CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:5

SCHLUSSANTRÄGE DES GENERALANWALTS

MICHAL BOBEK

vom 13. Januar 2021(1)(i)

Rechtssache C‑645/19

Facebook Ireland Limited,

Facebook Inc.,

Facebook Belgium BVBA

gegen

Gegevensbeschermingsautoriteit

(Vorabentscheidungsersuchen des Hof van beroep te Brussel [Appellationshof Brüssel, Belgien])

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Charta der Grundrechte der Europäischen Union – Art. 7, 8 und 47 – Verordnung (EU) 2016/679 – Art. 55, 56, 58, 60, 61 und 66 – Aufsichtsbehörden – Grenzüberschreitende Datenverarbeitung – One-Stop-Shop – Federführende Aufsichtsbehörde – Betroffene Aufsichtsbehörde – Zuständigkeit – Befugnisse – Befugnis zur Einleitung gerichtlicher Verfahren“

I. Einleitung

1. Erlaubt die Datenschutzgrundverordnung(2) (im Folgenden: DSGVO) der Aufsichtsbehörde eines Mitgliedstaats, vor einem Gericht dieses Staates Klage wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung zu erheben, wenn diese Behörde für diese Verarbeitung nicht die federführende Aufsichtsbehörde ist?

2. Oder steht das neue Verfahren der Zusammenarbeit und Kohärenz, das als eine der großen mit der DSGVO eingeführten Innovationen gepriesen wurde, dem entgegen? Wäre es, wenn ein für die Verarbeitung Verantwortlicher sich gegen eine von einer Aufsichtsbehörde erhobene Klage im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung vor einem anderen Gericht als demjenigen am Ort seiner Hauptniederlassung verteidigen müsste, ein Ausscheren aus diesem Verfahrens und daher mit dem neuen DSGVO-Mechanismus unvereinbar?

II. Rechtlicher Rahmen

A. Unionsrecht

3. In den Erwägungsgründen der DSGVO heißt es u. a.: „Die Ziele und Grundsätze der Richtlinie 95/46/EG besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird [und] Rechtsunsicherheit besteht“ (neunter Erwägungsgrund); die [Datenschutzvorschriften] sollten unionsweit gleichmäßig und einheitlich angewandt werden (zehnter Erwägungsgrund); die Aufsichtsbehörden sollten die Anwendung der Vorschriften überwachen und zu ihrer einheitlichen Anwendung beitragen, um natürliche Personen zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern (123. Erwägungsgrund); bei eine grenzüberschreitende Verarbeitung betreffenden Sachverhalten „[sollte] die Aufsichtsbehörde für die Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters oder für die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters als federführende Behörde fungieren“; diese Behörde hat „mit den anderen Behörden zusammen[zu]arbeiten“ (124. Erwägungsgrund).

4. Art. 51 Abs. 1 der DSGVO bestimmt: „Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).“

5. Nach Art. 55 Abs. 1 der DSGVO ist „[j]ede Aufsichtsbehörde … für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig“.

6. Art. 56 der DSGVO betrifft die Zuständigkeit der federführenden Aufsichtsbehörde. Abs. 1 dieser Vorschrift lautet:

„Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.“

7. Nach Art. 56 Abs. 2 bis 5 der DSGVO ist abweichend von Abs. 1 „jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt“. Diese Fälle können von den federführenden Aufsichtsbehörden im Rahmen des Verfahrens nach Art. 60 der DSGVO oder, „[falls d]ie federführende Aufsichtsbehörde entscheidet, sich mit dem Fall nicht selbst zu befassen“, von der örtlichen Aufsichtsbehörde gemäß den Art. 61 und 62 der DSGVO bearbeitet werden.

8. Nach Art. 56 Abs. 6 „[ist d]ie federführende Aufsichtsbehörde … der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung“.

9. Art. 58 Abs. 5 der DSGVO über die Befugnisse der Aufsichtsbehörden bestimmt:

„Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.“

10. Kapitel VII („Zusammenarbeit und Kohärenz“) der DSGVO umfasst die Art. 60 bis 76. Art. 60 („Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden“) regelt die Einzelheiten des Verfahrens, das die federführenden Aufsichtsbehörden bei der Behandlung einer grenzüberschreitenden Datenverarbeitung zu befolgen haben.

11. Art. 61 Abs. 2 der DSGVO wiederum, der die gegenseitige Amtshilfe betrifft, verpflichtet jede Aufsichtsbehörde, „alle geeigneten Maßnahmen [zu ergreifen], um einem Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen“. Nach Art. 61 Abs. 8 der DSGVO kann dann, wenn eine Aufsichtsbehörde die verlangten Informationen nicht erteilt, die ersuchende Aufsichtsbehörde eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats ergreifen, wobei von einem dringenden Handlungsbedarf gemäß Art. 66 Abs. 1 ausgegangen wird.

12. Nach Art. 65 („Streitbeilegung durch den Ausschuss“) Abs. 1 Buchst. a der DSGVO hat, um die ordnungsgemäße und einheitliche Anwendung der Verordnung in Einzelfällen sicherzustellen, der Europäische Datenschutzausschuss (im Folgenden: Ausschuss) u. a. dann einen verbindlichen Beschluss zu erlassen, wenn eine betroffene Aufsichtsbehörde einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Behörde eingelegt hat oder die federführende Behörde einen solchen Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat.

13. Nach Art. 66 Abs. 1 über das Dringlichkeitsverfahren kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren „sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen“, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen“.

14. Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) der DSGVO umfasst die Art. 77 bis 84. Art. 77 Abs. 1 gewährt jeder betroffenen Person das Recht, wegen möglicher Verstöße gegen die Verordnung im Zusammenhang mit der Verarbeitung sie betreffender personenbezogener Daten Beschwerde bei einer Aufsichtsbehörde „insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes“ zu erheben. Art. 78 Abs. 1 und 2 der DSGVO wiederum gewährt jeder natürlichen oder juristischen Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf u. a. gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde und gegen eine Aufsichtsbehörde, die sich nicht mit einer Beschwerde befasst.

B. Nationales Recht

15. Mit dem Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Gesetz vom 8. Dezember 1992 über den Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, im Folgenden: WVP) in geänderter Fassung wurde die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr umgesetzt(3). Mit diesem Gesetz wurde u. a. die belgische Privacy Commissie gegründet. Nach Art. 32 Abs. 3 dieses Gesetzes „[kann u]nbeschadet der Zuständigkeit der ordentlichen Gerichte für die Anwendung der allgemeinen Grundsätze des Schutzes der Privatsphäre … der Präsident [der Privacy Commissie] dem Gericht des ersten Rechtszugs jeden Streitfall über die Anwendung dieses Gesetzes und die seiner Durchführung dienenden Maßnahmen vorlegen“.

16. Nach Art. 3 des Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (Gesetz vom 3. Dezember 2017 zur Errichtung der belgischen Datenschutzbehörde, im Folgenden: Datenschutzbehördengesetz) – das am 25. Mai 2018 in Kraft trat – wurde als Nachfolgerin der Privacy Commissie eine Datenschutzbehörde (im Folgenden: Datenschutzbehörde) errichtet. Nach Art. 6 dieses Gesetzes „hat [die Datenschutzbehörde] die Befugnis, den Justizbehörden jeden Verstoß gegen die Grundsätze des Schutzes personenbezogener Daten im Rahmen dieses Gesetzes und anderer Vorschriften über den Schutz der Verarbeitung personenbezogener Daten enthaltender Gesetze anzuzeigen und, soweit erforderlich, die Anwendung dieser Grundsätze gerichtlich durchzusetzen“.

17. Das Datenschutzbehördengesetz enthielt keine besondere Bestimmung für auf der Grundlage von Art. 32 Abs. 3 des WVP eingeleitete gerichtliche Verfahren, die am 25. Mai 2018 noch anhängig waren.

18. Das WVP wurde durch das Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Gesetz vom 30. Juli 2018 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten) aufgehoben. Mit diesem Gesetz werden diejenigen Bestimmungen der DSGVO umgesetzt, die alle Mitgliedstaaten verpflichten bzw. ermächtigen, über die allgemeinen Regelungen hinaus detailliertere Regelungen zu erlassen.

III. Sachverhalt, nationales Verfahren und Vorlagefragen

19. Der Präsident der belgischen Privacy Commissie, aus der später die Datenschutzbehörde hervorging, leitete am 11. September 2015 ein Verfahren gegen Facebook Inc., Facebook Ireland Ltd und Facebook Belgium BVBA (im Folgenden zusammen: Facebook) vor der Nederlandstalige rechtbank van eerste aanleg Brussel (Niederländischsprachiges Gericht erster Instanz Brüssel, Belgien) ein. Dieses Verfahren betrifft angebliche Verstöße gegen Datenschutzvorschriften durch Facebook, die u. a. darin bestehen sollen, dass Daten über das private Surfverhalten von Internetnutzern in Belgien mittels Technologien wie „Cookies“, „Social Plugins“ und „Pixeln“ auf unrechtmäßige Weise erhoben und benutzt worden seien.

20. Die Datenschutzbehörde macht im Wesentlichen geltend, dass Facebook verschiedene Technologien verwende, um „Personen über die Schulter zu schauen“, während sie von der einen Website zur nächsten surften, und die erhobenen Daten anschließend verwende, um ein Profil zu ihrem Surfverhalten zu erstellen und ihnen auf dieser Grundlage zielgerichtete Werbung anzuzeigen, ohne dass Facebook die betroffenen Personen hinreichend informiere und ihre wirksame Einwilligung einhole. Diese Praktiken wende Facebook sowohl gegenüber Mitgliedern als auch Nichtmitgliedern des sozialen Netzwerks von Facebook an.

21. Die Datenschutzbehörde hat beantragt, Facebook zu verpflichten, bei im belgischen Hoheitsgebiet ansässigen Internetnutzern das Platzieren von Cookies, die über zwei Jahre auf dem Gerät aktiv blieben, das diese Personen verwendeten, wenn sie auf eine Website der Domain Facebook.com oder auf eine Website eines Dritten gelangten, ohne deren Einwilligung zu unterlassen sowie die übermäßige Erhebung von Daten durch Social Plugins und Pixels auf Websites Dritter zu unterlassen. Ferner hat sie beantragt, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden im belgischen Hoheitsgebiet ansässigen Internetnutzer erlangt worden seien, zu vernichten.

22. Mit Zwischenbeschluss des Präsidenten der Nederlandstalige rechtbank van eerste aanleg Brussel (Niederländischsprachiges Gericht erster Instanz Brüssel, Belgien) vom 9. November 2015 erklärte das Gericht sich für zuständig und die Klage in Bezug auf alle drei Beklagten für zulässig. Das Gericht verpflichtete die Beklagten ferner vorläufig, bestimmte Tätigkeiten bei im belgischen Hoheitsgebiet ansässigen Internetnutzern zu unterlassen.

23. Gegen diesen Beschluss legte Facebook am 2. März 2016 ein Rechtsmittel beim Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) ein. Mit Urteil vom 29. Juni 2016 änderte das Berufungsgericht den im ersten Rechtszug ergangenen Beschluss ab. Es entschied insbesondere, dass es für die Klagen nicht zuständig sei, soweit diese sich gegen Facebook Inc. und Facebook Ireland Ltd richteten, bejahte seine Zuständigkeit hingegen, soweit die Klage sich gegen Facebook Belgium BVBA richte. Das Ausgangsverfahren ist somit auf die klägerischen Anträge gegen Facebook Belgium BVBA beschränkt worden. Das Berufungsgericht verneinte ferner, dass Dringlichkeit gegeben sei.

24. Ich gehe davon aus, dass die beim Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) anhängige Rechtssache aktuell das Rechtsmittel gegen eine spätere Sachentscheidung des Gerichts des ersten Rechtszugs betrifft. Im Rechtsmittelverfahren macht Facebook Belgium BVBA u. a. geltend, dass die Datenschutzbehörde seit Anwendbarkeit des neuen Verfahrens der Zusammenarbeit und Kohärenz (im Folgenden auch: „One-Stop-Shop“-Mechanismus) der DSGVO für die Fortführung des Ausgangsverfahrens nicht mehr zuständig sei, weil sie nicht die federführende Aufsichtsbehörde sei. Für die in Rede stehende grenzüberschreitende Verarbeitung sei die irische Data Protection Commission federführend. Die Hauptniederlassung des für die Verarbeitung Verantwortlichen in der Europäischen Union befinde sich in Irland (Facebook Ireland Ltd).

25. Vor diesem Hintergrund hat der Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1. Sind Art. 55 Abs. 1 und die Art. 56 bis 58 und 60 bis 66 der Verordnung 2016/679 in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde, die nach den in Umsetzung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, bei Verstößen gegen die Verordnung eine Klage vor einem Gericht ihres Mitgliedstaats zu erheben, diese Befugnis bei einer grenzüberschreitenden Verarbeitung, bei der sie nicht die federführende Aufsichtsbehörde ist, nicht ausüben kann?

2. Macht es dabei einen Unterschied, dass der für eine solche grenzüberschreitende Verarbeitung Verantwortliche in diesem Mitgliedstaat nicht seine Hauptniederlassung hat, wohl aber eine andere Niederlassung?

3. Macht es dabei einen Unterschied, dass die nationale Aufsichtsbehörde die Klage nicht gegen die Niederlassung erhebt, die der für die grenzüberschreitende Verarbeitung Verantwortliche in ihrem eigenen Mitgliedstaat hat, sondern gegen dessen Hauptniederlassung?

4. Macht es dabei einen Unterschied, dass die nationale Aufsichtsbehörde die Klage erhoben hat, noch bevor die Verordnung 2016/679 galt (25. Mai 2018)?

5. Falls Frage 1 bejaht wird: Entfaltet Art. 58 Abs. 5 der Verordnung 2016/679 unmittelbare Wirkung, so dass sich eine nationale Aufsichtsbehörde auf diese Vorschrift berufen kann, um ein Gerichtsverfahren gegen eine natürliche Person oder ein Unternehmen einzuleiten oder fortzusetzen, obwohl Art. 58 Abs. 5 der Verordnung trotz einer entsprechenden Verpflichtung nicht speziell in nationales Recht umgesetzt worden ist?

6. Falls die Fragen 1 bis 5 bejaht werden: Kann das Ergebnis solcher Verfahren einer gegenteiligen Feststellung der federführenden Aufsichtsbehörde entgegenstehen, wenn diese nach dem in den Art. 56 und 60 der Verordnung 2016/679 vorgesehenen Verfahren dieselben oder ähnliche grenzüberschreitende Verarbeitungsvorgänge untersucht?

26. Facebook, die Datenschutzbehörde, die belgische, die tschechische, die italienische, die polnische, die portugiesische und die finnische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Facebook, die Datenschutzbehörde und die Kommission haben zudem in der mündlichen Verhandlung vom 5. Oktober 2020 mündliche Ausführungen gemacht.

IV. Würdigung

27. Im Kern geht es bei der sich im Ausgangsverfahren stellenden Frage im Wesentlichen darum, ob die Datenschutzbehörde ein gerichtliches Verfahren gegen Facebook Belgium BVBA wegen der grenzüberschreitenden Verarbeitung personenbezogener Daten fortführen darf, wenn diese Verarbeitung nach dem Zeitpunkt stattfand, zu dem die DSGVO anwendbar wurde, und es sich bei der datenverarbeitenden Stelle um Facebook Ireland Ltd handelt.

28. Zur Beantwortung dieser Frage sind der Umfang und die Funktionsweise dessen zu prüfen, was die DSGVO selbst in ihrem 127. Erwägungsgrund als das „Verfahren der Zusammenarbeit und Kohärenz“ bezeichnet. Dieses Verfahren besteht aus einem Komplex von Regelungen, die bei einer grenzüberschreitenden Datenverarbeitung eine zentrale Durchsetzungsstelle in Form einer federführenden Aufsichtsbehörde vorsehen, die in das System der Verfahren der Zusammenarbeit und Kohärenz mit den betroffenen Aufsichtsbehörden integriert ist, mit dem die Beteiligung aller beteiligten Aufsichtsbehörden sichergestellt werden soll.

