Das anwendbare Datenschutzrecht und die Zuständigkeit der Datenschutz-aufsichtsbehörden verschiedener Mitgliedsstaaten können auseinanderfallen. Sanktionsbefugnisse sind jedoch aufgrund des Territorialitätsprinzips der Datenschutzaufsichtsbehörde vorbehalten, innerhalb deren Hoheitsgebiet der für die Verarbeitung Verantwortliche niedergelassen ist. 

Der Fall

Der „Weltimmo“-Entscheidung des EuGH (Az.: C-230/14) liegt ein Rechtstreit der Weltimmo s.r.o., einer Gesellschaft mit Sitz in der Slowakei, gegen die Verhängung eines Bußgeldes durch die ungarische Datenschutzaufsichtsbehörde vor den ungarischen Gerichten zu Grunde. Die Weltimmo betreibt eine auf den ungarischen Markt ausgerichtete Website zur Vermittlung von Immobilien in Ungarn. Die Weltimmo erbrachte ihre Leistungen einen Monat lang kostenlos, löschte die Daten der Interessenten nach Ablauf des Probemonats jedoch nicht aus ihren Systemen, sondern stellte diesen die in den Folgemonaten erbrachten Leistungen in Rechnung. Bei Nichtbegleichung der Rechnungen übermittelte sie die personenbezogenen Daten der Inserenten an verschiedene Inkassounternehmen. Auf die Beschwerde der Inserenten erklärte sich die ungarische Datenschutzbehörde für zuständig und verhängte wegen Verstoßes gegen das ungarische Datenschutzrecht das streitgegenständliche Bußgeld. Hiergegen erhob die Weltimmo Klage. Der oberste Gerichtshof Ungarns setzte das Verfahren aus und legte den Fall dem EuGH zur Vorabentscheidung vor.

Die Entscheidung

Das Vorabentscheidungsersuchen betraf die Auslegung der Art. 4 Abs. 1 Buchst. a und 28 Abs. 1, 3, und 6 der Datenschutzrichtlinie 95/46/EG.

Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie bestimmt:

„Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt [...].“

Art. 28 Abs. 1, 3 und 6 der Datenschutzrichtlinie bestimmen:

„(1) Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.

(3) Jede Kontrollstelle verfügt insbesondere über:

  • Untersuchungsbefugnisse […];
  • wirksame Einwirkungsbefugnisse […];
  • das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.

[…]

(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden. Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.“

Das vorlegende Gericht wollte zunächst wissen, ob Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 1 der Richtlinie 95/46 dahin auszulegen seien, dass sie der Kontrollstelle eines Mitgliedstaats unter Umständen wie denen des Ausgangsverfahrens erlauben, das nationale Datenschutzrecht dieses Mitgliedstaats auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, dessen Gesellschaft in einem anderen Mitgliedstaat eingetragen ist und der eine Website zur Vermittlung von Immobilien betreibt, die sich im Staatsgebiet des ersten dieser beiden Staaten befinden (Frage 1).

Außerdem wollte das vorlegende Gericht wissen, ob für den Fall, dass die ungarische Kontrollstelle zu dem Schluss gelangt, dass das auf die Verarbeitung der personenbezogenen Daten anwendbare Recht nicht das ungarische Recht ist, sondern das Recht eines anderen Mitgliedstaats, Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 dahin auszulegen sei, dass diese Stelle nur die in Art. 28 Abs. 3 dieser Richtlinie vorgesehenen Befugnisse gemäß dem Recht dieses anderen Mitgliedstaats ausüben und keine Sanktionen verhängen darf (Frage 2).

Wie eingangs dargestellt, hing die Beantwortung der ersten Vorlagefrage von dem Vorliegen einer Niederlassung in dem jeweiligen Mitgliedsstaat ab. Gemäß Erwägungsgrund 19 der Datenschutzrichtlinie setzt eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich.

