verfüge über
- eine auf Ungarn ausgerichtete Website,
- in ungarischer Sprache,
- einen ungarischen Vertreter in Ungarn zur Vertretung im gerichtlichen Verfahren und zur Eintreibung von offenen Forderungen,
- ein Postfach in Ungarn sowie
- ein ungarisches Bankkonto.
Der Umstand, dass die Inserenten ungarische Staatsangehörige sind, sei für das anwendbare Recht hingegen irrelevant. Sofern die Kúria anhand dieser Kriterien zu dem Schluss gelangt, dass es sich um eine Niederlassung in Ungarn handelt, gelte ungarisches Datenschutzrecht.
Hinsichtlich der Befugnisse der nationalen Datenschutzaufsichtsbehörden bei mutmaßlichen Datenschutzverstößen differenziert der EuGH zwischen Untersuchungs- und Sanktionsbefugnissen. Das Gericht führte aus, dass zunächst jede mitgliedstaatliche Aufsichtsbehörde Ansprechpartner für Betroffene zum Schutz ihrer personenbezogenen Daten sei und ihre Untersuchungsbefugnisse unabhängig vom anwendbaren Recht ausüben könne. Art. 28 Abs. 1, 3 und 6 der EU-Datenschutzrichtlinie seien allerdings so auszulegen, dass die Ausübung von Sanktionsbefugnissen vom anwendbaren Recht abhänge. Die Behörde dürfe also nur ein Verhalten im Hoheitsgebiet ihres Mitgliedstaats sanktionieren. Ansonsten liege ein Eingriff in die territoriale Souveränität des anderen Mitgliedstaats, in die Gesetzmäßigkeit der Verwaltung sowie in den Rechtsstaat vor. Gelange die Behörde zu dem Schluss, dass das Datenschutzrecht eines anderen Mitgliedsstaats anwendbar sei, dürfe sie keine Sanktionen verhängen. Dann müsse sie die Aufsichtsbehörde des Mitgliedstaats, dessen Recht anwendbar ist, ersuchen, einzuschreiten.
Sollte die Kúria die Tätigkeit des slowakischen Unternehmens nicht als Niederlassung in Ungarn qualifizieren, muss die ungarische Datenschutzbehörde zur Wahrung der Rechte der Betroffenen ihre Kollegen in der Slowakei um Sanktion ersuchen. Die Ausübung der ihr durch das ungarische Datenschutzrecht eingeräumten Sanktionsbefugnisse wäre dann unzulässig gewesen.
Fazit
Hinsichtlich des anwendbaren Rechts bestätigt das Urteil des EuGH die Linie, dass bereits geringfügiges Tätigwerden in einem Mitgliedstaat zur Anwendbarkeit des jeweiligen Datenschutzrechts führen kann. Die Richter stellen vor allem auch klar, dass dieser weite räumlichen Anwendungsbereich der Datenschutzrichtlinie nicht nur dann gilt, wenn die verantwortliche Stelle – wie im Fall Google v. AEPD – ihren Sitz außerhalb der EU hat, sondern auch bei reinen EU-Sachverhalten. Da es der EuGH weiterhin versäumt, über den konkreten Einzelfall hinaus zu erläutern, wann eine Datenverarbeitung “im Rahmen der Tätigkeit” einer Niederlassung vorliegt, besteht das Risiko, dass sich EU-Unternehmen, die ihre Tätigkeit über Webseiten auf eine Vielzahl von Mitgliedstaaten ausrichten und dort über eine Kontaktadresse und Ansprechpartner verfügen, sich an bis zu 28 verschiedene mitgliedstaatliche Datenschutzgesetze halten müssen. Fraglich ist, ob diese Auslegung mit der ursprünglichen Wertung der Datenschutzrichtlinie, dass sich Unternehmen mit Sitz in der EU lediglich an ein nationales Datenschutzrecht halten müssen, noch im Einklang steht.
Neu sind hingegen die Ausführungen zur Zuständigkeit der Datenschutzbehörden: Obwohl die mitgliedstaatlichen Behörden unabhängig vom anwendbaren einzelstaatlichen Recht zur Überwachung der Einhaltung des Datenschutzrechts verpflichtet sind, können sie ein datenschutzwidriges Verhalten nicht unmittelbar sanktionieren, wenn sich die betreffende Niederlassung im EU-Ausland befindet. In diesen Fällen sind sie auf Untersuchung des Sachverhalts und Information der Datenschutzbehörde am Ort der Niederlassung beschränkt, die im Anschluss gegebenenfalls eine Sanktion verhängt.