Language of document : ECLI:EU:C:2015:426

SCHLUSSANTRÄGE DES GENERALANWALTS

PEDRO CRUZ VILLALÓN

vom 25. Juni 2015(1)

Rechtssache C‑230/14

Weltimmo s. r. o.

gegen

Nemzeti Adatvédelmi és Információszabadság Hatóság

(Vorabentscheidungsersuchen der Kúria [Ungarn])

„Schutz personenbezogener Daten – Richtlinie 95/46/EG – Art. 4 Abs. 1 und Art. 28 Abs. 1, 3 und 6 – In einem anderen Mitgliedstaat niedergelassener für die Datenverwaltung Verantwortlicher – Bestimmung des anzuwendenden Rechts und der zuständigen Kontrollstelle – Befugnisse der Kontrollstelle – Sanktionsbefugnis – Begriff der Datenverarbeitung“





1.        Die von der Kúria (Oberster Gerichtshof Ungarns) zur Vorabentscheidung vorgelegten Fragen beziehen sich auf einen Rechtsstreit zwischen der Magyar Adatvédelmi és Információszabadság Hatóság (im Folgenden: ungarische Datenschutzbehörde) und einem Unternehmen mit Sitz in der Slowakei, das eine Internetseite zur Vermittlung von Immobilien betreibt, auf der in Ungarn belegene Immobilien inseriert werden.

2.        Damit gibt diese Rechtssache dem Gerichtshof erneut Gelegenheit, sich zur Bestimmung des nach Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46/EG über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(2) – der bereits im Urteil Google Spain und Google(3) Gegenstand der Auslegung war – auf die Datenverarbeitung anwendbaren Rechts zu äußern. Außerdem stellen sich in dieser Rechtssache ganz neue Fragen einerseits zur Bestimmung der zuständigen Kontrollstelle und andererseits zum von dieser Stelle anzuwendenden nationalen Recht und zu ihren Befugnissen, insbesondere, was die Befugnis zur Verhängung von Sanktionen betrifft.

I.      Rechtlicher Rahmen

A.      Unionsrecht

3.        Die Richtlinie 95/46 legt verschiedene Kriterien zur Bestimmung des auf die Verarbeitung personenbezogener Daten anwendbaren Rechts fest. Nach ihrem 18. Erwägungsgrund müssen, „um zu vermeiden, dass einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, … auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.“

4.        Andererseits unterstreicht der 19. Erwägungsgrund der Richtlinie, dass „eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats … die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraussetzt. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich.“ Im selben Erwägungsgrund wird darauf hingewiesen, dass „wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, … er vor allem zu[r] Vermeidung von Umgehungen sicherstellen [muss], dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.“

5.        In Art. 4 Abs. 1 der Richtlinie 95/46, dessen Buchst. a in diesem Rechtsstreit einschlägig ist, der Vorschrift, anhand deren das auf die Verarbeitung von Daten anwendbare Recht zu bestimmen ist, heißt es:

„(1)  Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an:

a)      die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält;

…“

6.        In Art. 28, der sich auf die im Bereich der Datenverarbeitung tätigen Kontrollstellen bezieht, heißt es in den Abs. 1, 3, 4 und 6:

„(1)      Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.

(3)       Jede Kontrollstelle verfügt insbesondere über:

–        Untersuchungsbefugnisse wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;

–        wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;

–        das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.

Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.

(4)       Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist darüber zu informieren, wie mit der Eingabe verfahren wurde.

Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befasst werden, die Rechtmäßigkeit einer Verarbeitung zu überprüfen, wenn einzelstaatliche Vorschriften gemäß Artikel 13 Anwendung finden. Die Person ist unter allen Umständen darüber zu unterrichten, dass eine Überprüfung stattgefunden hat.

(6)       Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.

Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.“

B.      Ungarisches Recht

7.        Das Gesetz CXII über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011, im Folgenden: Informationsgesetz) ist die zur Umsetzung der Richtlinie 95/46 erlassene nationale Norm.

8.        In Art. 2 des Informationsgesetzes heißt es:

„(1)      Der Geltungsbereich dieses Gesetzes umfasst alle auf dem Staatsgebiet Ungarns vorgenommenen Datenverarbeitungen und deren technische Durchführung, die sich auf die Daten natürlicher Personen sowie auf Daten von öffentlichem Interesse oder auf Daten beziehen, die aus Gründen des öffentlichen Interesses zugänglich sind.

(2)      Dieses Gesetz ist sowohl auf die ganz oder teilweise automatisierte als auch auf die manuell erfolgende Datenverarbeitung und deren technische Durchführung anzuwenden.

(3)      Die Bestimmungen dieses Gesetzes sind [auch dann] anzuwenden, wenn der für die Datenverarbeitung Verantwortliche, der außerhalb des Gebiets der Europäischen Union personenbezogene Daten verarbeitet, mit der technischen Durchführung der Datenverarbeitung einen Verarbeiter beauftragt, der im ungarischen Staatsgebiet seinen Sitz, eine Betriebsstätte, eine Zweigniederlassung, einen privaten Wohnsitz oder ständigen Aufenthaltsort hat oder der sich eines in diesem Staatsgebiet befindlichen Mittels bedient, es sei denn, dass dieses Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Union verwendet wird. Ein solcher für die Verarbeitung Verantwortlicher muss einen in Ungarn ansässigen Vertreter ernennen.“

9.        Art. 3 des Informationsgesetzes bestimmt, dass im Sinne dieses Gesetzes sind:

„9.      Für die Verarbeitung Verantwortlicher (,adatkezelő‘): eine natürliche oder juristische Person oder Organisation ohne Rechtspersönlichkeit, die allein oder mit anderen den Zweck der Datenverarbeitung festlegt, die Entscheidungen über diese Datenverarbeitung (einschließlich der für sie verwendeten Mittel) trifft und durchführt oder von dem von ihr beauftragten Verarbeiter (,adatfeldolgozó‘) durchführen lässt;

10.      Datenverarbeitung (,adatkezelés‘): jede im Hinblick auf die Daten vorgenommene Operation oder Gesamtheit von Operationen, unabhängig von dem dazu angewendeten Verfahren, insbesondere die Erfassung, Erhebung, Speicherung, Organisation, Aufbewahrung, Anpassung, Nutzung, Anforderung, Übermittlung, Verbreitung, den Abgleich oder die Verknüpfung, Sperrung, Löschung oder Vernichtung sowie die Verhinderung der weiteren Verwendung der Daten, die Anfertigung von Foto-, Ton- oder Bildaufnahmen sowie die Erfassung physischer Eigenschaften, die zur Identifizierung einer Person geeignet sind (z. B. Finger- oder Handflächenabdrücke, DNA‑Proben oder Irisbilder);

11.      Datenübermittlung: die Zurverfügungstellung von Daten an eine bestimmte dritte Person;

17.      Technische Durchführung der Datenverarbeitung (,adatfeldolgozás‘): die Durchführung von technischen Aufgaben in Verbindung mit Operationen der Datenverarbeitung, ungeachtet der zur Durchführung der Operationen angewandten Methoden und Mittel sowie des Anwendungsortes, vorausgesetzt, dass die technischen Aufgaben sich auf die Daten beziehen;

18.      Beauftragter Verarbeiter (,adatfeldolgozó‘): natürliche oder juristische Person bzw. Organisation ohne Rechtspersönlichkeit, die aufgrund eines Vertrags – was auch gesetzlich zustande gekommene Vertragsverhältnisse einschließt – für die technische Durchführung der Datenverarbeitung zuständig ist;

…“

II.    Sachverhalt und Verfahren im Ausgangsrechtsstreit

10.      Das Vorabentscheidungsersuchen ergeht anlässlich einer bei der Kúria gegen das Urteil des Fővárosi Közigazgatási és Munkaügyi Bíróság (Verwaltungs- und Arbeitsgericht der Hauptstadt Budapest) im verwaltungsgerichtlichen Verfahren zwischen der Gesellschaft Weltimmo s. r. o. (im Folgenden: Weltimmo) und der ungarischen Datenschutzbehörde eingelegten Revision.

11.      Die Gesellschaft Weltimmo betreibt eine Internetseite zur Vermittlung von Immobilien und hat ihren Sitz in der Slowakei. Ihre Tätigkeit besteht im Betreiben dieser Website, auf der Inserate über ungarische Immobilien veröffentlicht werden. Diese Inserate sind für den Inserenten im ersten Monat kostenlos; ist dieser abgelaufen, muss für die Leistung bezahlt werden. Zahlreiche Inserenten verlangten per E-Mail die Löschung ihrer Inserate und ihrer personenbezogenen Daten, da sie nicht nach dem ersten Monat zahlungspflichtig werden wollten. Weltimmo kam diesen Forderungen jedoch nicht nach und stellte entsprechend ihre Leistungen in Rechnung. Da diese Rechnungen nicht bezahlt wurden, übermittelte Weltimmo die personenbezogenen Daten der Inserenten an verschiedene Inkassounternehmen.

12.      Auf die Beschwerden der Inserenten erklärte die ungarische Datenschutzbehörde sich selbst für zuständig und ihr eigenes nationales Recht – nach Art. 3 Abs. 10 des Informationsgesetzes stellt die Erfassung von Daten eine Datenverarbeitung dar – für anwendbar; sie verhängte ein Bußgeld von 10 Mio. ungarischen Forint (HUF). Weltimmo reichte gegen diese Entscheidung vor dem Verwaltungs- und Arbeitsgericht der Hauptstadt Budapest Klage ein. Dieses stellte zwar weder die Zuständigkeit der Datenschutzbehörde noch das anwendbare Recht in Frage, hob aber die Verwaltungsentscheidung auf, weil einige der vorgetragenen Tatsachen nicht hinreichend aufgeklärt worden seien.