29. Nach Art. 56 Abs. 1 der DSGVO ist eine Aufsichtsbehörde für grenzüberschreitende Verarbeitungen die federführende Aufsichtsbehörde, wenn diese Verarbeitungen von Verantwortlichen oder Auftragsverarbeitern mit Hauptniederlassung oder einziger Niederlassung in ihrem Hoheitsgebiet durchgeführt werden. Nach Art. 4 Nr. 22 der DSGVO ist eine Aufsichtsbehörde betroffene Aufsichtsbehörde, wenn eine der folgenden alternativen Voraussetzungen erfüllt ist, nämlich „a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist, b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde“.

30. Bevor die Vorlagefragen inhaltlich zu erörtern sind, sind einige Vorbemerkungen angezeigt (A). Sodann werde ich mich der Prüfung der vom vorlegenden Gericht aufgeworfenen Rechtsfragen zuwenden. Ich werde mich insbesondere auf die erste Vorlagefrage konzentrieren, da diese Frage im Mittelpunkt des beim vorlegenden Gericht anhängigen Rechtsstreits steht (B). Ich werde anschließend nur noch kurz auf die weiteren Vorlagefragen eingehen, da diese dann, wenn Frage 1 entsprechend dem in den vorliegenden Schlussanträgen vertretenen Vorschlag beantwortet wird, entweder keiner Antwort mehr bedürfen oder recht einfach zu beantworten sind (C).

A. Vorbemerkungen

31. Zunächst ist darauf hinzuweisen, dass ich mit bestimmten Aspekten des Ausgangsverfahrens Verständnisschwierigkeiten habe.

32. Erstens liegt meines Erachtens die Entscheidungserheblichkeit der im Verlauf des Ausgangsverfahrens gestellten Fragen insofern nicht ohne Weiteres auf der Hand, als von den Parteien, gegen die die Datenschutzbehörde vorgegangen ist, offenbar lediglich Facebook Belgium BVBA noch Beklagte des Ausgangsverfahrens ist(4). Den dem Gerichtshof vorliegenden Akten ist zu entnehmen, dass dieses Unternehmen weder die „Hauptniederlassung“ des Verantwortlichen im Sinne von Art. 4 Nr. 16 der DSGVO ist, noch, da es offenbar eine Niederlassung desselben Unternehmens ist, etwa ein „gemeinsam für die Verarbeitung Verantwortlicher“ im Sinne von Art. 26 der DSGVO(5).

33. Es gilt indes eine Vermutung für die Entscheidungserheblichkeit von zur Vorabentscheidung vorgelegten Fragen. Daher kann der Gerichtshof eine Entscheidung nur in begrenzten Fällen ablehnen, insbesondere dann, wenn die Anforderungen des Art. 94 der Verfahrensordnung des Gerichtshofs nicht erfüllt sind oder wenn offensichtlich ist, dass die Auslegung der betreffenden Unionsregelung in keinem Zusammenhang mit dem Sachverhalt steht oder wenn die Fragen (völlig) hypothetischer Natur sind(6). Ein solcher Fall liegt in der vorliegenden Rechtssache meines Erachtens nicht vor. Die Frage, „wer wer ist“ und „wer wegen was genau verfolgt werden darf“, ist nicht lediglich eine Frage der Tatsachenwürdigung, die letztlich dem nationalen Gericht obliegt, sondern in gewisser Hinsicht auch eine der Dimensionen der gestellten Fragen.

34. Zweitens ist auch der zeitliche Aspekt des Ausgangsverfahrens nicht ganz leicht zu erfassen. Das Verfahren wurde zu einem Zeitpunkt eingeleitet, als die Richtlinie 95/46 in Kraft war. Es war zu dem Zeitpunkt, als die DSGVO in Kraft trat, noch nicht abgeschlossen. Das Verfahren betrifft jetzt jedoch offenbar ausschließlich Verhaltensweisen, die sich ereigneten, nachdem der neue rechtliche Rahmen anwendbar wurde. Es geht nämlich darum, ob die Fortführung des Verfahrens durch die Aufsichtsbehörde mit den Bestimmungen der DSGVO im Einklang steht; dieser Aspekt wird mit der vierten Frage aufgeworfen. Diese Fragen wären jedoch im Ausgangsverfahren nur dann entscheidungserheblich, wenn eine nationale Behörde ein laufendes Verfahren wegen angeblicher Verstöße vor dem Zeitpunkt, zu dem der neue rechtliche Rahmen anwendbar wurde, zum Abschluss bringen wollte. Wenn jedoch das laufende Verfahren zum jetzigen Zeitpunkt ausschließlich angebliche Rechtsverstöße betreffen sollte, die sich ereignet haben, nachdem die DSGVO anwendbar wurde, und insoweit etwa ein (naturgemäß für die Zukunft wirkendes) gerichtliches Verbot dieser Praktiken erwirkt werden soll, ist nicht ohne Weiteres nachvollziehbar, warum die Datenschutzbehörde, soweit sie sich zum Einschreiten für zuständig hält, das laufende Verfahren nicht beendet hat und nicht nach den einschlägigen Bestimmungen der DSGVO vorgegangen ist.

35. Drittens hat die Datenschutzbehörde in der mündlichen Verhandlung auf einen Austausch mit der irischen Aufsichtsbehörde und dem Ausschuss über eine der von Facebook zur Erhebung von Daten verwendeten Technologien (Cookies) verwiesen. Es wurde vorgetragen, dass die beiden Aufsichtsbehörden unterschiedlicher Ansicht darüber gewesen seien, ob diese Technologie tatsächlich in den sachlichen Anwendungsbereich der DSGVO falle.

36. Insoweit mag, was die vorliegende Rechtssache angeht, der Hinweis darauf angebracht sein, dass bestimmte Datenverarbeitungstätigkeiten durchaus in den sachlichen Anwendungsbereich mehr als eines Unionsrechtsakts fallen können; in diesem Fall sind alle diese Rechtsakte, sofern nicht anders geregelt, nebeneinander anwendbar(7). In anderen Fällen, etwa wenn die Verarbeitungstätigkeiten sich nicht auf personenbezogene Daten im Sinne von Art. 4 Nr. 1 der DSGVO beziehen, findet die DSGVO jedoch offensichtlich keine Anwendung.

37. Dementsprechend kommen, soweit die angebliche Rechtswidrigkeit bestimmter Datenverarbeitungsvorgänge sich aus anderen Bestimmungen (des Unionsrechts oder des nationalen Rechts) ergibt, die in der DSGVO vorgesehenen Verfahren und Mechanismen nicht zum Tragen. Die DSGVO darf nicht als Einfallstor dafür verwendet werden, den „One-Stop-Shop“-Mechanismus auf Verhaltensweisen anzuwenden, bei denen es zwar zu einem bestimmten Datenverkehr oder sogar einer Datenverarbeitung kommt, die aber nicht gegen eine der Verpflichtungen nach der DSGVO verstoßen.

38. Um zu entscheiden, ob eine Rechtssache tatsächlich in den sachlichen Anwendungsbereich der DSGVO fällt, sollte ein nationales Gericht, wie etwa auch das vorlegende Gericht, den genauen Ursprung der Rechtspflicht eines Wirtschaftsteilnehmers ermitteln, gegen die dieser verstoßen haben soll. Wenn diese Verpflichtung nicht in der DSGVO ihren Ursprung hat, sind die darin vorgesehenen Verfahren, die an den sachlichen Anwendungsbereich dieses Rechtsakts geknüpft sind, logischerweise ebenfalls nicht anwendbar.

B. Erste Frage

39. Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob eine Aufsichtsbehörde eines Mitgliedstaats nach den Bestimmungen der DSGVO in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) bei einem angeblichen Verstoß gegen diese Verordnung eine Klage vor einem Gericht ihres Mitgliedstaats wegen einer grenzüberschreitenden Datenverarbeitung erheben kann, auch wenn sie nicht die „federführende Aufsichtsbehörde“ ist.

40. Nach Ansicht der Datenschutzbehörde sowie der belgischen, italienischen, polnischen und portugiesischen Regierung ist diese Frage vom Gerichtshof zu bejahen, während Facebook, die tschechische und die finnische Regierung sowie die Kommission der gegenteiligen Ansicht sind.

41. Ich werde im Folgenden erläutern, warum die von der Datenschutzbehörde sowie der belgischen, der italienischen, der polnischen und der portugiesischen Regierung vertretene Auslegung der DSGVO meines Erachtens nicht überzeugend ist: Sowohl eine Auslegung anhand des Wortlauts und der Systematik (1) als auch eine teleologische und entstehungsgeschichtliche Auslegung (2) der DSGVO weisen eindeutig in die gegenteilige Richtung. Ferner sind auch weder eine an der Charta orientierte Auslegung (3) noch angebliche Gefahren einer möglichen mangelnden Durchsetzung der DSGVO (4) geeignet, die meines Erachtens zutreffende Auslegung der DSGVO in Frage zu stellen, jedenfalls nicht zum gegenwärtigen Zeitpunkt.

42. Allerdings sind die Folgen dieser konkreten Auslegung der Verordnung meines Erachtens nicht so extrem wie von Facebook, der tschechischen und der finnischen Regierung sowie der Kommission vorgetragen. Dementsprechend werde ich erläutern, warum mit der dem vorlegenden Gericht zu gebenden Antwort ein Mittelweg zwischen den beiden, im vorliegenden Verfahren vorgetragenen Ansichten eingeschlagen werden sollte: Die Aufsichtsbehörde eines Mitgliedstaats ist befugt, vor einem Gericht ihres Staates Klage wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung zu erheben, auch wenn sie nicht die federführende Aufsichtsbehörde ist, sofern dies im Rahmen der in der DSGVO vorgesehenen Fälle und Verfahren geschieht (5).

1. Auslegung der DSGVO anhand des Wortlauts und der Systematik

43. Zunächst dürfte der Wortlaut der einschlägigen Bestimmungen, insbesondere wenn sie in ihrem Kontext betrachtet werden, für eine Auslegung der DSGVO sprechen, wonach die federführende Aufsichtsbehörde eine allgemeine Zuständigkeit für eine grenzüberschreitende Verarbeitung hat und die betroffenen Aufsichtsbehörden folglich über eine eingeschränkte Befugnis hierfür verfügen.

44. Nach Art. 56 Abs. 1 der DSGVO „ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung“(8). Nach Art. 56 Abs. 6 der DSGVO „[ist d]ie federführende Aufsichtsbehörde … der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung“(9). Der 124. Erwägungsgrund gibt diese Bestimmungen im Wesentlichen inhaltsgleich wieder, soweit es dort heißt, dass bei einer grenzüberschreitenden Verarbeitung „die Aufsichtsbehörde für die Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters oder für die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters als federführende Behörde fungieren [sollte]“(10).

45. Die allgemeine Zuständigkeit der federführenden Aufsichtsbehörde für die grenzüberschreitende Datenverarbeitung wird auch dadurch bestätigt, dass Fälle, in denen die Zuständigkeit für grenzüberschreitende Verarbeitungen anderen Aufsichtsbehörden übertragen ist, als Ausnahmen von der allgemeinen Regel formuliert sind. Insbesondere schließt Art. 55 Abs. 2 der DSGVO die Zuständigkeit der federführenden Aufsichtsbehörde für bestimmte Datenverarbeitungen „durch Behörden“ aus. Ferner ist nach Art. 56 Abs. 2 der DSGVO abweichend von dem Grundsatz, dass die Zuständigkeit bei der federführenden Aufsichtsbehörde liegt, „jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt“.

46. Darüber hinaus ist nach Art. 66 der DSGVO, der das „Dringlichkeitsverfahren“ betrifft, jede betroffene Aufsichtsbehörde „unter außergewöhnlichen Umständen“, soweit ein dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen, ermächtigt, sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten zu treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, und zwar „abweichend“ vom Verfahren der Zusammenarbeit und Kohärenz nach Art. 60, 63, 64 und 65 der DSGVO.

47. Aus dem Wortlaut der DSGVO geht daher meines Erachtens recht eindeutig hervor, dass für die grenzüberschreitende Verarbeitung die Zuständigkeit der federführenden Aufsichtsbehörde die Regel und die Zuständigkeit der anderen Aufsichtsbehörden die Ausnahme ist(11).

48. Dieser Auslegung der DSGVO treten jedoch die Datenschutzbehörde und einige Regierungen entgegen. Ihrer Ansicht nach soll der Wortlaut der einschlägigen Bestimmungen darauf hindeuten, dass jede Aufsichtsbehörde über eine (nahezu unbeschränkte) Befugnis verfüge, gerichtliche Verfahren gegen mögliche Verstöße einzuleiten, die Auswirkungen auf ihr Hoheitsgebiet hätten, und zwar unabhängig davon, ob die Verarbeitung grenzüberschreitend erfolge. Sie tragen im Wesentlichen zwei Argumente vor.

49. Erstens folge aus der Formulierung „[u]nbeschadet des Artikels 55“, mit der Art. 56 Abs. 1 beginne, dass die der federführenden Aufsichtsbehörde durch die letztgenannte Bestimmung zugewiesene Zuständigkeit sich nicht auf die jeder Aufsichtsbehörde durch die erstgenannte Bestimmung zugewiesenen Befugnisse, einschließlich derjenigen zur Einleitung gerichtlicher Verfahren, auswirken und diese nicht beschränken könne.

50. Dieses Vorbringen ist meines Erachtens nicht überzeugend.

51. Art. 55 Abs. 1 regelt den Grundsatz, dass jede Aufsichtsbehörde „für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig [ist]“. Diese Aufgaben sind sodann in Art. 57 der DSGVO aufgeführt. Die Befugnisse sind in Art. 58 der Verordnung aufgeführt. Zu den übertragenen Aufgaben gehört u. a. diejenige der Überwachung und Durchsetzung der DSGVO (Art. 57 Abs. 1 Buchst. a). Zu den nach Art. 58 zu erteilenden Befugnissen gehören u. a. verschiedene Untersuchungs- (Abs. 1), Abhilfe- (Abs. 2), Genehmigungs- und beratende Befugnisse (Abs. 3) sowie die Befugnis, gerichtliche Verfahren zu betreiben (Abs. 5).

52. Diese Bestimmungen, auf die Art. 55 implizit Bezug nimmt, beinhalten im Wesentlichen alle Aufgaben und Befugnisse, die den Aufsichtsbehörden nach der DSGVO zugewiesen werden. Folgte man der von der Datenschutzbehörde und einigen Regierungen vertretenen Auslegung, verbliebe praktisch nichts in der allgemeinen Zuständigkeit der federführenden Aufsichtsbehörde, so dass Art. 56 jede Bedeutung genommen würde. Die federführende Aufsichtsbehörde wäre weder der „einzige“ Ansprechpartner noch in irgendeiner Weise den anderen Aufsichtsbehörden gegenüber „federführend“. Ihre Rolle würde womöglich auf diejenige einer „Informationsstelle“ ohne eindeutig definierten Auftrag reduziert.

53. Die Bedeutung der der federführenden Aufsichtsbehörde zugewiesenen Rolle, und folglich auch diejenige des „One-Stop-Shop“-Mechanismus, tritt noch deutlicher hervor, wenn man alle diese Bestimmungen zusammen und in ihrem Kontext betrachtet.

54. Die hervorgehobene Stellung von Art. 56 in der Systematik der DSGVO gibt hierauf einen ersten Hinweis. Art. 56 ist die zweite Bestimmung im einschlägigen Abschnitt der DSGVO (Kapitel VI [„Unabhängige Aufsichtsbehörden“] Abschnitt 2 [„Zuständigkeit, Aufgaben und Befugnisse“]) und folgt unmittelbar nach der allgemeinen Bestimmung über die „Zuständigkeit“ und vor den anderen allgemeinen Bestimmungen über „Aufgaben“ und „Befugnisse“. Der Unionsgesetzgeber wollte also die zentrale Stellung der Zuständigkeit der federführenden Aufsichtsbehörde hervorheben, noch bevor er im Weiteren die konkreten Aufgaben und Befugnisse aller Aufsichtsbehörden näher verdeutlicht.

