Mit Urteil vom 1. Oktober 2015 (Az. C-230/14) hat der Gerichtshof der Europäischen Union (EuGH) Hinweise dazu gegeben, welches nationale Datenschutzrecht Anwendung findet, wenn ein Datenverarbeitungsvorgang Bezug zu mehr als einem Mitgliedsstaat hat. Dabei hat der EuGH den allgemeinen Grundsatz bestätigt, dass eine im Rahmen der Tätigkeiten einer Niederlassung durchgeführte Datenverarbeitung – unabhängig vom offiziellen Unternehmenssitz – zur Anwendung des Datenschutzrechts am Ort der Niederlassung führt. Die Schwelle, wann eine entsprechende Niederlassung besteht, wurde dabei jedoch sehr gering angesetzt.

Der EuGH hat für die Annahme einer Niederlassung ausreichen lassen, dass sich in einem Mitgliedsstaat (Ungarn) ein einzelner Vertreter, ein Postfach sowie ein Bankkonto befand und dass sich die Webseite des – eigentlich slowakischen – Unternehmens in ungarischer Sprache um die Vermittlung ungarischer Immobilien bemühte. Selbst eine sehr geringfügige Tätigkeit in einem Mitgliedstaat könne demnach genügen, um dort eine Niederlassung zu begründen. Daneben hat der EuGH bestätigt, dass eine nationale Datenschutzaufsicht zwar grundsätzlich das Recht hat, jeden ihr zugetragenen datenschutzrechtlichen Sachverhalt aufzuklären; eine Durchsetzungskompetenz in Bezug auf ausländisches Recht in einem anderen Mitgliedstaat besteht jedoch nicht.

Praxishinweis: Die geringen Anforderungen, die nach dem EuGH-Urteil an das Vorliegen einer Niederlassung gestellt werden, dürften auch im innereuropäischen Bereich zu einer Aushöhlung des Territorialitätsprinzips führen. Insbesondere über das Internet agierende europäische Unternehmen können demnach schnell – entgegen der Idee eines freien Verkehrs von Waren und Dienstleistungen – mehreren nationalen Datenschutzgesetzen unterliegen.