13.      Mit ihrer Revision beantragt Weltimmo unter anderem, festzustellen, dass eine weitere Aufklärung des Sachverhalts nicht erforderlich sei, da nach Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 die ungarische Datenschutzbehörde nicht befugt sei, ein Verfahren durchzuführen und gegenüber einem Dienstleister mit Sitz in einem anderen Mitgliedstaat ungarisches Recht anzuwenden. Insbesondere führt das Unternehmen hierzu aus, dass die Behörde nach Art. 28 Abs. 6 der Richtlinie 95/46 die ihr entsprechende slowakische Stelle hätte auffordern müssen, gegen die Klägerin vorzugehen.

14.      Die ungarische Datenschutzbehörde hat zur Begründung ihrer Zuständigkeit und der Anwendbarkeit ungarischen Rechts im Ausgangsverfahren vorgetragen, Weltimmo verfüge über eine „ungarische Kontaktperson“ – einen ihrer Eigentümer, der ungarischer Staatsangehöriger sei –, die sie sowohl im Verwaltungsverfahren als auch im nationalen gerichtlichen Verfahren vertreten habe. Auch hätten die Eigentümer von Weltimmo ihren Wohnsitz in Ungarn. Auf jeden Fall aber lege Art. 28 Abs. 6 der Richtlinie 95/46 unabhängig vom anwendbaren Recht eine Zuständigkeit zu ihren Gunsten fest.

III. Vorlagefragen und Verfahren vor dem Gerichtshof

15.      Vor diesem Hintergrund hat die Kúria, da die einschlägigen Vorschriften der Richtlinie 95/46 ihrer Auffassung nach nicht ausreichend klar sind, mit Beschluss vom 22. April 2014, beim Gerichtshof eingegangen am 12. Mai 2014, folgende Fragen zur Vorabentscheidung vorgelegt:

1.      Ist Art. 28 Abs. 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutzrichtlinie) in dem Sinne auszulegen, dass die nationale Regelung eines Mitgliedstaats in dessen Staatsgebiet auf einen für die Datenverarbeitung Verantwortlichen anwendbar ist, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist und der eine Website zur Vermittlung von Immobilien betreibt und dort unter anderem Immobilien inseriert, die sich im Staatsgebiet des ersten Mitgliedstaats befinden, nachdem deren Eigentümer ihre personenbezogenen Daten an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Website gehört und sich in einem dritten Mitgliedstaat befindet?

2.      Ist Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie im Licht ihrer Erwägungsgründe 18 bis 20 und ihres Art. 1 Abs. 2 sowie Art. 28 Abs. 1 dahin gehend auszulegen, dass die Magyar Adatvédelmi és Információszabadság Hatóság (im Folgenden: ungarische Datenschutzbehörde) das ungarische Datenschutzgesetz als nationales Recht nicht auf den Betreiber einer Website zur Vermittlung von Immobilien anwenden darf, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist, selbst dann nicht, wenn dieser unter anderem ungarische Immobilien inseriert, deren Eigentümer die Daten ihrer Immobilien wahrscheinlich vom ungarischen Staatsgebiet aus an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Website gehört und sich in einem dritten Mitgliedstaat befindet?

3.      Ist es für die Auslegung von Bedeutung, ob die von dem für die Datenverarbeitung Verantwortlichen und Betreiber der Website erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist?

4.      Ist es für die Auslegung von Bedeutung, ob die Daten der in diesem anderen Mitgliedstaat belegenen Immobilien und die personenbezogenen Daten der Eigentümer tatsächlich vom Staatsgebiet dieses anderen Mitgliedstaats aus eingegeben wurden?

5.      Ist es für die Auslegung von Bedeutung, ob die im Zusammenhang mit diesen Immobilien stehenden personenbezogenen Daten personenbezogene Daten von Staatsangehörigen eines anderen Mitgliedstaats sind?

6.      Ist es für die Auslegung von Bedeutung, ob die Eigentümer der in der Slowakei niedergelassenen Gesellschaft einen Wohnsitz in Ungarn haben?

7.      Ist, wenn sich aus den Antworten auf die vorstehenden Fragen ergeben sollte, dass die ungarische Datenschutzbehörde ein Verfahren betreiben darf, jedoch dabei nicht das nationale Recht des eigenen Mitgliedstaats anwenden darf, sondern vielmehr das Recht des Niederlassungsstaats anwenden muss, Art. 28 Abs. 6 der Datenschutzrichtlinie in dem Sinne auszulegen, dass die ungarische Datenschutzbehörde ausschließlich – und zwar nach der Regelung des Mitgliedstaats der Niederlassung – diejenigen Befugnisse ausüben darf, die in Art. 28 Abs. 3 der Datenschutzrichtlinie genannt sind, und dass sie folglich keine Befugnis besitzt, ein Bußgeld zu verhängen?

8.      Kann der Begriff „adatfeldolgozás“ [technische Durchführung der Datenverarbeitung], der in Art. 4 Abs. 1 Buchst. a ebenso wie in Art. 28 Abs. 6 der [ungarischen Version der] Datenschutzrichtlinie verwendet wird, als mit dem Begriff „adatkezelés“ [Datenverarbeitung], der in der [ungarischen] Terminologie dieser Richtlinie ebenfalls vorkommt, identisch angesehen werden?

16.      Die ungarische Regierung, die slowakische Regierung und die Regierung des Vereinigten Königreichs, die ungarische Datenschutzbehörde und die Europäische Kommission haben schriftliche Erklärungen eingereicht. An der mündlichen Verhandlung vom 12. März 2015 haben die ungarische, die slowakische und die polnische Regierung, die ungarische Datenschutzbehörde und die Europäische Kommission teilgenommen.

IV.    Prüfung

17.      Die verschiedenen von der Kúria zur Vorabentscheidung vorgelegten Fragen betreffen zwei Probleme, die, obwohl sie zusammenhängend eingereicht worden sind, eine differenzierte Behandlung verdienen, was sich auch im Verfahren vor dem Gerichtshof in den abgegebenen schriftlichen und mündlichen Erklärungen widerspiegelt. Es handelt sich zum einen um die Frage nach dem auf die Datenverarbeitung anzuwendenden Recht, zum anderen um die Bestimmung der zuständigen Kontrollstelle. Ich werde deshalb meine Überlegungen im Wesentlichen in zwei Teile gliedern. In einem ersten Schritt werde ich die Frage des auf die Datenverarbeitung anwendbaren Rechts und damit letztlich die Frage der „Niederlassung“ behandeln, indem ich die Fragen 1 bis 6 gemeinsam prüfe. Im zweiten Schritt untersuche ich die Frage nach der Bestimmung der zuständigen Kontrollstelle und ihrer Kompetenzen; in diesem Rahmen werde ich auch die Frage nach einem möglichen Auseinanderfallen von zuständiger Kontrollstelle und anwendbarem Recht prüfen (Frage 7). Zuletzt werde ich auf die aufgeworfene terminologische Frage eingehen, die mit der achten Vorlagefrage gestellt wird.

A.      Zum auf die Datenverarbeitung anzuwendenden Recht und zum Begriff der Niederlassung (Vorlagefragen 1 bis 6)

18.      Mit den Vorlagefragen 1 bis 6, die gemeinsam untersucht werden sollen, möchte die Kúria im Wesentlichen wissen, ob Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 1 der Richtlinie 95/46 dahin ausgelegt werden können, dass sie unter Umständen wie denen des Ausgangsverfahrens die Anwendung des ungarischen Datenschutzgesetzes erlauben und dass es die ungarische Datenschutzbehörde ist, die dieses Recht auf den Betreiber einer Website anwendet, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist. Diesbezüglich fragt die Kúria außerdem nach dem Einfluss einer Reihe von besonderen Faktoren wie beispielsweise der Tatsache, dass die Leistungen dieses Unternehmens auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet sind, dem Ort, von dem aus die auf die Immobilien bezogenen Daten eingegeben wurden, der Staatsangehörigkeit der Betroffenen oder der Tatsache, dass die Eigentümer des Unternehmens einen Wohnsitz in Ungarn haben.

19.      Die Kúria hat in den ersten beiden Fragen sowohl auf Art. 28 Abs. 1 als auch auf Art. 4 Abs. 1 Buchst. a der Richtlinie Bezug genommen. Anhand der Stellungnahme zur Beantwortung ihrer Fragen gehe ich allerdings davon aus, dass man auf die Prüfung der Reichweite der ersten dieser beiden Vorschriften ohne Weiteres verzichten kann. Art. 28 Abs. 1 beschränkt sich nämlich darauf, festzulegen, dass „die Mitgliedstaaten [vor]sehen …, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen“. Meines Erachtens ist diese Vorschrift damit für die Bestimmung des anzuwendenden Rechts nicht einschlägig. Denn erstens ist Art. 28 systematisch in Kapitel VI der Richtlinie verankert, das die Kontrollstellen und die Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten regelt und nicht die Frage des anzuwendenden Rechts. Zweitens enthält der Wortlaut von Art. 28 Abs. 1 der Richtlinie selbst kein weiteres Kriterium für die Bestimmung des auf die Datenverarbeitung anzuwendenden Rechts. Damit beinhaltet diese Vorschrift nichts, dessen Auslegung zu einer anderen Antwort auf die Frage zur Bestimmung des anzuwendenden Rechts führen könnte als diejenige, die sich aus der Anwendung der in Art. 4 dieser Richtlinie genannten Kriterien ergibt, der Vorschrift, die speziell die Frage des anzuwendenden Rechts regelt.