55. Grundlegender kommt die Bedeutung der Rolle der federführenden Aufsichtsbehörde auch noch in den Bestimmungen von Kapitel VII („Zusammenarbeit und Kohärenz“) der DSGVO zum Ausdruck, in dem die verschiedenen Verfahren und Mechanismen geregelt sind, die die Aufsichtsbehörden einzuhalten haben, um die einheitliche Anwendung der DSGVO sicherzustellen. Insbesondere ist in Art. 60, der am Anfang des Kapitels steht und auf den Art. 56 Abs. 1 verweist, das Verfahren der „Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden“ geregelt.

56. Hiermit ist eindeutig das Verfahren gemeint, das zu befolgen ist, wenn Durchsetzungsmaßnahmen gegen eine grenzüberschreitende Verarbeitung erforderlich sind. Dieses Verfahren ist ebenso wie die anderen in Kapitel VII der DSGVO vorgesehenen Verfahren nicht fakultativ. Der zwingende Wortlaut insbesondere in Art. 51 Abs. 2 und Art. 63 der DSGVO lässt eindeutig erkennen, dass die Aufsichtsbehörden zusammenarbeiten müssen, und zwar unter (verpflichtender) Anwendung der hierfür eingerichteten Verfahren und Mechanismen.

57. Daher hat die Wendung „unbeschadet des Artikels 55“ in Art. 56 Abs. 1 eine andere Bedeutung als von der Datenschutzbehörde vorgetragen. Meines Erachtens bedeutet diese Formulierung in dem Kontext, in dem sie steht, lediglich, dass im konkreten Fall zwar die federführende Aufsichtsbehörde für diesen eine grenzüberschreitende Verarbeitung betreffenden Fall nach Art. 56 der DSGVO zuständig ist, alle Aufsichtsbehörden jedoch natürlich die ihnen nach Art. 55 (und Art. 58) der DSGVO zugewiesenen allgemeinen Befugnisse behalten.

58. Nach Art. 55 Abs. 1 der DSGVO müssen die Mitgliedstaaten der Aufsichtsbehörde ermöglichen, die Aufgaben zu erfüllen und die Befugnisse auszuüben, die in der Verordnung vorgesehen sind. Diese Bestimmung weist somit jeder Aufsichtsbehörde eine allgemeine Befugnis (oder Zuständigkeit) zum Tätigwerden für ihr Hoheitsgebiet zu, und zwar unabhängig („unbeschadet“) davon, ob die Verarbeitung grenzüberschreitend erfolgt und, falls ja, ob die betreffende Behörde die federführende oder die betroffene Aufsichtsbehörde ist(12). Art. 55 der DSGVO regelt jedoch nicht, in welchen Fällen und in welcher Weise diese Befugnis zum Tätigwerden im konkreten Fall auszuüben ist. Diese Aspekte sind nämlich in anderen Bestimmungen der DSGVO, insbesondere in denjenigen des Kapitels VII der Verordnung, geregelt. Nach diesen Bestimmungen hängt die Frage, ob und in welcher Weise eine Aufsichtsbehörde die allgemeine Befugnis zum Tätigwerden ausüben kann, u. a. davon ab, ob diese Behörde für einen bestimmten Verantwortlichen oder Auftragsverarbeiter die federführende oder die betroffene Aufsichtsbehörde ist(13).

59. Insoweit stimme ich im Ergebnis mit der Ansicht des Ausschusses überein, der in einer jüngeren Stellungnahme Art. 56 Abs. 1 der DSGVO als „vorrangige Vorschrift“ und „lex specialis“ bezeichnet hat: Diese Vorschrift habe „Vorrang [vor der allgemeinen Regel des Art. 55 der DSGVO], wann immer es sich um eine Verarbeitungssituation handelt, die die dort genannten Voraussetzungen erfüllt“(14).

60. Demnach verstehen die Datenschutzbehörde und einige Regierungen Art. 55 und Art. 56 Abs. 1 der DSGVO meines Erachtens falsch. Diese Beteiligten lösen den ersten Satzteil von Art. 56 Abs. 1 aus seinem Kontext heraus und kehren damit das Verhältnis zwischen Regel und Ausnahme um. Damit wird in der Folge der zwingende Inhalt mehrerer Bestimmungen der DSGVO verwässert und das u. a. im zehnten Erwägungsgrund der Verordnung hervorgehobene Ziel verfehlt, eine gleichmäßigere und einheitlichere Anwendung der Datenschutzvorschriften zu gewährleisten. Dies würde im Wesentlichen auf eine Rückkehr zu der früheren Regelung der Richtlinie 95/46 hinauslaufen.

61. Zweitens tragen die Datenschutzbehörde und einige Regierungen vor, dass sich schon aus dem Wortlaut von Art. 58 Abs. 5 der DSGVO ergebe, dass alle Aufsichtsbehörden in der Lage sein müssten, gerichtliche Verfahren gegen jeden möglichen Verstoß gegen die Datenschutzvorschriften einzuleiten, der Auswirkungen auf ihr Hoheitsgebiet habe, und zwar unabhängig vom (territorialen oder grenzüberschreitenden) Charakter der Verarbeitung. Selbst wenn der „One-Stop-Shop“-Mechanismus dahin auszulegen wäre, dass er die Befugnisse anderer Aufsichtsbehörden im Zusammenhang mit einer grenzüberschreitenden Verarbeitung beschränke, könnten diese Beschränkungen folglich lediglich für das Verwaltungshandeln, nicht aber für gerichtliche Verfahren gelten.

62. Dieses zweite Argument ist meines Erachtens ebenfalls nicht stichhaltig. Mit ihm wird dieselbe „Sünde“ begangen wie beim vorherigen Argument, nämlich eine konkrete Bestimmung der DSGVO in „klinischer Isolation“ vom Rest der Verordnung auszulegen und zugleich zu viel in sie hineinzulesen.

63. Art. 58 Abs. 5 der DSGVO lautet: „Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.“

64. Diese Bestimmung verpflichtet die Mitgliedstaaten zum einen, den Aufsichtsbehörden einen engen Kontakt zu Justizbehörden (einschließlich möglicherweise denen der Strafjustiz) zu ermöglichen, und zum anderen, ihnen (nicht nur in passiver, sondern auch in aktiver Hinsicht) die Befugnis zu verleihen, vor ihren nationalen Gerichten Verfahren einzuleiten. Mit anderen Worten sollen die Aufsichtsbehörden grundsätzlich in der Lage sein, mit Justizbehörden in Verbindung zu treten und erforderlichenfalls gerichtliche Verfahren einzuleiten. Nach meinem Verständnis wurde eine solche ausdrückliche Regelung vom Unionsgesetzgeber für erforderlich gehalten, weil ungeachtet des Wortlauts von Art. 28 Abs. 3 der Richtlinie 95/46(15) erhebliche Unterschiede zwischen den Rechtsvorschriften der Mitgliedstaaten in diesem Bereich bestanden, die wiederum Fragen einer mangelnden Durchsetzung aufwarfen(16). Die vorliegende Rechtssache, deren Verfahren zu einem Zeitpunkt eingeleitet wurde, als diese Richtlinie noch in Kraft war, ist hierfür ein treffendes Beispiel: In der Rechtssache stellten sich nach nationalem Recht Fragen nach der Klagebefugnis der Privacy Commissie und der hinreichenden Rechtsgrundlage für die von deren Präsidenten erhobene Klage.

65. Ähnlich wie oben bereits ausgeführt(17), regelt jedoch Art. 58 Abs. 5 der DSGVO Befugnisse, die an diesem Punkt unterschiedslos allen Aufsichtsbehörden zu gewähren sind, und zwar unabhängig von der (bzw. im Vorfeld der) Klärung der Frage, ob diese Behörde in einem konkreten Fall die zuständige federführende oder betroffene Aufsichtsbehörde wäre oder möglicherweise gar nicht betroffen sein könnte. Art. 58 Abs. 5 der DSGVO regelt nicht, in welchen Fällen und in welcher Weise diese Befugnis zur Klageerhebung wahrzunehmen ist. Wahrscheinlich wird in dieser Bestimmung deshalb auch die Formulierung „gegebenenfalls“ verwendet. Dies ist Gegenstand anderer Bestimmungen der DSGVO.

66. Darüber hinaus ist weder dem Wortlaut noch der Systematik von Art. 58 der DSGVO zu entnehmen, dass, wie von der Datenschutzbehörde vorgetragen, eine Unterscheidung vorgenommen werden könnte zwischen administrativen Befugnissen der Behörden (die den sich aus dem „One-Stop-Shop“-Mechanismus ergebenden Einschränkungen unterliegen sollen) und der Befugnis zur Einleitung eines gerichtlichen Verfahrens (die diesen Einschränkungen nicht unterliegen soll). Diese Bestimmung führt, Absatz für Absatz, die verschiedenen Befugnisse auf, die den Aufsichtsbehörden gewährt werden müssen, und untergliedert diese ihrem Zweck nach (Untersuchung, Abhilfe, Beratung, usw.). Der Wortlaut dieser Absätze ist recht ähnlich und bestimmt im Wesentlichen, dass jede Aufsichtsbehörde über die dort genannten Befugnisse verfügt.

67. Ich sehe daher keine Grundlage dafür, den Abs. 5 des Art. 58 anders auszulegen als die Abs. 1 bis 3 derselben Bestimmung. Es kann nur eines von beidem richtig sein: Entweder verfügt jede einzelne Aufsichtsbehörde über alle diese Befugnisse, ohne dass diese durch den „One-Stop-Shop“-Mechanismus eingeschränkt wären, oder alle diese Befugnisse müssen im Rahmen der in der Verordnung vorgesehenen Verfahren und Beschränkungen ausgeübt werden.

68. Aus den oben in den Nrn. 51 und 52 dargelegten Gründen kann der erstgenannten Annahme nicht gefolgt werden. Aus einer Betrachtung von Art. 58 der DSGVO in seinem Kontext wird klar, dass tatsächlich allenfalls das Gegenteil dessen richtig sein kann, was die Datenschutzbehörde und einige Regierungen vortragen.

69. Jede Aufsichtsbehörde soll nämlich zur ordnungsgemäßen und einheitlichen Anwendung der Verordnung beitragen. Hierzu muss jede Aufsichtsbehörde, unabhängig davon, ob ihr im konkreten Fall die Rolle der federführenden oder der betroffenen Aufsichtsbehörde zufällt, z. B. die bei ihr eingereichten Beschwerden prüfen, und zwar sorgfältig(18). Selbst wenn die angeblichen Verstöße eine grenzüberschreitende Verarbeitung betreffen und eine Behörde nicht die federführende Aufsichtsbehörde ist, sollten andere Aufsichtsbehörden nämlich in der Lage sein, den Sachverhalt zu prüfen, um sich sinnvoll einbringen zu können, wenn dies von ihnen im Rahmen des Verfahrens der Zusammenarbeit und Kohärenz verlangt wird(19), oder um Dringlichkeitsmaßnahmen zu erlassen. Es ist dann jedoch Sache der federführenden Aufsichtsbehörde, in allgemeiner Weise verbindliche Entscheidungen zur Durchsetzung der DSGVO gegenüber dem Verantwortlichen oder Auftragsverarbeiter zu erlassen(20). Insbesondere ergibt sich aus dem kürzlich ergangenen Urteil Facebook Ireland und Schrems, dass die „zuständige nationale Aufsichtsbehörde … gegebenenfalls Klage vor den nationalen Gerichten erheben können [muss]“(21). Daher ist die Annahme, dass Aufsichtsbehörden das Verfahren der Zusammenarbeit und Kohärenz außer Acht lassen könnten, soweit sie Klage erheben möchten, mit dem Wortlaut der DSGVO und der Rechtsprechung des Gerichtshofs unvereinbar.

70. Im Übrigen wäre es aus praktischerer Sicht auch unlogisch, wenn eine Behörde daran gehindert wäre, ein Verwaltungsverfahren einzuleiten, um den mutmaßlichen Verstoß gegen die Datenschutzvorschriften mit den betroffenen Wirtschaftsteilnehmern zu erörtern, ihr andererseits aber gestattet wäre, wegen desselben Sachverhalts sofort vor einem Gericht ein Verfahren einzuleiten. Eine gerichtliche Auseinandersetzung dürfte häufig ein letztes Mittel sein, zu dem eine Behörde greifen wird, wenn ein Problem durch (formelle oder informelle) Erörterungen und Entscheidungen auf der Verwaltungsebene nicht wirksam ausgeräumt werden kann.

71. Mit der Unterscheidung, die die Datenschutzbehörde befürwortet, wonach einer Aufsichtsbehörde nicht gestattet sein soll, (auf der Verwaltungsebene) zu ermitteln, den Vorgang vorzubereiten, zu bearbeiten und darüber zu entscheiden, wohingegen es ihr jedoch gestattet sein soll, stattdessen sofort vor einem Gericht Klage zu erheben, bringt man Verwaltungsbehörden in gefährliche Nähe zu recht fragwürdigen Western-Protagonisten, die erst schießen und, wenn überhaupt, (vielleicht) später reden („Wenn du schießen musst, schieß; und rede nicht“(22)). Dass dies ein vernünftiges oder geeignetes Mittel für Verwaltungsbehörden im Umgang mit mutmaßlichen Verstößen gegen Datenschutzvorschriften wäre, erscheint mir zweifelhaft.

72. Hinzuweisen ist ferner vor allem auch darauf, dass dann, wenn Aufsichtsbehörden ohne Weiteres ihre nationalen Gerichte anrufen könnten, wenn sie von ihren Verwaltungsbefugnissen keinen Gebrauch machen können, ohne die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und Kohärenz einzuhalten, der Weg dafür geebnet würde, diese Mechanismen ohne Weiteres zu umgehen. Insbesondere könnten im Fall unterschiedlicher Ansichten über einen Beschlussentwurf sowohl die federführende Aufsichtsbehörde als auch eine (jede) betroffene Aufsichtsbehörde „die Sache in ihre eigenen Hände nehmen“ und Klage vor den nationalen Gerichten erheben, so dass die Verfahren nach Art. 60 Abs. 4 und Art. 65 der DSGVO umgangen würden.

73. Dies wiederum würde auch einer der wesentlichen Funktionen des Ausschusses ihren Sinn nehmen, einer durch die DSGVO geschaffenen Einrichtung, die sich aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten zusammensetzt(23). Eine der Aufgaben des Ausschusses ist gerade diejenige der Überwachung und Sicherstellung der ordnungsgemäßen Anwendung der DSGVO, wenn verschiedene Aufsichtsbehörden unterschiedlicher Ansicht sind(24). In diesen Fällen fungiert der Ausschuss als Forum zur Streitbeilegung und Entscheidungsgremium. Würde der von der Datenschutzbehörde und einigen Regierungen vertretenen Auslegung gefolgt, könnte der in Art. 65 der DSGVO vorgesehene Mechanismus vollständig übergangen werden: Jede Behörde könnte ihren eigenen Weg gehen und den Ausschuss umgehen.

74. Die damit eintretende Situation dürfte das Gegenteil von dem sein, was der Unionsgesetzgeber mit dem neuen System erreichen wollte; dies wird im nächsten Abschnitt erläutert.

2. Teleologische und entstehungsgeschichtliche Auslegung der DSGVO

75. Wie sich aus dem neunten Erwägungsgrund der DSGVO ergibt, war der Unionsgesetzgeber der Ansicht, dass „[d]ie Ziele und Grundsätze der Richtlinie 95/46/EG … nach wie vor Gültigkeit [besaßen]“, dieses Rechtsinstrument jedoch nicht hatte „verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen“.

76. Die Notwendigkeit, Kohärenz zu gewährleisten, wurde somit zum Motto des Rechtsinstruments, das die Richtlinie 95/46 ersetzen sollte. Dieses Ziel wurde unter zweierlei Aspekten als wichtig angesehen: zum einen, um ein einheitliches und hohes Maß an Schutz für natürliche Personen zu gewährleisten, und zum anderen, um Hemmnisse für den Verkehr personenbezogener Daten innerhalb der Union zu beseitigen und Rechtssicherheit und Transparenz für Wirtschaftsteilnehmer zu schaffen(25).