Der EuGH entschied, dass zur Beantwortung dieser Frage sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten in diesem anderen Mitgliedstaat unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen sei. Das Vorhandensein eines einzigen Vertreters könne unter Umständen ausreichen, eine feste Einrichtung zu begründen, wenn dieser mit einem ausreichenden Grad an Beständigkeit mit den für die Erbringung der betreffenden konkreten Dienstleistungen erforderlichen Mitteln im fraglichen Mitgliedstaat tätig sei; die tatsächliche und effektive Tätigkeit, die mittels einer festen Einrichtung ausgeübt werde, könne auch nur geringfügig sein. Die von Weltimmo ausgeübte Tätigkeit des Betriebs einer oder mehrerer Websites zur Vermittlung von in Ungarn belegenen Immobilien, die in ungarischer Sprache verfasst seien und deren Inserate nach einem Monat kostenpflichtig werden, stelle eine tatsächliche und effektive Tätigkeit in Ungarn dar. Zudem verfüge Weltimmo über einen Vertreter sowie ein Bankkonto in Ungarn, und nutze zur Abwicklung ihrer laufenden Geschäfte ein Postfach im Hoheitsgebiet dieses Mitgliedstaats; dies könne das Vorliegen einer Niederlassung in dem jeweiligen Mitgliedsstaat begründen. Die Frage der Staatsangehörigkeit der von der Datenverarbeitung betroffenen Personen sei hingegen für die Bestimmung des anwendbaren Datenschutzrechts irrelevant.

Im Hinblick auf die zweite Vorlagefrage führte der EuGH aus, dass gemäß Art. 28 Abs. 6 der Datenschutzrichtlinie jede Kontrollstelle im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr übertragenen Befugnisse unabhängig vom anwendbaren einzelstaatlichen Rech zuständig sei. Hieraus sei zu schließen, dass die Kontrollstelle eines Mitgliedstaats, an die sich natürliche Personen mit einer Beschwerde über die Verarbeitung der sie betreffenden personenbezogenen Daten wenden, diese Beschwerde unabhängig vom anwendbaren Recht und daher selbst dann prüfen kann, wenn das auf die Verarbeitung der betreffenden Daten anwendbare Recht das eines anderen Mitgliedstaats ist. In diesem Fall umfassten die Befugnisse dieser Kontrollstelle jedoch nicht notwendigerweise sämtliche der ihr gemäß dem Recht ihres Mitgliedstaats übertragenen Befugnisse. Das Territorialitätsprinzip, der Grundsatz der Gesetzmäßigkeit der Verwaltung und das Rechtsstaatprinzips stünden nämlich einer Ausdehnung der Sanktionsgewalt außerhalb der Grenzen des eigenen Hoheitsgebiets entgegen. Sofern der für die Verarbeitung Verantwortliche nicht im Hoheitsgebiet dieses Mitgliedstaats niedergelassen ist, muss die mit der Sache befasste Kontrollstelle die Kontrollstelle des Mitgliedstaats, dessen Recht anwendbar ist, ersuchen, einzuschreiten

Unser Kommentar

Mit dieser Entscheidung konkretisiert der EuGH den räumlichen Anwendungsbereich der Datenschutzrichtlinie und den Begriff der Niederlassung. Der Begriff der Niederlassung wird erneut weiter ausgedehnt und erfasst ggf. bereits das Vorhandensein eines dauerhaften Vertreters in dem jeweiligen Mitgliedsstaat. Neu sind die Ausführungen zu den Kontroll- und Eingriffsbefugnissen der Datenschutzaufsichtsbehörden verschiedener Mitgliedsstaaten. Der EuGH stellt klar, dass das anwendbare Recht und die Zuständigkeit der Datenschutzaufsichtsbehörden grds. unabhängig voneinander zu beurteilen sind und differenziert weiter zwischen der allgemeinen Befugnis zur Untersuchung der Einhaltung des Datenschutzrechts und der Inanspruchnahme von Eingriffsbefugnissen. Die Verhängung von Sanktionen ist aufgrund des Territorialitätsprinzips derjenigen Aufsichtsbehörde vorbehalten, in deren Hoheitsgebiet der für die Verarbeitung Verantwortliche niedergelassen ist