20.      Wenn wir uns nunmehr auf Art. 4 Abs. 1 Buchst. a der Richtlinie konzentrieren, ist zunächst zu erwähnen, dass sowohl die Erklärungen in der mündlichen Verhandlung als auch diejenigen, die im Verlauf des schriftlichen Verfahrens eingereicht wurden, übereinstimmend die Relevanz der Vorschrift für die Beantwortung der Fragen zum anwendbaren Recht wie auch die besondere Bedeutung der Aufgabe, festzustellen, wo sich der Ort der Niederlassung von Weltimmo befindet, hervorheben.

21.      Die Problematik des bei grenzüberschreitenden Sachverhalten von Datenverarbeitung anzuwendenden Rechts ist seit Jahrzehnten international umstritten(4). Art. 4 der Richtlinie, der die Bestimmung des anzuwendenden Rechts bezweckt, ist die bisher erste Vorschrift, mit der es gelungen ist, eine Regelung zur Bestimmung des in dieser Materie anwendbaren Rechts einzuführen(5). Die Vorschrift nennt verschiedene Kriterien für die Bestimmung, ob das zur Umsetzung der Richtlinie erlassene nationale Recht anwendbar ist, und definiert so indirekt (über die Feststellung, ob die nationalen Vorschriften anwendbar sind) den räumlichen Anwendungsbereich der Richtlinie selbst.

22.      Von besonderer Bedeutung für Sachverhalte, in denen die Frage nach dem zwischen den Mitgliedstaaten der Union anwendbaren Recht relevant ist, ist folglich Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46, in dem es heißt: „Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt(6), auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt“.

23.      Art. 4 Abs. 1 Buchst. a erfüllt auf diese Weise eine Doppelfunktion. Er ermöglicht einerseits die Anwendung des Rechts der Union über das Recht eines ihrer Mitgliedstaaten, wenn die Datenverarbeitung ausschließlich „im Rahmen“ der Tätigkeiten einer in ihm befindlichen Niederlassung stattfindet, selbst dann, wenn die „eigentliche“ Datenverarbeitung in einem Drittstaat erfolgt (was in der Rechtssache Google Spain und Google(7) der Fall war). Andererseits fungiert diese Vorschrift als Norm, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt (die Frage, über die hier gestritten wird). In diesem zweiten Fall ist Art. 4 Abs. 1 Buchst. a die Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt.

24.      Diesbezüglich ist hervorzuheben, dass das nationale Gericht seine Fragen mit Blick auf den Betreiber einer Internetseite für Immobilieninserate stellt, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist, was allerdings von der ungarischen Kontrollstelle bestritten wird. Das Vereinigte Königreich sieht es als selbstverständlich an, dass das in der vorliegenden Rechtssache anzuwendende Recht das des Mitgliedstaats der Niederlassung, in diesem Fall der Slowakei, sein muss, und dass die ungarische Kontrollstelle nicht befugt ist, die Vorschriften ihres eigenen nationalen Rechts anzuwenden. Ähnlich argumentierend unterstreicht die Kommission, dass – unabhängig davon, dass man die Anwendung des ungarischen Rechts akzeptieren könnte, wenn man davon ausginge, dass die Klägerin auch im ungarischen Staatsgebiet niedergelassen sei – das Unternehmen nach Angaben der Kúria in diesem Fall ausschließlich in einem anderen Mitgliedstaat niedergelassen sei.

25.      Die Fragen 3 bis 6 der Kúria verraten jedoch – unabhängig von ihrer Einschätzung zum tatsächlichen Ort der Niederlassung, auf die anhand der Formulierung der Vorlagefragen geschlossen werden kann – eine gewisse Unsicherheit des Gerichts über den Niederlassungsbegriff im Sinne der Richtlinie, bei dem es sich nicht um einen rein formalen Begriff handelt. Für eine hilfreiche Antwort auf die Fragen 1 bis 6 sind daher meines Erachtens die Kriterien zu bestimmen, anhand deren sich beantworten lässt, ob eine Datenverarbeitung auf ungarischem Gebiet „im Rahmen der Tätigkeit einer Niederlassung des für die Verarbeitung Verantwortlichen“ im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie stattgefunden hat.

26.      Um in der vorliegenden Rechtssache festzustellen, ob das ungarische oder das slowakische Recht anzuwenden ist, ist somit eine zweistufige Prüfung unter Anwendung der im Urteil Google Spain und Google(8) entwickelten Vorgehensweise vorzunehmen. Zuerst ist daher zu klären, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt, und in einem zweiten Schritt, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat. Allerdings ist darauf hinzuweisen, dass in der vorliegenden Rechtssache – anders als in der Rechtssache Google Spain und Google – die Frage, ob die Datenverarbeitung „im Rahmen der Tätigkeit einer Niederlassung“ erfolgt ist, gar nicht streitig ist. Die maßgebliche Frage ist vielmehr diejenige nach dem Bestehen oder Nichtbestehen einer Niederlassung in Ungarn und/oder in der Slowakei. Daher liegt der Schwerpunkt meiner Prüfung im Wesentlichen auf dieser ersten Prüfungsstufe.

27.      Hierzu hat die ungarische Regierung in ihren schriftlichen Erklärungen ausgeführt, dass die verschiedenen Sprachversionen dieser Vorschrift eine Auslegung des Begriffs der Niederlassung nahelegten, die sich möglicherweise nicht in einem schlichten Verweis auf die Niederlassung im Sinne des Gesellschaftsrechts erschöpfe. Die slowakische Regierung, die ebenfalls von einer nicht formalistischen Konzeption des Begriffs der Niederlassung ausgeht, führt aus, es sei in diesem Kontext sachdienlich, auf die Rechtsprechung des Gerichtshofs zur Niederlassungsfreiheit zurückzugreifen. Auch die ungarische Datenschutzbehörde spricht sich für eine Konzeption des Begriffs der Niederlassung aus, bei der die Rechtsform nicht entscheidend ist, und erklärt, die Niederlassung könne auch in dem Vertreter von Weltimmo in Ungarn bestehen, hier Herrn Benkö. Er habe nämlich das Unternehmen im Verwaltungsverfahren wie auch in der ersten Instanz des verwaltungsgerichtlichen Verfahrens vertreten, im Kontakt mit den Betroffenen gestanden, die die Beschwerden eingereicht hätten, und sei im slowakischen Handelsregister mit einer Adresse in Ungarn eingetragen. Darüber hinaus hat die Behörde in der mündlichen Verhandlung hervorgehoben, dass Weltimmo zur Abwicklung ihrer laufenden Geschäfte ein Postfach in Ungarn besitze und dass ihr bei einer informellen Anfrage bei der slowakischen Datenschutzbehörde von dieser bestätigt worden sei, dass in der Slowakei keine tatsächliche Geschäftstätigkeit des Unternehmens stattfinde. Allein die polnische Regierung hat in ihren Erklärungen in der mündlichen Verhandlung darauf beharrt, dass ausschließlich die Eintragung der Gesellschaft in einem Mitgliedstaat berücksichtigt werden dürfe, da diese das einzige objektive und überprüfbare Merkmal sei.

28.      Zu diesem Streitpunkt ist auf jeden Fall der 19. Erwägungsgrund der Richtlinie heranzuziehen, der ein grundlegendes Auslegungselement zur inhaltlichen Bestimmung des Niederlassungsbegriffs im Sinne dieser Richtlinie darstellt. Dieser Erwägungsgrund zielt in der Tat auf eine flexible Konzeption des Begriffs und nimmt Abstand von einer formalistischen Sichtweise, nach der ein Unternehmen ausschließlich an dem Ort niedergelassen sein kann, an dem es eingetragen ist. So enthält dieser Erwägungsgrund erstens ein Kriterium der Effektivität und ein Element der Beständigkeit, wenn es dort heißt: „Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus.“ Zweitens lässt er eine beträchtliche Flexibilität zu, indem er bestimmt: „Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich.“

29.      Diese Konzeption des Niederlassungsbegriffs steht im Einklang mit der Auslegung, die der Begriff der Niederlassung durch die Rechtsprechung des Gerichtshofs in anderen Bereichen des Unionsrechts erfahren hat. Insbesondere umfasst nach ständiger Rechtsprechung „der Niederlassungsbegriff im Sinne der Artikel 52 ff. EWG-Vertrag die tatsächliche Ausübung einer wirtschaftlichen Tätigkeit mittels einer festen Einrichtung in einem anderen Mitgliedstaat auf unbestimmte Zeit“(9), was „eine tatsächliche Ansiedlung der betreffenden Gesellschaft im Aufnahmemitgliedstaat und die Ausübung einer wirklichen Wirtschaftstätigkeit in diesem voraus[setzt]“(10).