77. Hervorzuheben ist der letztere Aspekt. Nach der Richtlinie 95/46 mussten unionsweit tätige Wirtschaftsteilnehmer die verschiedenen die Richtlinie umsetzenden Regularien der nationalen Rechtsvorschriften einhalten und zugleich mit allen nationalen Datenschutzbehörden in Verbindung treten. Diese Situation war für die Wirtschaftsteilnehmer nicht nur kostspielig, belastend und zeitaufwändig, sondern generierte für sie und ihre Kunden auch unvermeidlicherweise Unsicherheit und Konflikte(26).

78. Die Grenzen des mit der Richtlinie 95/46 errichteten Systems wurden auch in einer Reihe von Urteilen des Gerichtshofs deutlich. Im Urteil Weltimmo stellte der Gerichtshof fest, dass die Befugnisse der Datenschutzbehörden streng durch das Territorialitätsprinzip begrenzt waren: Diese Behörden konnten nur gegen Verstöße vorgehen, die sich in ihrem eigenen Hoheitsgebiet ereigneten, und mussten sich in allen sonstigen Fällen an die Behörden der anderen Mitgliedstaaten wenden und sie um ein Tätigwerden ersuchen(27). Im Urteil Wirtschaftsakademie Schleswig-Holstein entschied der Gerichtshof, dass bei einer grenzüberschreitenden Verarbeitung jede Datenschutzbehörde ihre Befugnisse gegenüber einer in ihrem Hoheitsgebiet ansässigen Stelle unabhängig von der Auffassung und vom Handeln der Datenschutzbehörde des Mitgliedstaats ausüben konnte, in dem die für diese Verarbeitung verantwortliche Stelle ihren Sitz hatte(28).

79. In der virtuellen Welt der Datenverarbeitung ist eine Aufspaltung der Zuständigkeit der verschiedenen Behörden nach territorialen Grenzen jedoch häufig problematisch(29). Auch das Fehlen dezidierter Mechanismen der Koordinierung zwischen den nationalen Behörden war eine Quelle von Uneinheitlichkeit und Unsicherheit.

80. Mit der Einführung des „One-Stop-Shop“-Mechanismus und der der federführenden Aufsichtsbehörde zugewiesenen wichtigen Rolle sowie den Mechanismen der Zusammenarbeit, die vorgesehen wurden, um weitere Aufsichtsbehörden zu beteiligen, sollten gerade diese Probleme angegangen werden(30). Im Urteil Google (Räumliche Reichweite der Auslistung) betonte der Gerichtshof die Bedeutung der Verfahren der Zusammenarbeit und Kohärenz für die ordnungsgemäße und einheitliche Anwendung der DSGVO und ihren verpflichtenden Charakter(31). In jüngerer Zeit hob in der Rechtssache Facebook Ireland und Schrems auch Generalanwalt Saugmandsgaard Øe hervor, dass die in Kapitel VII der DSGVO geregelten Verfahren der Zusammenarbeit und Kohärenz die Gefahr vermeiden sollten, dass verschiedene Aufsichtsbehörden unterschiedliche Ansätze zur Frage der grenzüberschreitenden Verarbeitung verträten(32).

81. Zwar waren, wie von der Datenschutzbehörde vorgetragen, während des Gesetzgebungsverfahrens sowohl der Rat als auch das Parlament bestrebt, die ursprünglich von der Kommission angestrebten Befugnisse der federführenden Aufsichtsbehörde zu begrenzen. Die schließlich in die endgültige Fassung der DSGVO aufgenommenen Änderungen geben jedoch keinen Anlass zu Zweifeln an der oben dargestellten Auslegung der Verordnung, sondern bestätigen diese vielmehr.

82. Nach dem ursprünglichen Vorschlag der Kommission bedeutete der „One-Stop-Shop“-Mechanismus, dass bei einer grenzüberschreitenden Verarbeitung eine einzige Aufsichtsbehörde (die federführende Aufsichtsbehörde) für die Überwachung der Tätigkeit des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der gesamten Union zuständig sein und die entsprechenden Beschlüsse fassen sollte(33). Dieser Vorschlag gab indessen im Rat und im Parlament Anlass zu Diskussionen.

83. Der Rat einigte sich schließlich auf eine Fassung, die auf einem vom Präsidenten vorgelegten Vorschlag beruhte(34). Dieser Vorschlag stellte keineswegs den „One-Stop-Shop“-Mechanismus als solchen in Frage, den der Rat als „einen der zentralen Pfeiler“ des neuen rechtlichen Rahmens bezeichnete(35). Der präsidiale Vorschlag führte letztlich im Wesentlichen zu zwei Komplexen recht spezifischer Änderungen.

84. Erstens wollte der Rat bestimmte Ausnahmen von der allgemeinen Zuständigkeit der federführenden Aufsichtsbehörde einführen, nämlich betreffend die Verarbeitung durch Behörden und für örtlich beschränkte Fälle. Der Rat schlug daher vor, zwei Bestimmungen aufzunehmen, die im Vorschlag der Kommission nicht enthalten gewesen waren(36) und die jetzt in Art. 55 Abs. 2 und Art. 56 Abs. 2 der DSGVO enthalten sind(37).

85. Zweitens wollte der Rat die Rolle und die Befugnisse der federführenden Aufsichtsbehörde schwächen, indem das Verfahren offener werden sollte. Der Wortlaut des Kommissionsvorschlags wurde in diesem Punkt als etwas unklar angesehen, was zu einer möglichen ausschließlichen Zuständigkeit der federführenden Aufsichtsbehörde für eine grenzüberschreitende Datenverarbeitung führen könne. Es wurden einige Korrekturen in den Wortlaut aufgenommen, um eine größere „Nähe“ zwischen betroffenen Personen und der Aufsichtsbehörde zu schaffen(38). So wurde u. a. die Einbindung anderer Aufsichtsbehörden in die Entscheidungsfindung erheblich gestärkt.

86. Das Parlament seinerseits unterstützte ebenfalls die Einführung des „One-Stop-Shop“-Mechanismus mit einer gestärkten Rolle der federführenden Aufsichtsbehörde, schlug jedoch vor, das System der Zusammenarbeit zwischen den Aufsichtsbehörden zu stärken. Dies geht sowohl aus der Begründung des Berichtsentwurfs des Parlaments(39) als auch aus der legislativen Entschließung des Europäischen Parlaments vom 12. März 2014(40) recht eindeutig hervor.

87. Im Wesentlichen wurde auf Initiative des Rates und des Parlaments der vorher stark auf die federführende Aufsichtsbehörde ausgerichtete „One-Stop-Shop“-Mechanismus zu einem ausgeglicheneren Zwei-Säulen-Mechanismus: Die führende Rolle der federführenden Aufsichtsbehörde wird für grenzüberschreitende Verarbeitungen beibehalten, jetzt jedoch von einer stärkeren Rolle der anderen Aufsichtsbehörden, die am Prozedere durch die Verfahren der Zusammenarbeit und Kohärenz aktiv teilnehmen, und einer Schiedsrichter- und Leitungsfunktion des Ausschusses bei unterschiedlichen Ansichten flankiert.

88. Demzufolge bestätigt eine teleologische und entstehungsgeschichtliche Auslegung der DSGVO die Bedeutung des „One-Stop-Shop“-Mechanismus und somit auch der allgemeinen Zuständigkeit der federführenden Aufsichtsbehörde für die grenzüberschreitende Datenverarbeitung. Die von der Datenschutzbehörde und einigen Regierungen vertretene Auslegung der Bestimmungen der DSGVO ist mit der den Erwägungsgründen und Bestimmungen der Verordnung sowie den Vorarbeiten zu entnehmenden Absicht des Unionsgesetzgebers nicht vereinbar.

89. Ich komme somit zu dem Ergebnis, dass eine am Wortlaut und Kontext orientierte sowie eine teleologische und entstehungsgeschichtliche Auslegung der einschlägigen Bestimmungen der DSGVO bestätigt, dass die Aufsichtsbehörden die in der Verordnung vorgesehenen Regelungen zur Zuständigkeit und zu den Mechanismen und Verfahren der Zusammenarbeit und Kohärenz einzuhalten haben. Soweit sie sich mit einer grenzüberschreitenden Verarbeitung konfrontiert sehen, müssen diese Behörden innerhalb des von der DSGVO eingerichteten Rahmens handeln.

90. Die Datenschutzbehörde und einige Regierungen haben indessen noch zwei weitere Argumentationslinien vorgetragen, die ihrer Ansicht nach für eine Stärkung der Befugnisse aller Aufsichtsbehörden zum einseitigen Handeln auch bei einer grenzüberschreitenden Verarbeitung sprechen. In den folgenden Abschnitten werde ich erläutern, warum diese Argumente die von mir oben vertretene Auslegung der DSGVO jedenfalls zum jetzigen Zeitpunkt nicht in Frage stellen sollten.

3. An der Charta orientierte Auslegung der DSGVO

91. Die Aufsichtsbehörde ist der Ansicht, dass eine unbeschränkte Befugnis der Aufsichtsbehörden, Klagen gegen Auftragsverarbeiter und Verantwortliche zu erheben, selbst wenn es sich um eine grenzüberschreitende Verarbeitung handele, erforderlich sei, um die Einhaltung der Art. 7, 8 und 47 der Charta zu gewährleisten. Dem Vortrag der Datenschutzbehörde liegen offenbar zwei Hauptbedenken zugrunde, auch wenn in ihren Erklärungen keines von ihnen umfassend zum Ausdruck gebracht worden ist(41).

92. Erstens beziehen sich die Bedenken der Datenschutzbehörde offenbar darauf, dass weniger Behörden in Bezug auf ein bestimmtes Verhalten tätig werden können. Diesem Ansatz liegt offenbar die stillschweigende Annahme zugrunde, dass ein hohes Maß an Schutz eine Vielzahl von Behörden erfordere, die die Einhaltung der DSGVO, auch durch paralleles Handeln, durchsetzen könnten. Vereinfacht ausgedrückt: je mehr Behörden einbezogen werden, desto größer der Schutz.

93. Dies ist meines Erachtens nicht notwendigerweise der Fall, jedenfalls was das Niveau des Schutzes angeht.

94. Es ist zwar richtig, dass der Gerichtshof festgestellt hat, dass das Datenschutzrecht der Union im Licht der Art. 7 und 8 der Charta ein hohes Niveau des Schutzes u. a. des Grundrechts auf Achtung der Privatsphäre bei der Verarbeitung personenbezogener Daten gewährleisten soll(42).

95. Der Unionsgesetzgeber ist jedoch der Ansicht, dass die Gewährleistung eines „hohes Datenschutzniveaus für natürliche Personen“ einen „soliden [und] kohärenteren … Rechtsrahmen im Bereich des Datenschutzes“ voraussetzt(43). Hierzu soll der durch die DSGVO geschaffene Rahmen eine Kohärenz auf allen Ebenen gewährleisten: für natürliche Personen, für Wirtschaftsteilnehmer, für Verantwortliche und Auftragsverarbeiter sowie für Aufsichtsbehörden gleichermaßen(44). Im Hinblick auf Letztere soll die DSGVO, wie im 116. Erwägungsgrund zum Ausdruck kommt, zwischen ihnen „die Zusammenarbeit … fördern“(45).

96. Folglich steht entgegen dem Vorbringen der Datenschutzbehörde – aus Sicht des Unionsgesetzgebers – die Verfolgung eines hohen Schutzniveaus für die Rechte und Freiheiten betroffener Personen voll und ganz im Einklang mit dem oben näher dargestellten Funktionieren des „One-Stop-Shop“- Mechanismus. Dadurch, dass sie hierbei einen kohärenteren, wirksameren und transparenteren Ansatz verfolgen, sollten die in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz zu einer stärkeren Förderung und Gewährleistung der u. a. in Art. 7 und 8 der Charta verankerten Rechte beitragen.

97. Anders ausgedrückt, schließt ein kohärentes und einheitliches Schutzniveau sicherlich nicht aus, dass dieser Schutz auf einem hohen Niveau angesiedelt wird. Die Frage ist lediglich, wo dieser einheitliche Maßstab angelegt wird. Überhaupt ist es zweifelhaft, dass ein Nebeneinander mehrerer, nicht miteinander in Verbindung stehender und möglicherweise widersprüchlicher Handlungen der Aufsichtsbehörden dem Ziel, ein hohes Schutzniveau für die Rechte der Einzelnen zu gewährleisten, wirklich zuträglich wäre. Es kann vielleicht angenommen werden, dass die Gewährleistung von Kohärenz und Klarheit durch die Aufsichtsbehörden bei abgestimmtem Handeln diesem Ziel eher dienlich ist.

98. Zweitens werden mit den von der Datenschutzbehörde geäußerten Bedenken Fragen nach der Nähe zwischen den eine Beschwerde einreichenden Personen und den auf diese Beschwerde hin schließlich tätig werdenden Behörden aufgeworfen. Es stellt sich im Wesentlichen die Frage, ob Einzelpersonen gegen das Handeln oder die Untätigkeit der Aufsichtsbehörden im Umgang mit ihren Beschwerden wirksam vorgehen können.

99. Art. 78 der DSGVO bekräftigt in der Tat das Recht natürlicher oder juristischer Personen auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde. Um mit Art. 47 der Charta vereinbar zu sein, dürfen ferner die in der DSGVO vorgesehenen Rechtsbehelfe betroffene Personen nicht zur Einhaltung detaillierter Vorschriften verpflichten, die in Bezug auf ihre Eigenschaft als natürliche Personen ihr Recht auf eine gerichtliche Kontrolle (beispielsweise durch eine Erhöhung der Kosten oder eine Verzögerung des Verfahrens) unverhältnismäßig beeinträchtigen können(46).

100. Keines der (eher vagen) Argumente, die von jeder der Parteien hierzu jeweils vorgetragen wurden, liefert jedoch eine Erklärung dafür, warum die von Facebook, der tschechischen und der finnischen Regierung sowie der Kommission vorgetragene Auslegung der DSGVO gegen Art. 47 der Charta verstoßen sollte.

101. Zunächst sieht die DSGVO ausdrücklich das Recht betroffener Personen auf Erhebung einer Klage gegen Verantwortliche und Auftragsverarbeiter sowie gegen Aufsichtsbehörden vor. Systematisch betrachtet, ist es daher nicht ersichtlich, warum die DSGVO mit Art. 47 der Charta unvereinbar sein sollte.

102. Was das Recht betroffener Personen angeht, gegen Verantwortliche und Auftragsverarbeiter Klage zu erheben, haben diese Personen die Wahl zwischen einer Klageerhebung bei den Gerichten der Mitgliedstaaten, in denen der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat, oder in denen die betroffene Person ihren gewöhnlichen Aufenthalt hat(47). Diese Regelung dürfte für die betroffenen Personen eher günstig oder jedenfalls unproblematisch sein(48).

103. Was das Recht betroffener Personen auf Erhebung einer Klage gegen Aufsichtsbehörden angeht, ist die Situation komplexer. Zunächst haben betroffene Personen das Recht, sowohl das Handeln als auch die Untätigkeit der Aufsichtsbehörden anzufechten. Insbesondere können sie gegen jede Aufsichtsbehörde vorgehen, die „auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist“(49).

104. Klagen gegen die Aufsichtsbehörden müssen jedoch, anders als Klagen gegen Verantwortliche und Auftragsverarbeiter, vor den Gerichten des Mitgliedstaats erhoben werden, in dem die Aufsichtsbehörde ihren Sitz hat(50). Auch wenn diese Regelung für Einzelpersonen weniger günstig erscheinen mag, ist zu bedenken, dass nach Art. 60 Abs. 8 und 9 der DSGVO im Fall der vollständigen oder teilweisen Abweisung oder Ablehnung einer von einer betroffenen Person eingereichten Beschwerde der Erlass und die Mitteilung der entsprechenden Entscheidung an die betroffene Person durch die Aufsichtsbehörde, bei der sie die Beschwerde eingereicht hat, zu erfolgen haben. Dies gilt unabhängig davon, ob es sich bei dieser Behörde um die federführende Aufsichtsbehörde handelt, so dass (gegebenenfalls) der betroffenen Person eine Klageerhebung in ihrem eigenen Mitgliedstaat gestattet wäre.