30.      Andererseits nimmt die Stellungnahme 8/2010 der Art.-29-Datenschutzgruppe(11) Bezug auf die Auslegung des Niederlassungsbegriffs als Anknüpfungspunkt für umsatzsteuerliche Zwecke(12). Die Rechtsprechung des Gerichtshofs in dieser Materie ist besonders interessant, da der Begriff der Niederlassung als Anknüpfungspunkt für die Anwendbarkeit eines nationalen Steuerrechts auf eine Person dient. Sie untersucht eingehend den Begriff der ständigen Niederlassung, die „einen hinreichenden Grad an Beständigkeit sowie eine Struktur aufweisen muss, die es ihr von der personellen und technischen Ausstattung her erlaubt, Dienstleistungen, die für den eigenen Bedarf dieser Niederlassung erbracht werden, zu empfangen und dort zu verwenden“(13). Auch der Begriff der Niederlassung im Übereinkommen von Rom(14) wie im Brüsseler Übereinkommen(15) spricht für eine nicht formalistische Konzeption des Begriffs(16).

31.      Unabhängig von der offensichtlichen Divergenz in Bezug auf Kontext und Zielsetzungen zwischen den Bereichen, auf die sich die Rechtsprechung des Gerichtshofs in den genannten Materien bezieht, und der hier vorliegenden Rechtssache ist auf jeden Fall von Bedeutung, dass das Unionsrecht – in verschiedenen Bereichen – Nachdruck auf eine Konzeption des Begriffs der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt, worin sie mit den im 19. Erwägungsgrund der Richtlinie 95/46 enthaltenen Hinweisen übereinstimmt.

32.      Andererseits sind, wenn man die spezielle Zielsetzung der Richtlinie 95/46 nach deren Art. 1 Abs. 1 berücksichtigt, nämlich „nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten [zu gewährleisten]“, meines Erachtens sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

33.      So würde, worauf die ungarische Datenschutzbehörde und die slowakische Regierung mit Blick auf die von der Art.-29-Datenschutzgruppe(17) vorgeschlagenen Kriterien hinweisen, ein einziger Vertreter genügen, um festzustellen, dass eine ständige Einrichtung vorliegt, wenn dieser durch das Vorhandensein der erforderlichen Mittel für die Ausführung der konkreten Dienstleistungen im betreffenden Mitgliedstaat mit einem ausreichenden Grad an Beständigkeit tätig ist.

34.      In der Tat ist, wie Generalanwalt Jääskinen in seinen Schlussanträgen in der Rechtssache Google Spain und Google ausgeführt hat, das Geschäftsmodell des jeweils Handelnden bei der Bewertung der Voraussetzungen von Art. 4 der Richtlinie 95/46 zu berücksichtigen(18). Daher muss hier auf die Besonderheiten ausschließlich über das Internet tätiger Unternehmen eingegangen werden, deren Geschäftsmodell den Begriff der ständigen körperlichen Einrichtung relativiert und auch die Intensität der personellen und sachlichen Mittel beeinflusst. In der Tat kann unter bestimmten Umständen ein Vertreter mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit durchzuführen. Im Licht dieser Erwägungen ist es notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

35.      Die Besonderheit wirtschaftlicher Tätigkeiten über das Internet ist in der Tat bereits zur inhaltlichen Bestimmung des Niederlassungsbegriffs in anderen Rechtsakten des Unionsrechts berücksichtigt worden. Insbesondere heißt es im 19. Erwägungsgrund der Richtlinie über den elektronischen Geschäftsverkehr(19): „Erbringt ein Unternehmen Dienstleistungen über eine Website des Internets, so ist es weder dort niedergelassen, wo sich die technischen Mittel befinden, die diese Website beherbergen, noch dort, wo die Website zugänglich ist, sondern an dem Ort, an dem es seine Wirtschaftstätigkeit ausübt.“ Diese Definition ist von der Art.-29-Datenschutzgruppe als für die Zwecke der Auslegung von Art. 4 der Richtlinie 95/46 für maßgeblich gehalten worden(20).

36.      Hieraus kann man schließen, dass, ohne in Abrede zu stellen, dass Weltimmo als Gesellschaft formell in der Slowakei eingetragen ist, nicht auszuschließen ist, dass diese Gesellschaft ihre Tätigkeit möglicherweise effektiv und tatsächlich im Gebiet eines anderen Staates, in diesem Fall Ungarn, über eine feste Einrichtung ausübt, die aus einem einzigen Vertreter bestehen kann. Sollte dies der Fall sein, so besäße Weltimmo eine Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie in Ungarn.

37.      Die von der Kúria in ihren Vorlagefragen angesprochenen weiteren Faktoren – der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben – haben insoweit keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts(21). Diese Merkmale erscheinen nämlich in der Richtlinie nicht als Kriterien, die ein Abweichen von dem in Art. 4 Abs. 1 Buchst. a festgelegten Kriterium erlauben(22).

38.      Dennoch könnten verschiedene dieser Faktoren unter bestimmten Umständen Indizien für den effektiven und tatsächlichen Charakter der Tätigkeit sein, wenn es darum geht, den Ort der Niederlassung zu bestimmen, und ganz besonders bei der Feststellung, ob die Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen stattgefunden hat.

39.      So wird insbesondere im Zusammenhang mit dem zweiten Merkmal – dass die Datenverarbeitung im Rahmen der Tätigkeiten der in einem Mitgliedstaat befindlichen Niederlassung stattfinden muss – auf die im Urteil Google Spain und Google begründete Auslegung einzugehen sein(23). Danach verlangt Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 „nicht, dass die in Rede stehende Verarbeitung personenbezogener Daten, von‘ der betreffenden Niederlassung selbst ausgeführt wird, sondern lediglich, dass sie, im Rahmen der Tätigkeiten‘ der Niederlassung ausgeführt wird“(24). Außerdem – so der Gerichtshof im Hinblick auf das Ziel der Richtlinie weiter – „kann diese Wendung nicht eng ausgelegt werden“(25).

40.      Die Anwendung dieses zweiten Kriteriums wird dann besonders relevant, wenn das vorlegende Gericht zum Ergebnis kommen sollte, dass Weltimmo bei Anwendung der oben genannten Kriterien in beiden hier in Rede stehenden Mitgliedstaaten niedergelassen ist. In diesem Fall wird, wie die slowakische Regierung und die Kommission in ihren schriftlichen Erklärungen hervorheben, genau auf die Tätigkeiten abzustellen sein, in deren Rahmen die Verarbeitung stattgefunden hat, insbesondere auf den Grad ihrer Verbindung mit einer konkreten Niederlassung(26). Von der Art.-29-Datenschutzgruppe wurden im Zusammenhang mit Suchmaschinen auch noch weitere Merkmale aufgezeigt, die für die Feststellung, ob die Tätigkeiten im Kontext der Niederlassung erfolgen, von Nutzen sein können: die Tatsache, dass die Niederlassung für die Beziehungen zu den Benutzern verantwortlich ist, dass sie am Verkauf zielgruppenspezifischer Werbeanzeigen an die Einwohner dieses Staates beteiligt ist oder dass sie in Bezug auf Benutzerdaten den Anordnungen der zuständigen Behörden eines Mitgliedstaats nachkommt(27).

41.      Letztlich müsste man, um im vorliegenden Fall zu bestimmen, ob auf die Tätigkeit von Weltimmo in Ungarn ungarisches Recht anwendbar sein kann, feststellen, ob Weltimmo in diesem Mitgliedstaat eine Niederlassung hat, in deren Tätigkeitsbereich die in Rede stehende Datenverarbeitung erfolgt ist. Hierfür wäre zu untersuchen, ob der Vertreter, auf den die hier vorgelegte Entscheidung Bezug nimmt, über eine feste Einrichtung – unabhängig von deren Rechtsform – verfügt, durch die er eine effektive und tatsächliche Tätigkeit ausübt, in deren Rahmen die in Rede stehende Datenverarbeitung erfolgt ist.

42.      Letztlich sind daher die Fragen 1 bis 6 der Kúria zusammen genommen meines Erachtens in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist. Zu diesem Zweck ist der Begriff der Niederlassung auszulegen als das Bestehen einer festen Einrichtung, durch die, unabhängig von ihrer Rechtsform, eine effektive und tatsächliche Tätigkeit ausgeübt wird. Ein einziger Vertreter kann als feste Einrichtung angesehen werden, wenn er durch das Vorhandensein der erforderlichen personellen und technischen Mittel einen hinreichenden Grad an Beständigkeit zur Erbringung der konkreten in Rede stehenden Dienstleistungen aufweist.

Andere Elemente wie der Ort, von dem aus die Daten eingegeben wurden, die Staatsangehörigkeit der Betroffenen, der Wohnsitz der Eigentümer des für die Datenverarbeitung verantwortlichen Unternehmens oder die Tatsache, dass die von diesem Verantwortlichen erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist, sind für die Bestimmung des anzuwendenden Rechts nicht von unmittelbarer und entscheidender Bedeutung, abgesehen davon, dass sie bei der Bestimmung des Ortes der Niederlassung und insbesondere bei der Feststellung, ob die Datenverarbeitung im Rahmen der Tätigkeiten dieser Niederlassung erfolgt ist, Indizien für den effektiven und tatsächlichen Charakter der Tätigkeit darstellen können.