105. Diese Mechanismen der Verlagerung der Zuständigkeit für den Erlass von Entscheidungen und gegebenenfalls eines etwaigen Erlasses gespaltener Entscheidungen (federführende Aufsichtsbehörde gegenüber dem Verantwortlichen oder Auftragsverarbeiter und örtliche Behörde gegenüber dem Beschwerdeführer) dürften insbesondere dazu dienen, betroffenen Personen, die gegen untätige Aufsichtsbehörden Klage erheben wollen, eine „Rundreise“ von Gerichtssaal zu Gerichtssaal in der Europäischen Union zu ersparen.

106. Anzuerkennen ist indes, dass eine solche Lösung eine Reihe praktischer Fragen nach sich ziehen kann. Welchen genauen Inhalt hat jede dieser Entscheidungen? Wäre dieser Inhalt identisch(51) oder unterschiedlich? Dürfte eine betroffene Person sich gegen alle ihrer Ansicht nach für ihr Begehren relevanten Aspekte wenden, auch gegen solche, über die tatsächlich von der federführenden Aufsichtsbehörde zu entscheiden ist? Oder wäre die Entscheidung der Aufsichtsbehörde, bei der die betroffene Person Beschwerde eingelegt hat, weitgehend eine leere Hülle, in der die individuelle Beschwerde lediglich formal behandelt würde, während über den gesamten eigentlichen Inhalt von der federführenden Aufsichtsbehörde zu entscheiden wäre? Müsste die betroffene Person in diesem Fall, um Zugang zu einem „wirksamen gerichtlichen Rechtsbehelf“ im Sinne von Art. 78 der DSGVO und Art. 47 der Charta zu erhalten, in jedem Fall die Gerichte des Mitgliedstaats anrufen, in dem die federführende Aufsichtsbehörde ihren Sitz hat? Wie fänden die Regelungen für den Zugang zu einem wirksamen gerichtlichen Rechtsbehelf im Hinblick auf die Kontrolle zugrunde liegender Entscheidungen Anwendung, sei es auf der horizontalen Ebene (unter gemeinsam handelnden Aufsichtsbehörden) oder auf der vertikalen Ebene (im Hinblick auf die Kontrolle einer Stellungnahme oder einer Entscheidung des Ausschusses im vorangehenden Kohärenzverfahren, das für die endgültige Entscheidung einer Aufsichtsbehörde wahrscheinlich letztlich maßgeblich sein wird)?(52)

107. An möglichen heiklen Fragestellungen mangelt es nicht. Die praktische Erfahrung könnte eines Tages echte Probleme in Bezug auf die dem neuen System eigene Qualität oder sogar das ihm eigene Niveau des Rechtsschutzes aufdecken. Zum gegenwärtigen Zeitpunkt bleiben solche Fragen jedoch auf der Ebene von Mutmaßungen. Zum jetzigen Zeitpunkt, und gewiss im vorliegenden Verfahren, liegen dem Gerichtshof keine Anhaltspunkte dafür vor, dass sich derartige Fragen tatsächlich stellen würden.

4. Mögliche mangelnde Durchsetzung der DSGVO

108. Die Datenschutzbehörde trägt im Wesentlichen vor, dass die Durchsetzung der DSGVO bei grenzüberschreitenden Sachverhalten nicht nahezu ausschließlich der federführenden Aufsichtsbehörde und den von der Verarbeitung möglicherweise betroffenen Personen überlassen werden könne. Es sei nämlich gerade Aufgabe jeder der Aufsichtsbehörden, zum Schutz der Rechte von Einzelpersonen tätig zu werden, die von der Datenverarbeitung möglicherweise betroffen seien. Insbesondere könne eine Aufsichtsbehörde ihre Aufgabe immer dann nicht ordnungsgemäß erfüllen, wenn die Entscheidung, ob und in welcher Weise ein Handeln gegen einen mutmaßlichen Verstoß geboten sei, in das Ermessen einer anderen Behörde gestellt sei.

109. Dieses Vorbringen läuft meines Erachtens im Wesentlichen auf eine unmittelbare Infragestellung des mit der DSGVO eingeführten neuen Mechanismus der Zusammenarbeit hinaus. Meine Antwort hierauf ist auf zwei Ebenen formuliert: Zum einen könnte, was die Ebene des geltenden Rechts angeht, davon auszugehen sein, dass die DSGVO Mechanismen beinhaltet, die solche Fallgestaltungen vermeiden sollen. Zum anderen sind, was das tatsächliche Funktionieren und die tatsächlichen Wirkungen des neuen Systems angeht, solche Befürchtungen zum gegenwärtigen Zeitpunkt voreilig und hypothetisch.

110. Erstens ist vorab klarzustellen, dass der Umstand, dass eine Aufsichtsbehörde gegenüber einem bestimmten Verantwortlichen oder Auftragsverarbeiter nicht die federführende Aufsichtsbehörde ist, entgegen dem Vorbringen der Datenschutzbehörde keineswegs bedeutet, dass Verstöße gegen die DSGVO, die eine Straftat darstellen, nicht ordnungsgemäß verfolgt werden könnten. Die Befugnis, „Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen“ nach Art. 58 Abs. 5 schließt selbstverständlich die Befugnis ein, mit Strafverfolgungsbehörden wie etwa der Staatsanwaltschaft in Verbindung zu treten. Diese Befugnis steht im Einklang mit der Aufgabe der Aufsichtsbehörden, die Anwendung der DSGVO in ihrem Hoheitsgebiet zu überwachen und durchzusetzen, und steht der wirksamen Anwendung der in Kapitel VII der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz nicht entgegen. Es dürfte in diesem Zusammenhang kaum einer Erwähnung bedürfen, dass diese Mechanismen zwar für die Aufsichtsbehörden verpflichtend sind, auf andere Behörden der Mitgliedstaaten aber keine Anwendung finden, insbesondere nicht auf die mit der Aufgabe der Verfolgung von Straftaten betrauten Stellen.

111. Zweitens ist vor allem auch darauf hinzuweisen, dass bei Einhaltung des mit der DSGVO eingeführten Systems in seiner Gesamtheit recht klar wird, dass die Durchsetzung der DSGVO bei grenzüberschreitenden Sachverhalten nicht ausschließlich der federführenden Aufsichtsbehörde obliegt. Die federführende Aufsichtsbehörde ist eher ein primus inter pares. Allgemein kann eine federführende Aufsichtsbehörde (verwaltungsbehördlich oder gerichtlich) nur mit Zustimmung der betroffenen Aufsichtsbehörden handeln. Im Rahmen des Verfahrens nach Art. 60 der DSGVO muss die federführende Aufsichtsbehörde sich um Konsens bemühen(53). Sie kann die Ansichten der betroffenen Aufsichtsbehörden nicht außer Acht lassen. Die federführende Aufsichtsbehörde ist nicht nur verpflichtet, diesen Ansichten „gebührend Rechnung“ zu tragen, sondern jeder von einer betroffenen Aufsichtsbehörde geäußerte förmliche Einspruch hat zur Folge, dass die Annahme des Beschlussentwurfs der federführenden Aufsichtsbehörde vorübergehend blockiert wird. Letztlich werden fortbestehende Meinungsverschiedenheiten zwischen den Behörden durch ein bestimmtes Gremium (den Ausschuss) beigelegt, der sich aus den Vertretern aller Aufsichtsbehörden der Union zusammensetzt. Die Stellung der federführenden Aufsichtsbehörde ist daher insoweit nicht stärker als die jeder anderen Behörde(54).

112. Wie der frühere Europäische Datenschutzbeauftragte P. Hustinx es formulierte, ist in der Systematik der DSGVO die Aufgabe einer federführenden Aufsichtsbehörde „nicht als eine ausschließliche Zuständigkeit anzusehen, sondern als eine strukturierte Form der Zusammenarbeit mit anderen örtlich zuständigen Aufsichtsbehörden“(55). Die DSGVO sieht eine geteilte Verantwortlichkeit für die Überwachung der Anwendung der DSGVO und ihre einheitliche Anwendung vor. Zu diesem Zweck werden den Aufsichtsbehörden Aufgaben und bestimmte Befugnisse übertragen; ihnen werden Rechte gewährt, aber auch Pflichten auferlegt. Zu diesen Pflichten gehört insbesondere die Verpflichtung, bestimmte Verfahren und Mechanismen einzuhalten, die die Kohärenz sicherstellen sollen. Ein von einer Behörde verfolgter Ansatz eines „Alleingangs“(56), was die (gerichtliche) Durchsetzung der DSGVO angeht, ohne mit den anderen Behörden zusammenzuarbeiten, ist weder mit dem Wortlaut noch mit dem Geist dieser Verordnung vereinbar.

113. Wie oben in den Nrn. 76 und 77 erwähnt, beruht die DSGVO auf einem filigranen Gleichgewicht zwischen der Notwendigkeit, ein hohes Schutzniveau für natürliche Personen zu gewährleisten, und der Notwendigkeit, Hemmnisse für den Verkehr personenbezogener Daten innerhalb der Union zu beseitigen. Diese beiden Ziele sind, wie insbesondere der zehnte Erwägungsgrund und Art. 1 Abs. 1 der DSGVO belegen, untrennbar miteinander verbunden. Die nationalen Aufsichtsbehörden müssen sie daher miteinander ins Gleichgewicht bringen, wie der Gerichtshof in ständiger Rechtsprechung seit seinen ersten Urteilen auf dem Gebiet des Datenschutzes betont hat(57). Art. 51 Abs. 1 der DSGVO spiegelt diesen Ansatz bei der Festlegung der Aufgabe der Aufsichtsbehörden wider(58).

114. Drittens sieht die DSGVO nicht nur Mechanismen zur Regelung unterschiedlicher Ansichten darüber vor, wie die Durchsetzung zu erfolgen hat, d. h. eine Schlichtung zwischen einander entgegenstehenden Ansichten und Meinungen unter den Aufsichtsbehörden. Sie beinhaltet ebenso Mechanismen zur Überwindung von Situationen behördlicher Untätigkeit. Dies sind insbesondere die Fälle, in denen eine federführende Aufsichtsbehörde – aus Mangel an Erfahrung und/oder Mitarbeitern oder aus gleich welchem anderen Grund – nicht in sinnvoller Weise tätig wird, um mögliche Verstöße gegen die DSGVO zu untersuchen und gegebenenfalls ihre Regelungen durchzusetzen.

115. Nach der DSGVO muss die federführende Aufsichtsbehörde in Fällen einer grenzüberschreitenden Verarbeitung grundsätzlich unverzüglich tätig werden. Insbesondere muss nach Art. 60 Abs. 3 der DSGVO eine federführende Aufsichtsbehörde „den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit [übermitteln, ihnen] unverzüglich einen Beschlussentwurf zur Stellungnahme vor[legen] und … deren Standpunkten gebührend Rechnung [tragen]“(59).

116. Sollte eine federführende Aufsichtsbehörde diese Verpflichtung nicht erfüllen oder allgemeiner dann, wenn sie tätig werden muss, untätig bleiben, stellt sich die Frage, ob Rechtsbehelfe für betroffene Aufsichtsbehörden, die eine Untersuchung vornehmen wollen, und möglicherweise Durchsetzungsmaßnahmen zur Verfügung stehen(60). Meines Erachtens können diese Behörden mindestens zwei verschiedene Wege beschreiten, wobei diese Wege sich gegenseitig nicht ausschließen.

117. Zum einen kann nach Art. 61 Abs. 1 und 2 der DSGVO eine Aufsichtsbehörde eine andere Aufsichtsbehörde um „Informationen und … Amtshilfe [ersuchen,] um [die DSGVO] durchzuführen und anzuwenden“(61). Dieses Ersuchen kann in Form eines Ersuchens um Informationen, u. a. „über die Durchführung einer Untersuchung“ oder sonstige Maßnahmen der Amtshilfe (wie die Vornahme von Nachprüfungen und Untersuchungen oder das Treffen von Vorkehrungen für eine wirksame Zusammenarbeit) erfolgen. Ein solches Ersuchen muss von der ersuchten Behörde „unverzüglich und spätestens innerhalb eines Monats nach Eingang des Ersuchens“ beantwortet werden.

118. Nach Art. 61 Abs. 5 und 8 der DSGVO kann die ersuchende Behörde, wenn innerhalb der gesetzten Frist keine Antwort gegeben oder das Ersuchen abgelehnt wird, „eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 55 Absatz 1 ergreifen“. In diesen Fällen „wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschuss gemäß Artikel 66 Absatz 2 erforderlich macht“(62).

119. Dieses Verfahren dürfte meines Erachtens auch von einer betroffenen Aufsichtsbehörde gegenüber einer federführenden Aufsichtsbehörde angewendet werden können (und ist wahrscheinlich auch hierzu bestimmt(63)). Wird die federführende Aufsichtsbehörde in einem konkreten Fall einer grenzüberschreitenden Verarbeitung trotz eines entsprechenden Ersuchens einer betroffenen Aufsichtsbehörde nicht tätig, kann die Letztere somit die für erforderlich erachteten Dringlichkeitsmaßnahmen zum Schutz der Interessen betroffener Personen zu ergreifen. Das Vorliegen außergewöhnlicher Umstände, die die dringende Notwendigkeit eines Tätigwerdens rechtfertigen, wird vermutet und braucht nicht nachgewiesen zu werden.

120. Zum anderen kann nach Art. 64 Abs. 2 der DSGVO jede Aufsichtsbehörde (oder der Vorsitz des Ausschusses oder die Kommission) „beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 … nicht nachkommt“(64).

121. Es ist nicht ganz eindeutig, ob der Beschluss des Ausschusses für die betroffene federführende Aufsichtsbehörde rechtsverbindlich wäre(65). Nach Art. 65 Abs. 1 Buchst. c der DSGVO kann jedoch dann, wenn eine zuständige Aufsichtsbehörde der Stellungnahme des Ausschusses gemäß Art. 64 nicht folgt, jede betroffene Aufsichtsbehörde (oder die Kommission) die Angelegenheit dem Ausschuss vorlegen und somit das hierfür vorgesehene Streitbeilegungsverfahren einleiten. Das genannte Verfahren würde schließlich zu einem verbindlichen Beschluss führen(66).

122. Anzuerkennen ist indes, dass die beiden oben näher erläuterten Verfahren (Art. 61 und 66 der DSGVO einerseits und Art. 64 und 65 der DSGVO andererseits) etwas schwerfällig sind. Wie sie tatsächlich funktionieren, ist nicht immer völlig klar. Auch wenn also die genannten Bestimmungen auf dem Papier geeignet erscheinen, diese Probleme zu vermeiden, wird erst die künftige Anwendung dieser Bestimmungen zeigen, ob sie sich in der Praxis als „Papiertiger“ erweisen.

123. Dies führt mich zurück zur zweiten Ebene des Vorbringens im Zusammenhang mit der mangelnden Durchsetzung und dazu, dass es, jedenfalls zum gegenwärtigen Zeitpunkt, eher hypothetisch und unsubstantiiert ist. Zugegebenermaßen wäre jedenfalls meines Erachtens dann, wenn die von der Datenschutzbehörde und einigen anderen Beteiligten angedeuteten Gefahren einer mangelnden Durchsetzung der DSGVO sich verwirklichen würden, das gesamte System reif für eine weitreichende Überarbeitung.

124. Systematisch betrachtet, könnte dies tatsächlich der Fall sein, wenn die neue Systematik für bestimmte Wirtschaftsteilnehmer zu regulatorischen „Nestern“ führen sollte und sie, nachdem sie durch die entsprechende Ansiedlung ihrer Hauptniederlassung in der Union ihre nationale Regulierungsbehörde letztlich selbst gewählt haben, nicht mehr kontrolliert, sondern vielmehr durch eine bestimmte federführende Aufsichtsbehörde von den sonstigen Regulierungsbehörden abgeschirmt würden. Es dürfte von kaum jemandem in Abrede gestellt werden, dass ein regulatorischer Wettbewerb in Form eines Absenkungswettlaufs zwischen den Mitgliedstaaten ebenso ungesund und gefährlich wäre wie regulatorische Inkohärenz – die Art von mangelnder Koordination und Kohärenz, die für die frühere Gestaltung charakteristisch war. Netzwerkartige Regulierungssysteme mögen Inkohärenz und Divergenz durch Förderung von Konsens und Zusammenarbeit vermeiden können. Der Preis für den Konsens scheint indessen zu sein, dass die aktiven Behörden behindert werden, insbesondere in einem System, in dem ein erhöhtes Maß an Abstimmung notwendig ist, um zu einer Entscheidung zu gelangen. Innerhalb solcher Systeme kann kollektive Verantwortung zu kollektiver Verantwortungslosigkeit und daraus folgender Untätigkeit führen.

125. Was diese Gefahren angeht, steckt der durch die DSGVO aufgestellte rechtliche Rahmen jedoch noch in den Kinderschuhen. Es ist, insbesondere für ein Gericht und im Kontext eines einzigen, oder vielmehr vereinzelten, Verfahrens, schwer vorherzusagen, wie die mit dieser Verordnung eingerichteten Mechanismen in der Praxis funktionieren werden und wie wirksam sie sein werden. In diesem Rahmen ist ähnlich wie bei den möglichen Fragestellungen unter der Überschrift des Schutzes der Grundrechte und der chartakonformen Auslegung(67) zur Vorsicht zu raten.

126. Meines Erachtens wäre es keine gute Idee, wenn der Gerichtshof diesen Rahmen, der das (filigrane und sorgfältig entwickelte) Ergebnis eines langen und intensiven Gesetzgebungsverfahrens darstellt, in erheblichem Maße ändern wollte, indem er einzelne Sätze aus ihrem Kontext herausgelöst und zum derzeitigen Stand aufgrund von Annahmen und Spekulationen auslegen würde. Dies gilt umso mehr, wenn die von einigen Beteiligten vertretene Auslegung schlichtweg darin besteht, einige wesentliche Teile aus der Verordnung herauszulesen und damit faktisch zum alten System der Richtlinie 95/46 zurückzukehren, die in ihrer institutionellen Dimension vom Unionsgesetzgeber ausdrücklich und eindeutig verworfen wurde.

127. Diese mehr als hinreichend eindeutige gesetzgeberische Gestaltung, die sich sowohl, wie den vorangegangenen Abschnitten dieser Schlussanträge zu entnehmen, aus dem Wortlaut und der Systematik der DSGVO als auch aus der gesetzgeberischen Absicht ergibt, trägt auch etwaigen weiteren systematischen Bedenken Rechnung, wie etwa solchen zum richtigen Gleichgewicht zwischen öffentlicher und privater Durchsetzung der Datenschutzvorschriften und der DSGVO. Ist es sinnvoll, die öffentliche Durchsetzung auf eine einzige Behörde und somit einen einzigen Mitgliedstaat zu begrenzen, wenn diese erst nach einem langen und aufwändigen Verwaltungsverfahren stattfindet, während die private Durchsetzung dieser Regelungen wahrscheinlich in der Praxis schneller und vor den (Zivil‑)Gerichten aller Mitgliedstaaten stattfinden wird? Sollten nationale Aufsichtsbehörden in geringerem Umfang Zugang zu den Gerichten haben als jeder einzelne private Verbraucher? Werden nicht die meisten Datenschutz-Rechtssachen letztlich vor die nationalen Gerichte (und möglicherweise im Wege einer Vorabentscheidung vor den Gerichtshof) gelangen, nachdem private Kläger unmittelbar Klage erhoben haben und die hierzu eingerichteten nationalen Regulierungsbehörden völlig umgangen wurden, weil sie sich immer noch im Verfahren der Zusammenarbeit und der Koordinierung ihrer Standpunkte befinden? Besteht innerhalb einer solchen Regelung nicht die Gefahr, dass die öffentliche Durchsetzung durch die private völlig überlagert wird?

128. Wie dem auch sei – der Unionsgesetzgeber hat eine eindeutige institutionelle und systematische Entscheidung getroffen, und es besteht meiner Meinung nach kein Zweifel daran, was er erreichen wollte. Unter diesen Umständen sollte man, bildlich gesprochen, jedenfalls im Moment das Kleinkind sich im Zweifel erst einmal in Ruhe entwickeln lassen. Wenn sich jedoch herausstellen sollte, dass die Entwicklung des Kindes schlecht verläuft und dies auch durch Tatsachen und belastbare Argumente belegt würde, dann würde der Gerichtshof meines Erachtens vor einer Lücke, die sich hierdurch im Schutz der durch die Charta garantierten Grundrechte und ihrer wirksamen Durchsetzung durch die zuständigen Regulierungsbehörden auftäte, nicht die Augen verschließen. Ob dies dann noch eine Frage der chartakonformen Auslegung sekundärrechtlicher Vorschriften oder eine Frage der Gültigkeit der einschlägigen Bestimmungen oder auch von Teilen eines sekundärrechtlichen Rechtsakts wäre, ist eine Frage, die einer anderen Rechtssache vorbehalten wäre.

5. Zwischenergebnis

129. Alle skizzierten Auslegungsgesichtspunkte sprechen somit für ein und dasselbe Ergebnis: Die federführende Aufsichtsbehörde hat eine allgemeine Zuständigkeit für eine grenzüberschreitende Verarbeitung. Alle Aufsichtsbehörden (unabhängig davon, ob ihnen die Rolle der federführenden oder der betroffenen Aufsichtsbehörde zufällt) haben insbesondere im Fall einer grenzüberschreitenden Verarbeitung im Rahmen der in der DSGVO vorgesehenen Verfahren und Mechanismen zu handeln.

130. Folgt daraus indessen, dass einer Aufsichtsbehörde, die nicht die federführende Aufsichtsbehörde ist, stets grundsätzlich verwehrt ist, gegen einen Verantwortlichen oder Auftragsarbeiter vor den inländischen Gerichten vorzugehen, wenn es sich um eine grenzüberschreitende Verarbeitung handelt?

131. Nein, dieser Schluss ist nicht zu ziehen.

132. Zum einen können die Aufsichtsbehörden selbstverständlich ein nationales Gericht anrufen, wenn sie außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig werden, sofern dies nach nationalem Recht zulässig ist und das Unionsrecht nicht entgegensteht, beispielsweise weil die Verarbeitung sich nicht auf personenbezogene Daten bezieht oder weil die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten nach Art. 2 Abs. 2 der DSGVO erfolgt(68).

133. Zum anderen liegt trotz des grenzüberschreitenden Charakters der Verarbeitung in den in Art. 55 Abs. 2 der DSGVO vorgesehenen Fällen (Verarbeitung durch Behörden, aber auch jede im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgende Verarbeitung) die Regulierungszuständigkeit bei der örtlichen Aufsichtsbehörde, die selbstverständlich erforderlichenfalls auch die Befugnis zur Erhebung einer gerichtlichen Klage einschließt.

134. Drittens gibt es Fälle, in denen trotz des Vorliegens einer grenzüberschreitenden Verarbeitung personenbezogener Daten, auf die die DSGVO Anwendung findet, keine Aufsichtsbehörde als federführende Aufsichtsbehörde tätig werden soll. Da das in der DSGVO vorgesehene Verfahren der Zusammenarbeit und Kohärenz nur für Verantwortliche mit einer oder mehreren Niederlassungen in der Union gilt, gibt es für eine grenzüberschreitende Verarbeitung durch Verantwortliche ohne Niederlassung in der Union keine federführende Aufsichtsbehörde. Dies bedeutet, dass Verantwortliche ohne Niederlassung in der Union sich mit den örtlichen Aufsichtsbehörden jedes Mitgliedstaats auseinandersetzen müssen, in dem sie tätig sind(69).

135. Viertens kann jede Aufsichtsbehörde Dringlichkeitsmaßnahmen ergreifen, wenn die entsprechenden Voraussetzungen erfüllt sind. Außerdem gibt es Fälle, in denen die Dringlichkeit der Maßnahmen vermutet wird. Dies kann beispielsweise dann der Fall sein, wenn eine betroffene Aufsichtsbehörde etwa mit einer fortdauernden Untätigkeit der zuständigen federführenden Aufsichtsbehörde konfrontiert ist. Da Art. 66 Abs. 1 der DSGVO eine pauschale Aufhebung des Kohärenzverfahrens vorsieht, kann angenommen werden, dass in diesem Ausnahmefall die gesamte Bandbreite der einer Aufsichtsbehörde zuerkannten Befugnisse (von denen im Regelfall kein Gebrauch gemacht wird, weil sie durch die Sonderregelungen über die Zuständigkeit einer federführenden Aufsichtsbehörde für eine grenzüberschreitende Verarbeitung verdrängt sind) wieder aufleben und vorübergehend wahrgenommen werden können. Dies schließt daher selbstverständlich auch die Befugnis nach Art. 58 Abs. 5 der DSGVO ein, ein gerichtliches Verfahren einzuleiten.

136. Fünftens und abschließend sei, nur der Vollständigkeit halber, auf die ebenfalls bestehende Möglichkeit hingewiesen, dass auch eine Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, die Befugnis erlangen (oder vielmehr weiterhin behalten) kann, in einer Rechtssache ein Gericht anzurufen, in der die federführende Aufsichtsbehörde nach Art. 56 Abs. 5 der DSGVO entscheidet, „sich mit dem Fall nicht selbst zu befassen“. Auf den ersten Blick könnte nach der letztgenannten Bestimmung durchaus tatsächlich eine Vereinbarung zwischen beiden Aufsichtsbehörden darüber zulässig sein, welche von ihnen besser in der Lage ist, sich mit einer Rechtssache zu befassen.

137. Zusammenfassend ergibt sich aus den Bestimmungen der DSGVO kein allgemeines Hindernis, das es anderen Aufsichtsbehörden, insbesondere betroffenen Aufsichtsbehörden, verwehren würde, Klage gegen mögliche Verstöße gegen Datenschutzvorschriften zu erheben. Im Gegenteil sind verschiedene Fälle, in denen sie hierzu ermächtigt sind, in der DSGVO ausdrücklich vorgesehen oder ihr implizit zu entnehmen(70).

138. Allgemein ist es jedoch von größter Bedeutung, dass, soweit die in der DSGVO (insbesondere in ihren Kapiteln VI und VII) vorgesehenen Verfahren und Mechanismen Anwendung finden, sowohl die federführende als auch die betroffenen Aufsichtsbehörden diese ordnungsgemäß einhalten. Die Regelungen der DSGVO sind sehr eindeutig in Bezug darauf, dass keine dieser Behörden außerhalb dieses rechtlichen Rahmens handeln oder ihn außer Acht lassen darf.

139. Ob die Datenschutzbehörde diese Verfahren und Mechanismen in der vorliegenden Rechtssache eingehalten hat – eine Frage, die in der mündlichen Verhandlung durchaus erörtert wurde, jedoch angesichts des der vorliegenden Rechtssache eigenen prozessualen Hintergrunds eher unscharf bleibt(71) – ist indes vom vorlegenden Gericht zu prüfen.

140. Dementsprechend ist die erste Frage dahin zu beantworten, dass die Aufsichtsbehörde eines Mitgliedstaats nach den Bestimmungen der DSGVO befugt ist, vor einem Gericht ihres Staates Klage wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung zu erheben, auch wenn sie nicht die federführende Aufsichtsbehörde ist, sofern dies im Rahmen der in der DSGVO vorgesehenen Fälle und Verfahren geschieht.

C. Weitere Vorlagefragen

1. Zweite Frage

141. Mit seiner zweiten Frage möchte das vorlegende Gericht wissen, ob die Antwort auf die erste Frage anders ausfällt, wenn der für diese grenzüberschreitende Verarbeitung Verantwortliche seine Hauptniederlassung nicht in diesem Mitgliedstaat hat, wohl aber eine andere Niederlassung.

142. Im Licht der auf die erste Frage vorgeschlagenen Antwort ist die Antwort auf die zweite Frage recht eindeutig: grundsätzlich nein, sofern die „Hauptniederlassung“ im Sinne von Art. 4 Nr. 16 der DSGVO sich tatsächlich in einem anderen Mitgliedstaat befindet.

143. Dass ein Verantwortlicher eine Zweit-Niederlassung in einem Mitgliedstaat hat, lässt die Befugnis der örtlichen Aufsichtsbehörde zur Einleitung eines gerichtlichen Verfahrens nach Art. 58 Abs. 5 der DSGVO für eine bestimmte grenzüberschreitende Verarbeitung grundsätzlich unberührt. Mit anderen Worten hängt bei einer grenzüberschreitenden Datenverarbeitung der Umfang der einer Aufsichtsbehörde zustehenden Befugnisse und die Frage, wie diese Befugnisse auszuüben sind, nicht allgemein davon ab, ob der Verantwortliche oder Auftragsverarbeiter, der seine Hauptniederlassung in einem anderen Mitgliedstaat hat, auch eine Niederlassung im Mitgliedstaat dieser Behörde hat.

144. Ähnlich wie oben bereits ausgeführt(72), setzt dies jedoch voraus, dass ein nationales Gericht zunächst feststellen muss, welche Niederlassung tatsächlich die Hauptniederlassung für einen bestimmten Verarbeitungsvorgang ist. Insoweit folgt Art. 4 Nr. 16 Buchst. a der DSGVO einem dynamischen Verständnis(73) dessen, was als Hauptniederlassung anzusehen ist, das nicht notwendigerweise mit der statischen Betriebsstruktur eines Unternehmens übereinstimmen muss.

145. Ferner führt der Umstand, dass der Verantwortliche oder Auftragsverarbeiter eine (Zweit‑)Niederlassung im Hoheitsgebiet der Aufsichtsbehörde hat, dazu, dass diese Behörde eine betroffene Aufsichtsbehörde im Sinne von Art. 4 Nr. 22 der DSGVO ist. Betroffenen Aufsichtsbehörden sind im Kontext der in Kapitel VII der DSGVO geregelten Verfahren erhebliche Befugnisse zugewiesen(74).

146. Außerdem sieht Art. 56 Abs. 2 der DSGVO eine Ausnahme von der allgemeinen Zuständigkeit der federführenden Aufsichtsbehörde für die grenzüberschreitende Verarbeitung vor: „[J]ede Aufsichtsbehörde [ist] dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen [die DSGVO] zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt“. Diese Zuständigkeit wiederum ist im Einklang mit dem Verfahren nach Abs. 3 bis 5 derselben Bestimmung auszuüben(75).

2. Dritte Frage

147. Mit seiner dritten Frage möchte das vorlegende Gericht wissen, ob die Antwort auf die erste Frage anders ausfällt, wenn die nationale Aufsichtsbehörde die Klage gegen die Hauptniederlassung des Verantwortlichen oder gegen die Niederlassung in ihrem eigenen Mitgliedstaat erhebt.

148. Im Licht der auf die erste Frage vorgeschlagenen Antwort und soweit die dritte Frage sich nicht tatsächlich mit der zweiten Frage überschneidet, ist die dritte Frage ebenfalls zu verneinen.

149. Sofern wiederum für den Sachverhalt einer Rechtssache tatsächlich geklärt ist, dass die Hauptniederlassung für einen bestimmten Datenverarbeitungsvorgang nach Art. 4 Nr. 16 der DSGVO sich in der Tat in einem anderen Mitgliedstaat befindet, ist die nationale Aufsichtsbehörde des Mitgliedstaats, in dem sich eine Niederlassung des Verantwortlichen befindet, nicht die federführende Aufsichtsbehörde, sondern kann eine betroffene Aufsichtsbehörde werden. Bei dieser Beurteilung hängt die Befugnis einer Aufsichtsbehörde zum Tätigwerden jedoch nicht davon ab, ob die Klage gegen die Hauptniederlassung des Verantwortlichen oder gegen die Niederlassung in ihrem eigenen Mitgliedstaat erhoben wird(76).