B.      Zur zuständigen Kontrollstelle und zur Möglichkeit des Auseinanderfallens von anwendbarem Recht und zuständiger Behörde (Vorlagefrage 7)

43.      Mit der siebten Vorlagefrage ersucht die Kúria den Gerichtshof um Aufschluss, ob, „wenn sich aus den Antworten auf die vorstehenden Fragen ergeben sollte, dass die ungarische Datenschutzbehörde ein Verfahren betreiben kann, jedoch dabei nicht das nationale Recht des eigenen Mitgliedstaats anwenden darf, sondern vielmehr das Recht des Niederlassungsstaates anwenden muss, Art. 28 Abs. 6 der Datenschutzrichtlinie in dem Sinne auszulegen [ist], dass die ungarische Datenschutzbehörde ausschließlich – und zwar nach der Regelung des Mitgliedstaats der Niederlassung – diejenigen Befugnisse ausüben kann, die in Art. 28 Abs. 3 genannt sind, und dass sie folglich keine Befugnis besitzt, ein Bußgeld zu verhängen“.

44.      Wie man sieht, ist diese Vorlagefrage nur für den Fall relevant, dass das vorlegende Gericht zum Ergebnis kommt, dass nach den oben dargestellten Kriterien Weltimmo keine Niederlassung in Ungarn besitzt, sondern ausschließlich in der Slowakei niedergelassen ist. Um eine hilfreiche Antwort auf diese Vorlagefrage zu geben, ist somit – weil sich dies nicht ausdrücklich aus der Antwort auf die vorhergehenden Fragen ergibt – vorab zu prüfen, ob eine Kontrollbehörde eines Mitgliedstaats möglicherweise auch dann tätig werden darf, wenn nach den Kriterien von Art. 4 Abs. 1 Buchst. a der Richtlinie das Recht eines anderen Mitgliedstaats anzuwenden ist. Bejaht man diese Frage, wären in einem zweiten Schritt Reichweite und Inhalt der Befugnisse dieser Behörde zu bestimmen.

45.      Vorab ist somit zu klären, ob der sich auf das anzuwendende Recht beziehende Art. 4 neben seiner Funktion als Vorschrift zur Bestimmung des anzuwendenden Rechts auch eine Zuständigkeitsnorm darstellt; ist dies der Fall, so ist zu untersuchen, welcher Wert den in Art. 28 enthaltenen Bestimmungen im Hinblick auf die Zuständigkeit der öffentlichen Behörden zukommt – dies alles vor dem Hintergrund einer bevorstehenden weitreichenden Reform des Datenschutzrechts der Union(28).

46.      Die beim Gerichtshof eingereichten Erklärungen schlagen verschiedene Auslegungen von Art. 28 Abs. 1, 3 und 6 der Richtlinie vor. So hält die ungarische Datenschutzbehörde ihre eigene Zuständigkeit zur Verhängung eines Bußgelds selbst dann für gegeben, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Im selben Sinne äußert sich auch die ungarische Regierung, die es für offenkundig hält, dass sich das anzuwendende Recht und das Verfahren zur Ausübung der in Art. 28 Abs. 3 der Richtlinie genannten Befugnisse der Kontrollstellen nach dem Recht des Staates richten, in dem diese Behörde ihren Sitz hat, was zur Folge habe, dass die Verhängung von Sanktionen nach ihrem eigenem nationalem Recht erfolgen müsse.

47.      Die Kommission hingegen vertritt den Standpunkt, die Kontrollstellen eines Mitgliedstaats seien berechtigt, die in Art. 28 Abs. 3 der Richtlinie genannten Befugnisse auszuüben, soweit sie diese nach Art. 28 Abs. 1 und 6 in ihrem eigenen Staatsgebiet ausüben könnten. Dagegen habe die Behörde dann, wenn eine Befugnis ausschließlich im Staatsgebiet eines anderen Mitgliedstaats ausgeübt werden könne, keine andere Möglichkeit als die Amtshilfe der Kontrollstelle dieses anderen Mitgliedstaats zu beantragen. Die Kontrollstelle des zuerst genannten Mitgliedstaats dürfe daher keine Sanktion gegen einen für die Datenverarbeitung Verantwortlichen verhängen, der ausschließlich auf dem Staatsgebiet eines anderen Mitgliedstaats niedergelassen sei. Im selben Sinne vertritt die slowakische Regierung den Standpunkt, die ungarische Datenschutzbehörde habe, sollte slowakisches Recht anwendbar sein, nach Art. 28 Abs. 3 und 6 die Befugnis, eine Untersuchung durchzuführen und die bei ihr erhobenen Beschwerden zu prüfen und dabei ihr eigenes Verfahrensrecht anzuwenden; sie müsse jedoch ein Amtshilfeersuchen an die Behörde des Mitgliedstaats richten, dessen Recht anzuwenden sei, da dies die Kontrollstelle sei, die über die mögliche Verhängung einer Sanktion zu entscheiden habe. Polen unterstreicht, dass die Möglichkeit, dass das materielle Recht eines Mitgliedstaats durch die Behörden eines anderen angewandt werde, in der Richtlinie nicht vorgesehen sei. Hätte der Gesetzgeber diese ehrgeizige Möglichkeit regeln wollen, enthielte die Richtlinie präzise Vorschriften, um deren Anwendungsbereich festzulegen. Die Regierung des Vereinigten Königreichs schließlich hält die ungarische Datenschutzbehörde in Anbetracht der Tatsache, dass slowakisches Recht anwendbar sei, für unzuständig.

48.      Auffallend ist die daraus erkennbare Uneinigkeit der in den eingereichten Erklärungen vertretenen Positionen; von diesen scheinen nur das Vereinigte Königreich und Polen von der absoluten Notwendigkeit eines Gleichlaufs zwischen anwendbarem Recht und Zuständigkeit der Kontrollstelle in dem Sinne auszugehen, dass die Bestimmung des anzuwendenden Rechts nach Art. 4 Abs. 1 Buchst. b der Richtlinie zugleich die zuständige Kontrollstelle festlege(29).

49.      Wie ich gleich begründen werde, ist die hier vorliegende komplexe Frage meines Erachtens zu lösen, indem man versucht, die spezifischen Ziele der Richtlinie mit den Prinzipien in Übereinstimmung zu bringen, denen die Tätigkeit der administrativen Kontrollstellen unterliegt.

50.      Der von dieser Vorlagefrage aufgeworfenen Problematik liegt eine materiell-rechtliche Frage von erheblicher Bedeutung zugrunde, nämlich, ob es zulässig ist, dass die Richtlinie die geltende Regel, nach der die Behörden eines Staates grundsätzlich nach Maßgabe ihres eigenen nationalen Rechts tätig werden und dieses anwenden, abschwächt oder gar außer Kraft setzt. In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates(30), der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats(31) ergeben, was notwendigerweise zu einem Gleichlauf der Zuständigkeit der Kontrollstelle mit dem anwendbarem Recht führen muss(32). In diesem Sinne kann die Ausübung von Sanktionsgewalt – die uns in der vorliegenden Rechtssache speziell beschäftigt – grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist(33). Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt und die es den Rechtssubjekten gleichzeitig aufgrund ihrer Klarheit und Präzision ermöglicht, vorauszusehen, welchem Recht ihr Verhalten und dessen Konsequenzen unterliegen(34).

51.      Demnach bin ich nicht der Ansicht, dass Art. 28 Abs. 6 Satz 1 der Richtlinie, nach dessen Wortlaut „jede Kontrollstelle … im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig [ist], unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist“, als Vorschrift genügt, um eine Folge von solcher Tragweite zu begründen(35). Denn diese Norm enthält keinerlei Angaben zu ihrem Anwendungsbereich, ihrer Reichweite und den Garantien, die eine Anwendung insbesondere der Sanktionsvorschriften eines Mitgliedstaats durch die Verwaltungsbehörden eines anderen ermöglichen könnten.

52.      Entgegen der Argumentation der ungarischen Regierung und der ungarischen Datenschutzbehörde stellt Art. 28 Abs. 1 der Richtlinie meines Erachtens auch nicht schon deshalb eine ausreichende rechtliche Grundlage für diese Forderung dar, weil die Vorschrift dort, wo sie bestimmt, dass „die Mitgliedstaaten [vor]sehen …, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen“, den Plural benutzt.(36)

53.      Dennoch weisen diese Bestimmungen auf die Möglichkeit einer gewissen Trennung von zuständiger Behörde und anwendbarem Recht hin. Auf jeden Fall lassen sie zu, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist.

54.      Daher halte ich es für möglich, eine Auslegung von Art. 28 Abs. 1, 3 und 6 mit den Grundprinzipien der Ausübung verwaltungsrechtlicher Sanktionsgewalt in Übereinstimmung zu bringen. Diese würde durch eine Zusammenschau von Art. 28 Abs. 6 Unterabs. 1 Satz 1 mit Satz 2 desselben Unterabsatzes – wonach die Behörde, die die Befugnisse im Hoheitsgebiet ihres eigenen Mitgliedstaats ausübt, „von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden kann“ – und mit Unterabs. 2 derselben Vorschrift, wonach „die Kontrollstellen … für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit [sorgen]“, ermöglicht.

55.      Hierfür muss die Möglichkeit zum Tätigwerden, die Art. 28 Abs. 6 den Kontrollstellen selbst dann zugesteht, wenn nicht das Recht ihres Mitgliedstaats anwendbar ist, systematisch ausgelegt werden, indem man sowohl das Bestehen eines eindeutigen Auftrags zur Zusammenarbeit zwischen den Behörden als auch den Umstand einbezieht, dass eine Behörde von einer anderen zur Ausübung ihrer Befugnisse ersucht werden kann. Eine Gesamtbeurteilung der Vorschrift deutet in der Tat auf eine Aufgabenteilung zwischen den verschiedenen Kontrollstellen im Rahmen einer Zusammenarbeit und gegenseitigen Amtshilfe hin.