150. Der Vollständigkeit halber sei ergänzt, dass Art. 58 Abs. 5 der DSGVO weit formuliert ist und nicht angibt, gegen welche Stellen die Aufsichtsbehörden vorgehen sollten oder könnten. Dies führte zu einer interessanten Erörterung in den Stellungnahmen einiger Beteiligter über eine Frage, die nicht unwichtig ist, auf die der Gerichtshof meines Erachtens jedoch in der vorliegenden Rechtssache nicht einzugehen braucht. Diese Frage ist die folgende: Können Aufsichtsbehörden, sofern sie hierfür nach den Regelungen der DSGVO tatsächlich zuständig sind, nur gegen die Niederlassung(en) des Verantwortlichen oder Auftragsverarbeiters, die sich in ihrem eigenen Hoheitsgebiet befinden, vorgehen, oder auch gegen Niederlassungen, die sich im Ausland befinden?

151. Einerseits betonen die belgische, italienische und polnische Regierung, dass Art. 55 Abs. 1 der DSGVO die örtliche Zuständigkeit jeder Aufsichtsbehörde auf ihr Hoheitsgebiet begrenze. Hieraus leiten sie ab, dass Aufsichtsbehörden nur gegen dort ansässige Niederlassungen vorgehen könnten.

152. Der Wortlaut ist meines Erachtens jedoch nicht so eindeutig: Es ist dort von der Ausübung der mit der Verordnung übertragenen Befugnisse „im Hoheitsgebiet ihres eigenen Mitgliedstaats“ die Rede. Ich verstehe diese Bestimmung nicht dahin, dass sie ein Vorgehen gegen eine Niederlassung, die sich in einem anderen Mitgliedstaat befindet, zwangsläufig ausschließt. Das in Art. 55 Abs. 1 der DSGVO enthaltene Element der Territorialität, im Licht des allgemeinen Anwendungsbereichs der DSGVO gemäß ihren Art. 1 Abs. 1 und Art. 3 verstanden, das die Zuständigkeit einer Aufsichtsbehörde in einem bestimmten Fall begründet, bezieht sich auf die Auswirkungen der Datenverarbeitung auf das Hoheitsgebiet eines Mitgliedstaats. Dieses Element hat für das Vorgehen gegen Verantwortliche oder Auftragsverarbeiter, die sich außerhalb der Landesgrenzen befinden, keine beschränkende Wirkung.

153. Andererseits ist die Datenschutzbehörde der Ansicht, dass jede Behörde befugt sei, gegen alle Verstöße gegen die DSGVO, die sich in ihrem Hoheitsgebiet ereigneten, unabhängig davon vorzugehen, ob der Verantwortliche oder Auftragsverarbeiter eine Niederlassung in ihrem Hoheitsgebiet habe. Demnach könne eine Behörde auch gegen Niederlassungen im Ausland Verfahren einleiten. Die Datenschutzbehörde verweist in diesem Zusammenhang auf das Urteil des Gerichtshofs Wirtschaftsakademie Schleswig-Holstein(77). In jener Entscheidung habe der Gerichtshof festgestellt, dass die Art. 4 und 28 der Richtlinie 95/46 der Aufsichtsbehörde eines Mitgliedstaats gestatteten, die Befugnis zur Einleitung eines gerichtlichen Verfahrens gegenüber einer Niederlassung dieses Unternehmens auszuüben, die sich im Hoheitsgebiet dieses Mitgliedstaats befinde. Hiervon sei selbst für den Fall ausgegangen worden, dass diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig gewesen sei, während die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung oblegen habe.

154. Der Datenschutzbehörde ist darin zuzustimmen, dass insoweit, als die DSGVO in dieser Hinsicht Bestimmungen enthält, die denjenigen der Richtlinie 95/46 ähnlich sind(78), die vom Gerichtshof im Urteil Wirtschaftsakademie Schleswig-Holstein aufgestellten Grundsätze in entsprechender Weise auch für die DSGVO gelten. Dieses Urteil erläuterte jedoch lediglich, wann eine Behörde gegen eine örtliche Niederlassung gerichtlich vorgehen kann, obwohl der (Hauptteil der) Verarbeitung von einer Niederlassung durchgeführt wird, die sich andernorts in der Union befindet. Mit diesem Urteil wurde, zumindest ausdrücklich, weder bestätigt noch ausgeschlossen, dass die Aufsichtsbehörde auch gegen die letztere Niederlassung vorgehen könne.

155. Der neue „One-Stop-Shop“-Mechanismus dürfte mit der Schaffung einer zentralen Durchsetzungsstelle meines Erachtens jedoch zwangsläufig dazu führen, dass eine Aufsichtsbehörde auch gegen Niederlassungen im Ausland vorgehen kann. Meiner Meinung nach ist es zweifelhaft, ob das neue System ordnungsgemäß funktionieren könnte, wenn es die Möglichkeit ausschlösse, dass die Behörden, insbesondere die federführende Aufsichtsbehörde, gegen sich andernorts befindende Niederlassungen vorgehen könnten(79).

3. Vierte Frage

156. Mit seiner vierten Frage möchte das vorlegende Gericht wissen, ob die Antwort auf die erste Frage anders ausfällt, wenn die nationale Aufsichtsbehörde die Klage bereits vor dem Zeitpunkt des Inkrafttretens der DSGVO erhoben hatte.

157. Zunächst ist darauf hinzuweisen, dass es in der DSGVO weder Übergangsregelungen noch sonstige Regelungen gibt, nach denen sich die Rechtslage gerichtlicher Verfahren beurteilt, die zum Zeitpunkt des Inkrafttretens des neuen Rahmens anhängig waren.

158. Vor diesem Hintergrund sollte die Antwort auf die Frage meiner Ansicht nach lauten: „Es kommt darauf an.“

159. Zum einen können, was Verstöße durch Verantwortliche oder Auftragsverarbeiter gegen Datenschutzvorschriften angeht, die sich ereignet haben, bevor die DSGVO anwendbar wurde, diese Verfahren meines Erachtens fortgesetzt werden. Mir ist kein vernünftiger Grund dafür ersichtlich, die Behörden dazu zu zwingen, Durchsetzungsmaßnahmen zu beenden, die sich auf Verhaltensweisen in der Vergangenheit beziehen, die zum Zeitpunkt ihrer Begehung (angeblich) rechtswidrig waren und gegen die sie (zu diesem Zeitpunkt) vorzugehen befugt waren. Eine andere Lösung würde zu einer Art Amnestie für bestimmte Verstöße gegen Datenschutzvorschriften führen.

160. Zum anderen stellt sich die Situation anders dar, soweit es um Maßnahmen geht, die gegen Verstöße eingeleitet wurden, die sich noch nicht verwirklicht haben, da sie sich ereignen, nachdem die DSGVO anwendbar wurde(80). Insoweit gelten wie in anderen Fällen, in denen neue Vorschriften auf Sachlagen Anwendung finden, die unter der Geltung der neuen Regelung entstanden sind, die neuen materiell-rechtlichen Regelungen nur für solche Sachverhalte, die sich ereignen, nachdem der neue Rechtsakt anwendbar geworden ist(81).

161. Es ist Sache des vorlegenden Gerichts, festzustellen, welche der beiden Fallgestaltungen dem gegenwärtigen Stand des Ausgangsverfahrens tatsächlich entspricht(82). Wäre die erste einschlägig, könnte meines Erachtens das laufende Verfahren abgeschlossen werden, jedenfalls vom Blickwinkel des Unionsrechts aus betrachtet, sofern das Verfahren sich darauf beschränkt, etwaige Verstöße in der Vergangenheit festzustellen. Wäre die zweite einschlägig, sollte das nationale Verfahren eingestellt werden. Der neue Rahmen schafft nämlich ein anderes Zuständigkeits- und Befugnissystem mit der Folge, dass eine betroffene Aufsichtsbehörde gegen Verstöße, die sich aus einer grenzüberschreitenden Verarbeitung ergeben, nur in bestimmten Fällen und nur gemäß der hierfür vorgesehenen Verfahren und Mechanismen vorgehen kann.

162. Die gegenteilige Lösung würde de facto auf eine Verlängerung der mit der Richtlinie 95/46 eingeführten Regelung hinauslaufen, obwohl sie sowohl im Unionsrecht als auch im nationalen Recht ausdrücklich aufgehoben und durch eine neue Regelung ersetzt wurde. Würde, sollte die Datenschutzbehörde tatsächlich eine einstweilige Anordnung erwirken, wonach Facebook die im Ausgangsverfahren in Rede stehenden Praktiken künftig (übrigens für wie lange?) zu unterlassen hätte, damit nicht in die Zuständigkeit eingegriffen, die die DSGVO ab dem 25. Mai 2018 für (genau diese) Verhaltensweisen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden zuweist, zumal daneben möglicherweise noch einander widersprechende Entscheidungen (oder gerichtliche Anordnungen) aus verschiedenen Mitgliedstaaten ergehen könnten?

4. Fünfte Frage

163. Mit seiner fünften Frage, die für den Fall gestellt wird, dass die erste Frage bejaht wird, möchte das vorlegende Gericht geklärt wissen, ob Art. 58 Abs. 5 der DSGVO unmittelbare Wirkung hat, so dass sich eine nationale Aufsichtsbehörde auf diese Vorschrift berufen kann, um ein gerichtliches Verfahren gegen privatrechtlich organisierte Parteien einzuleiten oder fortzusetzen, selbst wenn diese Vorschrift nicht in nationales Recht umgesetzt worden ist.

164. Art. 58 Abs. 5 lautet, wie bereits erwähnt: „Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.“

165. Facebook sowie die tschechische und die portugiesische Regierung tragen vor, diese Bestimmung verpflichte die Mitgliedstaaten eindeutig zum Tätigwerden, nämlich dazu, Vorschriften zu erlassen, die den Behörden die Einleitung eines Verfahrens erlaubten. Zu ihrer vollen Wirksamkeit bedürfe die Befugnis zur Einleitung eines Verfahrens noch bestimmter nationaler Regelungen, die u. a. die zuständigen Gerichte, die Voraussetzungen für die Erhebung einer Klage und das einzuhaltende Verfahren festlegten.

166. In Anbetracht der von mir vorgeschlagenen Antwort auf die erste Frage bedarf die fünfte Frage keiner Beantwortung. Der Vollständigkeit halber habe ich jedoch kein Problem damit, der Datenschutzbehörde darin zuzustimmen, dass der verbindliche Inhalt dieser konkreten Bestimmung des Unionsrechts recht eindeutig ist und für sich selbst sprechen kann. Insoweit ist zu bedenken, dass allgemein eine Bestimmung des Unionsrechts immer dann unmittelbare Wirkung hat, wenn sie inhaltlich so hinreichend bestimmt, genau und unbedingt ist, dass man sich auf sie gegen eine im Widerspruch zu ihr stehende nationale Maßnahme berufen kann, oder soweit sie Rechte festlegt, die dem Staat gegenüber von Einzelnen geltend gemacht werden können(83).

167. Ganz unabhängig davon, dass die Bestimmung in einer Verordnung enthalten ist (einer Rechtsnorm, die nach Art. 288 AEUV „in allen ihren Teilen verbindlich [ist] und unmittelbar in jedem Mitgliedstaat [gilt]“(84)), kann meines Erachtens Art. 58 Abs. 5 der DSGVO tatsächlich eine konkrete und unmittelbar geltende Regel entnommen werden. Diese Regel ist sehr einfach: Aufsichtsbehörden müssen vor nationalen Gerichten klagebefugt sein; ihnen wird die Befugnis zuerkannt, gerichtliche Verfahren nach dem nationalen Recht einzuleiten. Die bei einem nationalen Gericht erhobene Klage kann nicht wegen fehlender Rechtspersönlichkeit für unzulässig erklärt werden.

168. Auch wenn Facebook sowie der tschechischen und der portugiesischen Regierung darin zuzustimmen ist, dass die Mitgliedstaaten weitere besondere Regelungen, Voraussetzungen oder Zuständigkeiten für Klagen von Aufsichtsbehörden vorsehen können, sind solche Regelungen für die Anwendung der unmittelbar wirkenden Regelung nach Art. 58 Abs. 5 der DSGVO keineswegs erforderlich. Da der nationale Gesetzgeber keine besondere Regelung getroffen hat, finden die allgemeinen Regelungen der einschlägigen nationalen Prozessordnungen (seien es Verwaltungsgerichtsordnungen oder, wiederum mangels entsprechender besonderer Regelung, gar die Zivilprozessordnungen) selbstverständlich auch auf von Aufsichtsbehörden eingeleitete Klageverfahren Anwendung. Es kann also beispielsweise, wenn es keine besonderen Durchführungsvorschriften für die Zuständigkeit gibt, sicherlich davon ausgegangen werden, dass die allgemeine Regelung, die sich wahrscheinlich aus einer (Zivil‑)Prozessordnung ergeben wird, Anwendung fände und dass nach dieser, sofern nicht anders geregelt, das Gericht mit allgemeiner Zuständigkeit das Gericht am Ort der Niederlassung des Beklagten ist.

5. Sechste Frage

169. Mit seiner sechsten und letzten Frage möchte das vorlegende Gericht wissen, ob, falls die nationale Aufsichtsbehörde zu einem entsprechenden Handeln befugt ist, das Ergebnis solcher Verfahren einer gegenteiligen Feststellung der federführenden Aufsichtsbehörde entgegenstehen kann, wenn diese federführende Aufsichtsbehörde dieselben oder ähnliche grenzüberschreitende Verarbeitungsvorgänge nach dem in den Art. 56 und 60 der DSGVO vorgesehenen Mechanismus untersucht.

170. Im Licht der für die erste Frage vorgeschlagenen Antwort bedarf diese Frage keiner Beantwortung.

171. Die mit dieser Frage aufgeworfene Problematik zeigt jedoch einmal mehr, warum die erste Frage wie vorgeschlagen beantwortet werden sollte. Würde der verpflichtende Charakter der in der DSGVO vorgesehenen Verfahren der Kohärenz und Zusammenarbeit ausgeklammert, so dass der „One-Stop-Shop“-Mechanismus „fakultativ“ oder in Wirklichkeit vielmehr verdrängt würde, wäre die Kohärenz des Systems in seiner Gesamtheit ernsthaft beeinträchtigt. An die Stelle der jetzt in der DSGVO enthaltenen Zuständigkeitsregeln würde im Wesentlichen ein parallel verlaufendes „Wettrennen“ aller Aufsichtsbehörden um das erste Urteil treten. Wer am Ende zuerst die „Ziellinie“ eines endgültigen Urteils in seiner Rechtsordnung „überquert“, würde dann zur wirklichen federführenden Aufsichtsbehörde für den Rest der Europäischen Union, wie die sechste Frage es nahelegt.

V. Ergebnis

172. Ich schlage dem Gerichtshof vor, die vom Hof van beroep te Brussel (Appellationshof Brüssel, Belgien) zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:

– Nach den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist die Aufsichtsbehörde eines Mitgliedstaats befugt, vor einem Gericht ihres Staates Klage wegen eines angeblichen Verstoßes gegen diese Verordnung im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung zu erheben, auch wenn sie nicht die federführende Aufsichtsbehörde ist, sofern dies im Rahmen der in der genannten Verordnung vorgesehenen Fälle und Verfahren geschieht.

– Nach der Datenschutz-Grundverordnung ist es einer Aufsichtsbehörde verwehrt, ein gerichtliches Verfahren fortzusetzen, das eingeleitet wurde, bevor die genannte Verordnung anwendbar wurde, aber Verhaltensweisen betrifft, die sich nach diesem Zeitpunkt ereignen.

– Art. 58 Abs. 5 der Datenschutz-Grundverordnung hat insoweit unmittelbare Wirkung, als eine nationale Aufsichtsbehörde sich auf diese Vorschrift berufen kann, um ein gerichtliches Verfahren vor den nationalen Gerichten einzuleiten oder fortzusetzen, selbst wenn diese Vorschrift nicht in nationales Recht umgesetzt worden ist.

1 Originalsprache: Englisch.

i Die vorliegende Sprachfassung ist auf S. 1 und in den Nrn. 19, 22 bis 25 und 172 gegenüber der ursprünglich online gestellten Fassung geändert worden.