56.      Die Tatsache, dass das Recht eines Mitgliedstaats anzuwenden ist, nimmt den Kontrollstellen anderer Staaten nicht die Möglichkeit zum Tätigwerden, insbesondere, wenn man berücksichtigt, dass in bestimmten Situationen, auch wenn nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie das Recht eines anderen Mitgliedstaats anwendbar ist, zahlreiche andere Verbindungen zum Hoheitsgebiet gegeben sein können, wie z. B. die technischen Mittel oder insbesondere die von der Datenverarbeitung betroffenen Personen. Dies alles würde mit Blick auf eine wirksame Anwendung der Richtlinie erfordern, dass die lokale Behörde ermitteln und bestimmte Maßnahmen ergreifen kann, sogar noch bevor bestimmt werden kann, welches Recht anwendbar ist.

57.      Genauer ausgedrückt muss eine Kontrollbehörde, die durch eine bei ihr eingereichte Einzelbeschwerde oder ‑anzeige zum Tätigwerden aufgefordert wird, ihre Ermittlungsbefugnisse in ihrem eigenen Staatsgebiet wahrnehmen können. Hierüber besteht mit Blick auf Art. 28 Abs. 4 der Richtlinie – der die Kontrollstellen verpflichtet, Anträgen nachzugehen, die eine Person zum Schutz der sie betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten stellt – kein Zweifel. Gleichzeitig besteht in diesem Punkt eine Übereinstimmung mit dem Übereinkommen 108 des Europarats von 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten(37), dessen Art. 14 vorsieht, dass eine Person, die im Hoheitsgebiet einer anderen Vertragspartei wohnt, die Möglichkeit haben muss, „ihren Antrag über die bezeichnete Behörde dieser Vertragspartei [zu] stellen“.

58.      Das genannte Vorgehen kann bereits eine ausreichende Antwort auf die von der ungarischen Regierung in der mündlichen Verhandlung vorgetragene Sorge sein, dass die Wirksamkeit der von der Richtlinie festgelegten Mittel beeinträchtigt wäre, wenn sich die Betroffenen an ausländische Behörden in Sprachen richteten, die sie nicht beherrschten, weil die ungarische Datenschutzbehörde nicht zuständig sei.

59.      Letztlich besitzen die Kontrollstellen unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 der Richtlinie genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit(38) und unter Beachtung der Grundsätze, auf die in Nr. 50 dieser Schlussanträge hingewiesen worden ist.

60.      Somit ist klar, dass die Befugnis zum Tätigwerden der Kontrollstelle eines Mitgliedstaats nicht unbegrenzt ist, wenn das materielle Recht eines anderen Mitgliedstaats anwendbar ist. An dieser Stelle ist darauf hinzuweisen, dass nach wie vor der Grundsatz gilt, dass die Kontrollstelle bei der Ausübung ihrer Befugnisse an die Grenzen gebunden ist, die ihr ihre Eigenschaft als an das Recht seines eigenen Mitgliedstaats gebundenes Rechtssubjekt des öffentlichen Rechts auferlegt, und dass sie diese Befugnisse nur im eigenen Staatsgebiet ausüben kann. Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

61.      Obwohl die Sanktionsbefugnis durchaus als eine der Befugnisse angesehen werden kann, auf die Art. 28 Abs. 3 der Richtlinie Bezug nimmt (dessen dritter Gedankenstrich sich auf das „Klagerecht oder eine Anzeigebefugnis“ der Kontrollstelle „bei Verstößen“ bezieht), ist unter Berücksichtigung der Verpflichtung zur Zusammenarbeit nach Art. 28 Abs. 6 der Richtlinie folglich die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen, die ihr gegebenenfalls von der Behörde des ersten Mitgliedstaats mitgeteilt worden sind.

62.      Diese Auslegung widerspricht nicht dem in verschiedenen Dokumenten von der Art.-29-Datenschutzgruppe vertretenen Standpunkt. Erstens hat, wie deren Stellungnahme 8/2010 zum anwendbaren Recht unterstreicht, Art. 28 Abs. 6 gerade den Zweck, „etwaige Lücken zu schließen, die auf dem Gebiet des Datenschutzes im Binnenmarkt zwischen dem anwendbaren Recht und der gerichtlichen Zuständigkeit entstehen könnten“(39). Auch wenn es in der Stellungnahme ausdrücklich heißt, dass, „falls es sich bei dem anwendbaren Datenschutzrecht um das eines anderen Mitgliedstaats handelt, … die Kontrollstelle in ihrem Hoheitsgebiet die ihr durch das nationale Recht übertragenen Befugnisse in vollem Umfang ausüben [kann]“, werden dort erhebliche Zweifel hinsichtlich der Reichweite der Befugnisse der Kontrollstellen in diesem Bereich geäußert(40). In der Tat hat die Art.-29-Datenschutzgruppe nach späteren Überlegungen auf Ersuchen der Kommission in ihrem Gutachten zur praktischen Implementierung von Art. 28 Abs. 6 ihren Standpunkt zur Frage des Auseinanderfallens von anwendbarem Recht und gerichtlicher Zuständigkeit näher erläutert(41). Bei einem tatsächlichen Auseinanderfallen kommt die Datenschutzgruppe zum Ergebnis, die Behörde habe die verfahrens- und verwaltungsrechtlichen Vorschriften ihres eigenen Rechtssystems anzuwenden, während materiell-rechtliche Aspekte des Datenschutzes dem Mitgliedstaat zufielen, dessen Recht anwendbar sei(42).

63.      Die obigen Erwägungen fügen sich in einen besonderen juristischen Kontext ein, in dem die Intervention des Unionsrechts durch eine Richtlinie erfolgt ist. Dies ermöglichte es, eine beträchtliche Bandbreite an Regelungen der einzelnen Mitgliedstaaten beizubehalten, insbesondere was die Regelung und die Möglichkeiten von Sanktionen durch die Kontrollstellen betrifft(43). In Anbetracht der Tatsache, dass eine klare Rechtsgrundlage und Garantien fehlen, um die enge Zusammenarbeit bei der Bewertung der Verstöße und die Äquivalenz der Sanktionen sicherzustellen(44), wäre es mit den Grundsätzen der territorialen Souveränität und der Gesetzmäßigkeit kaum vereinbar, wenn das Auseinanderfallen von zuständiger Behörde und anwendbarem Recht entweder dazu führen könnte, dass Sanktionen nach dem Recht des Staates der örtlich zuständigen Behörde verhängt würden, die nach der Rechtsordnung des Staates, dessen Recht auf die Datenverarbeitung anzuwenden ist, gar nicht vorgesehen sind, oder dass die örtlich zuständige Behörde das Sanktionsrecht eines anderen Mitgliedstaats anwendet.

64.      Schließlich führt auch die Forderung der ungarischen Regierung und der ungarischen Datenschutzbehörde nach einer analogen Anwendung des Urteils des Gerichtshofs in der Rechtssache UPC DTH(45), die im vorliegenden Fall die Sanktionsbefugnis der Datenschutzbehörde begründen soll, zu keinem anderen Ergebnis. In diesem Urteil, das sich auf die Auslegung bestimmter Instrumente des Rechtsrahmens für die elektronische Kommunikation bezieht(46), hat der Gerichtshof festgestellt, dass „die Überwachungsverfahren in Bezug auf die … elektronischen Kommunikationsdienste von den Behörden des Mitgliedstaats durchzuführen sind, in dem die Empfänger dieser Dienstleistungen wohnen“(47).

65.      Hierzu genügt die Feststellung, dass – abgesehen davon, dass diese Auslegung sich auf einen Fall der Dienstleistungsfreiheit bezieht und sich auf einen rechtlichen Rahmen beschränkt, dessen Ziele und Struktur deutlich von dem abweichen, der uns in dieser Rechtssache beschäftigt – diese Erwägungen, was von noch größerer Relevanz ist, in einem Fall geäußert wurden, in dem kein Streit über das anwendbare Recht bestand(48).

66.      Aus allen diesen Gründen ist beim derzeitigem Stand des Unionsrechts die siebte von der Kúria vorgelegte Frage wie folgt zu beantworten:

Kommt das nationale Gericht zum Ergebnis, dass nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 sein nationales Recht nicht anwendbar ist, ist Art. 28 Abs. 6 dieser Richtlinie dahin auszulegen, dass die Zuständigkeit zur Verhängung von Sanktionen für Verstöße im Zusammenhang mit der Datenverarbeitung der Kontrollstelle des Mitgliedstaats zukommt, dessen Recht anwendbar ist, unabhängig davon, welche örtlich zuständige Behörde alle in Art. 28 Abs. 3 genannten Befugnisse in ihrem Staatsgebiet nach Maßgabe ihres nationalen Rechts anwenden kann.

C.      Zum Begriff der Datenverarbeitung (Vorlagefrage 8)

67.      Mit seiner achten Vorlagefrage möchte das vorlegende Gericht vom Gerichtshof Folgendes geklärt wissen: „Kann der Begriff, adatfeldolgozás‘ [technische Durchführung der Datenverarbeitung], der in Art. 4 Abs. 1 Buchst. a ebenso wie in Art. 28 Abs. 6 der [ungarischen Version der] Richtlinie verwendet wird, als mit dem Begriff, adatkezelés‘ [Datenverarbeitung] identisch angesehen werden?“

68.      Sämtliche beim Gerichtshof eingereichten Erklärungen kommen übereinstimmend zum Ergebnis, dass die terminologische Unterscheidung, auf die der Vorlagebeschluss hinweist, keine Auswirkungen hat.

69.      Die Richtlinie 95/46 benutzt in ihren Vorschriften konsequent den Begriff „[adat]feldolgozás“, wenn sie den Begriff der Datenverarbeitung meint, wie dieser in Art. 2 Buchst. b der Richtlinie definiert ist. Die Unterscheidung zwischen den Begriffen „adatkezelés“ und „adatfeldolgozás“ findet sich ausschließlich im Informationsgesetz(49), wo Letzterer als „die Durchführung von technischen Aufgaben in Verbindung mit Operationen der Datenverarbeitung“ definiert wird(50).

70.      Die in Art. 2 Buchst. b der Richtlinie enthaltene Definition des Begriffs „[adat]feldolgozás“, der sowohl in Art. 4 Abs. 1 Buchst. a als auch in Art. 28 Abs. 6 verwendet wird, ist außerordentlich weit und schließt jede auf personenbezogene Daten angewendete Operation ein, gleichgültig, ob diese durch automatisierte Verfahren durchgeführt wird oder nicht. Somit schließt dieser weite Begriff der Verarbeitung den engeren Begriff der Durchführung technischer Aufgaben im Zusammenhang mit Operationen der Datenverarbeitung ein.

71.      Deshalb schlage ich dem Gerichtshof vor, die achte Vorlagefrage wie folgt zu beantworten:

Der Begriff „adatfeldolgozás“, der in Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 6 der ungarischen Version der Richtlinie 95/46 verwendet wird, ist dahin auszulegen, dass er sowohl die Datenverarbeitung im weiteren Sinne als auch die Durchführung technischer Aufgaben im Zusammenhang mit Operationen der Datenverarbeitung umfasst.

V.      Ergebnis

72.      Nach alledem schlage ich dem Gerichtshof vor, die von der Kúria gestellten Vorlagefragen wie folgt zu beantworten:

1.      Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 verwehrt es der ungarischen Datenschutzbehörde, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist. Zu diesem Zweck ist der Begriff der Niederlassung auszulegen als das Bestehen einer festen Einrichtung, durch die, unabhängig von ihrer Rechtsform, eine effektive und tatsächliche Tätigkeit ausgeübt wird. Ein einziger Vertreter kann als feste Einrichtung angesehen werden, wenn er durch das Vorhandensein der erforderlichen personellen und technischen Mittel einen hinreichenden Grad an Beständigkeit zur Erbringung der konkreten in Rede stehenden Dienstleistungen aufweist.

Andere Elemente wie der Ort, von dem aus die Daten eingegeben wurden, die Staatsangehörigkeit der Betroffenen, der Wohnsitz der Eigentümer des für die Datenverarbeitung verantwortlichen Unternehmens oder die Tatsache, dass die von diesem Verantwortlichen erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist, sind für die Bestimmung des anzuwendenden Rechts nicht von unmittelbarer und entscheidender Bedeutung, abgesehen davon, dass sie bei der Bestimmung des Ortes der Niederlassung und insbesondere bei der Feststellung, ob die Datenverarbeitung im Rahmen der Tätigkeiten dieser Niederlassung erfolgt ist, Indizien für den effektiven und tatsächlichen Charakter der Tätigkeit darstellen können.

2.      Kommt das nationale Gericht zum Ergebnis, dass nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 sein nationales Recht nicht anwendbar ist, ist Art. 28 Abs. 6 dieser Richtlinie dahin auszulegen, dass die Zuständigkeit zur Verhängung von Sanktionen für Verstöße im Zusammenhang mit der Datenverarbeitung der Kontrollstelle des Mitgliedstaats zukommt, dessen Recht anwendbar ist, unabhängig davon, welche örtlich zuständige Behörde alle in Art. 28 Abs. 3 genannten Befugnisse in ihrem Staatsgebiet nach Maßgabe ihres nationalen Rechts anwenden kann.

3.      Der Begriff „adatfeldolgozás“, der in Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 6 der ungarischen Version der Richtlinie 95/46 verwendet wird, ist dahin auszulegen, dass er sowohl die Datenverarbeitung im weiteren Sinne als auch die Durchführung technischer Aufgaben im Zusammenhang mit Operationen der Datenverarbeitung umfasst.

1 –      Originalsprache: Spanisch.

2 –      Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31).

3 –      C‑131/12, EU:C:2014:317.

4 –      Vgl. stellvertretend für alle Rigaux, F., „La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel“, Revue critique de droit international privé, 1980, S. 443 bis 478.

5 –      Bygrave, L., „Determining applicable law pursuant to European Data Protection Legislation“, Computer Law and Security Report Nr. 16, 2000, S. 252.

6 –      Die spanische Übersetzung dieser Vorschrift enthält insofern einen kleinen Fehler, als das Verb im Singular erscheint. Dies bestätigen scheinbar andere Sprachversionen: „each Member State shall apply the national provisions it adopts pursuant to this Directive …“, „chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive“ etc.

7 –      C‑131/12, EU:C:2014:317.

8 –      C‑131/12, EU:C:2014:317, Rn. 48 bis 50.

9 –      Vgl. Urteile Factortame u. a. (C‑221/89, EU:C:1991:320, Rn. 20) sowie Kommission/Vereinigtes Königreich (C‑246/89, EU:C:1991:375, Rn. 21).

10 –      Urteil Cadbury Schweppes und Cadbury Schweppes Overseas (C‑196/04, EU:C:2006:544, Rn. 54).

11 –      Stellungnahme zum anwendbaren Recht vom 16. Dezember 2010, 0836-02/10/DE, WP 179.

12 –      Tatsächlich verweist diese Stellungnahme auf die Urteile Berkholz (168/84, EU:C:1985:299, Rn. 18) und Lease Plan (C‑390/96, EU:C:1998:206), die zur Auslegung von Art. 9 Abs. 1 der Sechsten Richtlinie 77/388/EWG des Rates vom 17. Mai 1977 zur Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Umsatzsteuern — Gemeinsames Mehrwertsteuersystem: einheitliche steuerpflichtige Bemessungsgrundlage, (ABl. L 145, S. 1) ergangen sind.

13 –      Urteil Welmory (C‑605/12, EU:C:2014:2298, Rn. 58) zur Auslegung von Art. 44 der Richtlinie 2006/112/EG des Rates vom 28. November 2006 über das gemeinsame Mehrwertsteuersystem (ABl. L 347, S. 1), geändert durch die Richtlinie 2008/8/EG des Rates vom 12. Februar 2008 (ABl. L 44, S. 11). Vgl. auch das Urteil Planzer Luxembourg (C‑73/06, EU:C:2007:397, Rn. 54 und die dort angeführte Rechtsprechung).

14 –      Übereinkommen über das auf vertragliche Schuldverhältnisse anzuwendende Recht, am 19. Juni 1980 in Rom zur Unterzeichnung aufgelegt (ABl. L 266, S. 1).

15 –      Brüsseler Übereinkommen vom 27. September 1968 über die gerichtliche Zuständigkeit und die Vollstreckung gerichtlicher Entscheidungen in Zivil- und Handelssachen (ABl. 1972, L 299, S. 32; konsolidierte Fassung im ABl. 1998, C 27, S. 1).

16 –      Dort „ist mit dem Begriff der Zweigniederlassung, der Agentur oder der sonstigen Niederlassung ein Mittelpunkt geschäftlicher Tätigkeit gemeint, der auf Dauer als Außenstelle eines Stammhauses hervortritt, eine Geschäftsführung hat und sachlich so ausgestattet ist, dass er … Geschäfte mit Dritten betreiben kann …“ (Urteile Somafer, 33/78, EU:C:1978:205, Rn. 12, und Blanckaert & Willems, 139/80, EU:C:1981:70, Rn. 11); dabei wird betont, dass „der Ausdruck, Niederlassung‘ jede dauerhafte Struktur eines Unternehmens umfasst. Daher können nicht nur Tochtergesellschaften und Zweigstellen, sondern auch andere Einheiten wie etwa die Büros eines Unternehmens eine Niederlassung im Sinne von Art. 6 Abs. 2 Buchst. b des Übereinkommens von Rom darstellen, auch wenn sie keine Rechtspersönlichkeit haben“ (Urteil Voogsgeerd, C‑384/10, EU:C:2011:842, Rn. 54).

17 –      Stellungnahme 8/2010, S. 14.

18 –       C‑131/12, EU:C:2013:424, Nr. 65.

19 –      Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (ABl. L 178, S. 1).

20 –      Vgl. das Arbeitspapier über die Frage der internationalen Anwendbarkeit des EU-Datenschutzrechts bei der Verarbeitung personenbezogener Daten im Internet durch Websites außerhalb der EU, WP 56, 5035/01/DE/endg., vom 30. Mai 2002, S. 8.

21 –      Die beim Gerichtshof eingereichten Erklärungen weichen in den Erwägungen zu diesen Faktoren voneinander ab. Während die ungarische Datenschutzbehörde die Ansicht vertritt, diese Elemente seien maßgeblich, ist das Vereinigte Königreich der Auffassung, keiner der aufgezählten Faktoren sei relevant, da Art. 4 Abs. 1 der Richtlinie keinen von ihnen erwähne. In ähnlichem Sinne äußert sich die Europäische Kommission. Nach Ansicht der ungarischen Regierung sind allein die Tatsache, dass die Dienstleistungen auf das Staatsgebiet eines Mitgliedstaats ausgerichtet seien, sowie der Ort, von dem aus die Daten in das elektronische System eingegeben würden, von Bedeutung. Die slowakische Regierung ist der Ansicht, maßgeblich für die Bestimmung des anzuwendenden nationalen Rechts seien weder der Ort, von dem aus die Daten mitgeteilt würden, noch die Staatsangehörigkeit der Betroffenen noch der Wohnsitz der Eigentümer des Unternehmens.

22 –      In diesem Sinne äußert sich auch die Art.-29-Datenschutzgruppe, indem sie darauf hinweist, dass „weder die Staatsangehörigkeit noch der gewöhnliche Aufenthalt der betroffenen Personen, noch der Ort, an dem sich die personenbezogenen Daten befinden, für die Bestimmung des anwendbaren Rechts ausschlaggebend sind“. Stellungnahme 8/2010, S. 10. Vgl. auch Nrn. 55 bis 58 der Schlussanträge des Generalanwalts Jääskinen in der Rechtssache Google Spain und Google, C‑131/12, EU:C:2013:424.

23 –      C‑131/12, EU:C:2014:317, Rn. 48 bis 50.

24 –      Ebd. (Rn. 52).

25 –      Ebd. (Rn. 53).

26 –      Vgl. zu diesem Punkt auch die Stellungnahme 8/2010 der Art.-29-Datenschutzgruppe.

27 –      Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen vom 4. April 2008, WP 148, 00737/DE.

28 –      Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, KOM(2012) 11 endgültig.

29 –      Ansonsten sind die Literaturmeinungen diesbezüglich geteilt. Einige Autoren sehen Art. 4 der Richtlinie als Vorschrift an, die auch die Zuständigkeit bestimmt (z. B. Bing, J., „Data Protection, Jurisdiction and the Choice of Law“, Privacy Law & Policy Reporter, 1999), andere sind der gegenteiligen Ansicht. Vgl. beispielsweise Swire, P. P., „Of Elephants, Mice and Privacy: International Choice of Law and the Internet“, The International Lawyer, 1998, S. 991. Zur selben Streitfrage Kuner, C., „Data Protection Law and International Jurisdiction on the Internet (Part 1)“, International Journal of Law and Information Technology, Nr. 18, 2010, S. 176.

30 –      Der 21. Erwägungsgrund der Richtlinie weist ausdrücklich darauf hin, dass diese „nicht die im Strafrecht geltenden Territorialitätsregeln [berührt]“. Meines Erachtens gilt dieselbe Aussage auch für verwaltungsrechtliche Sanktionen.

31 –      Dessen Wesenskern kann in dem Sinne definiert werden, dass sämtliche öffentlichen Stellen jeder Ebene „must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers“, Lord Bingham, „The Rule of Law“, The Cambridge Law Journal, Nr. 66, 2007, S. 78.

32 –      Die Lehre hat darauf hingewiesen, dass „infolge des im Wesentlichen verwaltungs- oder öffentlich-rechtlichen Charakters des Kontrollsystems eine enge Wechselbeziehung zwischen anzuwendendem Recht und für die Verhängung von Sanktionen gegen mögliche Verstöße zuständiger Behörde besteht“, aus: Miguel Asensio, P. A., Derecho Privado de Internet, 4. Aufl., Madrid 2011, S. 333. Analog hat sich die Lehre bezüglich der Zuständigkeiten der Kontrollstellen im Bereich des Wettbewerbsrechts ausgesprochen und darauf hingewiesen, dass im Bereich des öffentlichen Tätigwerdens die anzuwendende Norm die Zuständigkeit der Behörde bestimmt, die diese Norm anzuwenden hat. Vgl. z. B. Basedow, J., „Antitrust or Competition Law, International“, in Wolfrum, R. (Hrsg.), Max Planck Encyclopedia of Public International Law, 2009.

33 –      In diesem Sinne Rigaux: „On ne conçoit guère que les autorités administratives, les commissions de contrôle … les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori“, a. a. O., S. 469.

34 –      Ohler, C., Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, S. 109, 314.

35 –      Hervorhebung nur hier.

36 –      Hervorhebung nur hier. Zu dieser Diskussion vgl. Damman, U., und Simitis, S., EG-Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, S. 306.

37 –      SEV Nr. 108. Alle Mitgliedstaaten haben das Übereinkommen unterzeichnet. Nach dem elften Erwägungsgrund der Richtlinie konkretisiert und erweitert diese den vom Übereinkommen gewährten Schutz.

38 –      Hierzu siehe Damman, U., und Simitis, S., a. a. O., S. 313.

39 –      Stellungnahme 8/2010 zum anwendbaren Recht, S. 29.

40 –      So hebt einerseits die Stellungnahme der Art.-29-Datenschutzgruppe hervor, dass der Inhalt der Zusammenarbeit zwischen Kontrollstellen nicht nur den Informationsaustausch umfasst, sondern auch die „Bearbeitung grenzübergreifender Beschwerden, Beweiserhebung für andere Datenschutzbehörden oder Verhängung von Sanktionen“ (S. 34). Dennoch äußert die Stellungnahme Zweifel betreffend die Reichweite der Kompetenzen, die von der einzelnen Kontrollstelle ausgeübt werden müssen: „Inwieweit wird die örtliche Datenschutzbehörde von ihren Befugnissen zur Anwendung der materiell-rechtlichen Grundsätze und der Sanktionen Gebrauch machen? Sollte sie die Ausübung ihrer Befugnisse auf die Überprüfung von Fakten begrenzen oder aber Sicherungsmaßnahmen oder gar endgültige Maßnahmen ergreifen dürfen? Sollte sie die Bestimmungen des anwendbaren Rechts selbst auslegen dürfen, oder sollte dies das Vorrecht der Datenschutzbehörde des Mitgliedstaats sein, dessen Recht anwendbar ist? …“ (S. 30).

41 –      Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011) 444105, vom 20. April 2011.

42 –      Ebd., S. 31. Hier ist Beispiel 10 der Stellungnahme sehr erhellend, in dem in einem hypothetischen Fall, in dem deutsches Recht auf eine im Vereinigten Königreich erfolgte Datenverarbeitung anwendbar ist, gesagt wird: „Die Datenschutzbehörde des Vereinigten Königreichs muss befugt sein, die im Vereinigten Königreich belegenen Örtlichkeiten einer Kontrolle zu unterziehen, und sie muss Feststellungen treffen, welche sodann an die deutsche Datenschutzbehörde zu übermitteln sind. Die deutsche Datenschutzbehörde sollte befugt sein, auf der Grundlage der ihr von der Datenschutzbehörde des Vereinigten Königreichs übermittelten Feststellungen Sanktionen gegen den in Deutschland niedergelassenen für die Verarbeitung Verantwortlichen zu verhängen.“

43 –      Dies ist im neunten Erwägungsgrund der Richtlinie anerkannt. Siehe diesbezüglich das von der Agentur der Europäischen Union für Grundrechte ausgearbeitete Papier Data Protection in the European Union: the role of National Data Protection Authorities, 2010, das die verschiedenen Befugnisse der Kontrollstellen in den Mitgliedstaaten hervorhebt.

44 –      In diesem Sinne stehen Relevanz und innovativer Charakter des Datenschutzrechts der Union im Europäischen Verwaltungsraum außer Zweifel. Der Vorschlag für eine zukünftige Datenschutz-Grundverordnung wird in dieser Materie eine erhebliche Veränderung bringen, insbesondere, was die Implementierung eines komplexen und ausgearbeiteten Systems von Zusammenarbeit, Kohärenz und Verteilung von Verantwortlichkeiten zwischen den verschiedenen Kontrollstellen betrifft.

45 –      C‑475/12, EU:C:2014:285.

46 –      Insbesondere die Richtlinie 2002/20/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über die Genehmigung elektronischer Kommunikationsnetze und ‑dienste (ABl. L 108, S. 21) in der Fassung nach der Änderung durch die Richtlinie 2009/140/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (Genehmigungsrichtlinie) (ABl. L 337, S. 37) und die Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste (ABl. L 108, S. 33) in der Fassung nach der Änderung durch die Richtlinie 2009/140.

47 –      Urteil UPC DTH (C–475/12, EU:C:2014:285, Rn. 88).

48 –      Die in der zitierten Rechtssache verhängte Sanktion erging nämlich aufgrund der Weigerung der Gesellschaft, der nationalen Behörde für Medien und Kommunikation Auskunft zu erteilen. Der Gerichtshof wies darauf hin, dass „nach Art. 11 Abs. 1 Buchst. b der Genehmigungsrichtlinie … die nationalen Behörden … von den Unternehmen die Informationen verlangen [können], die für die Prüfung der Einhaltung der Bedingungen in Bezug auf den Verbraucherschutz angemessen und objektiv gerechtfertigt sind, wenn bei ihnen eine Beschwerde eingegangen ist oder sie von sich aus Ermittlungen durchführen“ (ebd., Rn. 85).

49 –      In der Richtlinie erscheint nur ein von „adatkezelés“ abgeleiteter Begriff, wenn auf den für die Datenverarbeitung Verantwortlichen Bezug genommen wird.

50 –      Art. 3 Abs. 17 des Informationsgesetzes. Art. 3 Abs. 10 des Informationsgesetzes gibt dem Begriff „adatkezelés“ einen weitreichenden Inhalt, der sich im Wesentlichen mit dem Begriff der Datenverarbeitung in Art. 2 Buchst. b der Richtlinie deckt.