2 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).

3 ABl. 1995, L 281, S. 31.

4 Aus den oben genannten Gründen, siehe Nr. 23 der vorliegenden Schlussanträge.

5 Insoweit ist nach ständiger Rechtsprechung des Gerichtshofs der Begriff „Verantwortlicher“ nach der Richtlinie 95/46 weit zu verstehen – vgl. z. B. die jüngsten Urteile vom 29. Juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, Rn. 65, 66 und 70), und vom 10. Juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, Rn. 66). Meines Erachtens ist nicht ersichtlich, warum dies nicht auch für die DSGVO gelten sollte.

6 Vgl. z. B. Urteile vom 25. Juli 2018, Confédération paysanne u. a. (C‑528/16, EU:C:2018:583, Rn. 72 und 73 und die dort angeführte Rechtsprechung), oder vom 1. Oktober 2019, Blaise u. a. (C‑616/17, EU:C:2019:800, Rn. 35).

7 In meinen Schlussanträgen in der Rechtssache Fashion ID habe ich z. B. erläutert, warum sowohl die Regelungen der damals geltenden Richtlinie 95/46 als auch diejenigen der sognannten e-Datenschutzrichtlinie (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 [Datenschutzrichtlinie für elektronische Kommunikation] [ABl. 2002, L 201, S. 37]) in einer Rechtssache, die die Platzierung von Cookies betraf, möglicherweise anwendbar sein konnten (C‑40/17, EU:C:2018:1039, Nrn. 111 bis 115). Vgl. hierzu allgemeiner die Stellungnahme 5/2019 des Europäischen Datenschutzausschusses zum Zusammenspiel zwischen der e-Datenschutzrichtlinie und der DSGVO, insbesondere in Bezug auf die Zuständigkeiten, Aufgaben und Befugnisse von Datenschutzbehörden, angenommen am 12. März 2019. Vgl. auch Art. 29 der Arbeitsunterlage 02/2013 der Datenschutzgruppe mit Leitlinien für die Einholung der Einwilligung zur Verwendung von Cookies (1676/13/DE WP 208) vom 2. Oktober 2013.

8 Hervorhebung nur hier.

9 Hervorhebung nur hier.

10 Hervorhebung nur hier.

11 Vgl. im Schrifttum Bensoussan, A. (Hrsg.), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, 2. Aufl., Bruylant, Brüssel, 2017, S. 363.

12 Ähnlich Hijmans, H., „Comment to Article 56 of the GDPR“, in Kuner, C., Bygrave, L., Docksey, C. (Hrsg.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, S. 921.

13 In Anlehnung an das allgemeine Verwaltungsrecht (oder Prozessordnungen) kann eine Einrichtung zwar eine (allgemeine) Befugnis zum Tätigwerden in bestimmten Formen haben, was aber nicht zwangsläufig die (sachliche, zeitliche, örtliche, …) Zuständigkeit einschließt, von dieser Befugnis Gebrauch zu machen und über einen konkreten Fall zu entscheiden. So bedeutet etwa der Umstand, dass ein Strafgericht die Befugnis zum Erlass von Strafurteilen hat, noch nicht notwendigerweise, dass es auch im Fall einer von einer bestimmten Person begangenen bestimmten Straftat zuständig ist (sondern hierfür könnte auch ein anderes Gericht zuständig sein).

14 Stellungnahme 8/2019 des Europäischen Datenschutzausschusses zur Zuständigkeit einer Aufsichtsbehörde im Falle einer Veränderung von Umständen, die die Hauptniederlassung oder die einzige Niederlassung betrifft, vom 9. Juli 2019, Nrn. 19 und 20.

15 Diese Bestimmung lautete, soweit hier relevant: „Jede Kontrollstelle verfügt insbesondere über … das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.“

16 Vgl. Europäische Kommission, Erster Bericht über die Durchführung der Datenschutzrichtlinie (95/46/EG) vom 15. Mai 2003, KOM(2003) 265 endg., S. 12 und 13, sowie dessen Anhang „Analysis and impact study on the implementation of Directive EC 95/46 in Member States [(Analyse und Folgenabschätzung betreffend die Umsetzung der Richtlinie 95/46 in den Mitgliedstaaten)]“, S. 40. Vgl. auch Agentur der Europäischen Union für Grundrechte, Access to data protection remedies in EU Member States – Report, 2012 (Zugang zu Datenschutz-Rechtsbehelfen in EU-Mitgliedstaaten – Bericht, 2012), insbesondere S. 20 bis 22.

17 Siehe oben, Nrn. 51, 57 und 58 der vorliegenden Schlussanträge.

18 Urteile vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650, Rn. 63), und vom 16. Juli 2020, Facebook Ireland und Schrems (C‑311/18, EU:C:2020:559, Rn. 109).

19 In einigen Fällen ist eine betroffene Aufsichtsbehörde berechtigt (und sollte somit auch in der Lage sein), der federführenden Aufsichtsbehörde einen Beschlussentwurf vorzulegen, vgl. Art. 56 Abs. 2 bis 4 der DSGVO.

20 Vgl. in diesem Sinne den 125. Erwägungsgrund der DSGVO.

21 Urteil vom 16. Juli 2020 (C‑311/18, EU:C:2020:559, Rn. 120) (Hervorhebung nur hier). Ebenso klar der Ansicht, dass es Sache der zuständigen Aufsichtsbehörde sei, auf eine Verletzung der DSGVO zu reagieren und die angemessenen Mittel hierzu zu wählen, auch die Schlussanträge des Generalanwalts Saugmandsgaard Øe in der Rechtssache Facebook Ireland und Schrems (C‑311/18, EU:C:2019:1145, Nrn. 147 und 148). Vgl. hierzu das Urteil vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650, Rn. 65), in dem der Gerichtshof feststellte, dass nach der Richtlinie 95/46 (jede) nationale Aufsichtsbehörde ein Klagerecht haben muss.

22 So das berühmte Motto in dem Film „The Good, the Bad and the Ugly“ („Zwei glorreiche Halunken“) von 1966, Regie: Sergio Leone; mit Clint Eastwood, Lee Van Cleef und Eli Wallach, produziert von Produzioni Europee Associate und United Artists.

23 Art. 68 der DSGVO.

24 Vgl. insbesondere Art. 70 Abs. 1 Buchst. a der DSGVO.

25 Vgl. die Begründung des Kommissionsvorschlags für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM(2012) 11 endgültig. Vgl. in diesem Sinne auch Erwägungsgründe 10, 13 und 123 der DSGVO.

26 Vgl. allgemein hierzu Giurgiu, A., und Larsen, T., „Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More ‚European‘ DPAs as Guardians of Consistency?“, European Data Protection Law Review, 2016, S. 342 bis 352, auf S. 349, und Voigt, P., von dem Bussche, A., The EU General Data Protection Regulation (GDPR) – A Practical Guide, Springer, 2017, S. 190 bis 192.

27 Urteil vom 1. Oktober 2015 (C‑230/14, EU:C:2015:639, Rn. 42 bis 60).

28 Urteil vom 5. Juni 2018 (C‑210/16, EU:C:2018:388, Rn. 65 bis 74).

29 Vgl. z. B. Miglio, A., „The Competence of Supervisory Authorities and the One-stop-shop Mechanism“ in EU Law Live – Weekend edition, Nr. 28, 2020, S. 10 bis 14, auf S. 11.

30 Vgl. die Schlussanträge des Generalanwalts Bot in der Rechtssache Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, Nr. 103).

31 Urteil vom 24. September 2019 (C‑507/17, EU:C:2019:772, Rn. 68).

32 C‑311/18, EU:C:2019:1145, Nr. 155.

33 Vgl. Erwägungsgründe 97 und 98 des Vorschlags der Kommission (siehe oben, Fn. 25).

34 Vgl. Ratsdokumente 15656/1/14 REV 1 vom 28. November 2014 und 16526/14 vom 4. und 5. Dezember 2014, S. 2, 8 und 9.

35 Ebd., S. 1.

36 Vgl. Ratsdokument 5419/1/16 REV 1 vom 8. April 2016, S. 203 bis 205.

37 Siehe oben, Nr. 45 der vorliegenden Schlussanträge.

38 Ratsdokument 15656/1/14 REV 1 vom 28. November 2014, S. 2.

39 Vgl. Dokument A7-0402/2013 vom 22. November 2013, in dem der „One-Stop-Shop“-Mechanismus als „ein bedeutender Schritt hin zu einer einheitlichen Anwendung der Datenschutzvorschriften in der gesamten EU“ bezeichnet wird.

40 Dokument EP-PE_TC1-COD(2012)0011 vom 12. März 2014 (vgl. insbesondere Änderungen 148, 149, 158, 159 und 167).

41 Ebenso würde ich ohne Weiteres davon ausgehen, dass es sich bei diesen geltend gemachten Bestimmungen und Rechten aus der Charta um solche der betroffenen Personen handelt, die eine Aufsichtsbehörde zu schützen hat, und dass eine Aufsichtsbehörde selbst nicht Träger dieser Rechte ist. Der Gedanke, dass Verwaltungsbehörden, d. h. dem Staat zuzurechnende Einrichtungen, Grund- (bzw. Menschen‑)Rechte verliehen seien, auf die sie sich dem Staat gegenüber (bzw. vielmehr gegeneinander oder, bei unmittelbarer horizontaler Wirkung, selbst gegenüber natürlichen Personen) berufen könnten, ist nämlich eher fernliegend. Meines Erachtens wäre dies eindeutig zu verneinen, es ist jedoch einzuräumen, dass es in den Mitgliedstaaten unterschiedliche Ansätze gibt. Ungeachtet dessen bedarf diese Frage im Rahmen der vorliegenden Rechtssache sicherlich keiner weiteren Vertiefung.

42 Vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650, Rn. 39).

43 Vgl. Erwägungsgründe 7, 9 und 10 der DSGVO (Hervorhebung nur hier).

44 Vgl. in diesem Sinne Erwägungsgründe 10, 11 und 13 der DSGVO.

45 Hervorhebung nur hier.

46 Vgl. in diesem Sinne Urteil vom 27. September 2017, Puškár (C‑73/16, EU:C:2017:725, Rn. 54 bis 76 und die dort angeführte Rechtsprechung).

47 Vgl. Art. 79 und auch den 145. Erwägungsgrund der DSGVO.

48 Wobei auch zu bedenken ist, dass diese Lösung, praktisch betrachtet, dem entspricht, was typischerweise der (in der Tat Schutz gewährende) Klägergerichtsstand bei Verbraucherverträgen nach der Brüssel-Verordnung wäre – vgl. allgemein Urteil vom 25. Januar 2018, Schrems (C‑498/16, EU:C:2018:37).

49 Vgl. Erwägungsgründe 141 und 143 der DSGVO sowie Urteil vom 16. Juli 2020, Facebook Ireland und Schrems (C‑311/18, EU:C:2020:559, Rn. 110).

50 Vgl. den 143. Erwägungsgrund und Art. 78 der DSGVO.

51 Zu einem solchen Ansatz in einem anderen (dezentralen) Regelungskontext vgl. meine Schlussanträge in der Rechtssache Astellas Pharma (C‑557/16, EU:C:2017:957).

52 Zu dem letzteren Punkt bestimmt Art. 78 Abs. 4, dass dann, wenn „es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde [kommt], dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, … die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu[leitet]“. Praktisch betrachtet, ist dies wahrscheinlich der einzige Weg für eine gerichtliche Überprüfung von Entscheidungen des Ausschusses, da, wie im 143. Erwägungsgrund der DSGVO unheilvoll bestätigt, „[j]ede natürliche oder juristische Person“ (also auch betroffene Personen) eine rechtsverbindliche Entscheidung des Ausschusses vor den Unionsgerichten anfechten kann, wenn die Voraussetzungen nach Art. 263 AEUV erfüllt sind. In Anbetracht der engen Auslegung der Voraussetzungen für eine Klagebefugnis von Einzelpersonen nach Art. 263 Abs. 4 AEUV in der Rechtsprechung des Gerichtshofs liegt es nicht ohne Weiteres auf der Hand, in welchen Fällen angenommen werden könnte, dass Einzelpersonen von Entscheidungen des Ausschusses unmittelbar betroffen wären, da die letzteren Entscheidungen jedenfalls durch eine nachfolgende Entscheidung der federführenden oder betroffenen Aufsichtsbehörde auf den konkreten Fall einer betroffenen Person „angewandt“ werden müssen. In einem solchen Fall bestände, wie in vielen anderen Bereichen des Unionsrechts auch (kritisch zu dieser strukturellen Frage meine Schlussanträge in der Rechtssache Région de Bruxelles-Capitale/Kommission, C‑352/19 P, EU:C:2020:588, Nrn. 137 bis 147), der einzige Weg zur Kontrolle einer Entscheidung des Ausschusses letztlich in einem Vorabentscheidungsverfahren nach Art. 267 AEUV, das auf Fälle beschränkt bliebe, in denen ein wissbegierigeres nationales Gericht den über seine eigene gerichtliche Kontrolle gebreiteten „Schleier lüften“ wollte, der der von der nationalen Aufsichtsbehörde „zugeleiteten“ Stellungnahme des Ausschusses nach Art. 78 Abs. 4 der DSGVO entstammt.

53 Vgl. insbesondere Art. 60 Abs. 1 der DSGVO.

54 Hijmans, H., „Comment to Article 56 of the GDPR“, in Kuner, C., Bygrave, L., Docksey, C. (Hrsg.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, S. 918.

55 Hustinx, P., „EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation“, in Cremona, M. (Hrsg.), New Technologies and EU Law, 2017, Oxford University Press, Oxford, S. 123.

56 Vgl. zu diesem Ausdruck Ratsdokument „Orientierungsaussprache zum Prinzip der zentralen Kontaktstelle (‚one-stop-shop mechanism‘)“, 10139/14 vom 26. Mai 2014, S. 4.

57 Vgl. z. B. Urteil vom 9. März 2010, Kommission/Deutschland (C‑518/07, EU:C:2010:125, Rn. 24). Aus jüngerer Zeit vgl. Urteil vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650, Rn. 42).

58 Siehe oben, Nr. 4 der vorliegenden Schlussanträge.

59 Hervorhebung nur hier.

60 Insoweit würde ich lediglich hinzufügen, dass die Aufsichtsbehörden, bei denen eine Beschwerde erhoben wird, unabhängig davon, ob sie federführende oder betroffene Aufsichtsbehörde sind, nicht nur verpflichtet sind, diese Beschwerde sorgfältig zu prüfen (siehe oben, Nr. 69 der vorliegenden Schlussanträge), sondern auch, „über die umfassende Einhaltung der DSGVO zu wachen“ (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559‚ Rn. 112) (Hervorhebung nur hier).

61 Hervorhebung nur hier.

62 Hervorhebung nur hier.

63 Vgl. Tosoni, L., „Comment to Article 60 of the GDPR“, in Kuner, C., Bygrave, L., Docksey, C. (Hrsg.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, S. 969.

64 Hervorhebung nur hier.

65 Je nach dem, um welche Art von Maßnahme es geht, wie im 138. Erwägungsgrund der DSGVO klargestellt. Realistischerweise wäre jedoch eher nicht damit zu rechnen, dass eine federführende Aufsichtsbehörde einen Beschluss des Ausschusses, auch wenn er nach der DSGVO keine förmliche Verbindlichkeit hat, außer Acht lassen wird (insbesondere weil das, was beim ersten Durchgang nicht verbindlich ist, es im nächsten durchaus noch werden könnte).

66 Ähnlich und eingehender Van Eecke, P., Šimkus, A., „Comment to Article 64“, in Kuner, C., Bygrave, L., Docksey, C. (Hrsg.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, S. 1011.

67 Siehe oben, Nrn. 106 und 107 der vorliegenden Schlussanträge.

68 Siehe oben, Nrn. 35 bis 38 der vorliegenden Schlussanträge.

69 Vgl. auch Art. 29 des Dokuments der Datenschutzgruppe mit Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters, WP 244 rev.01, vom 5. April 2017, S. 10.

70 Es soll hier im Übrigen nicht behauptet werden, dass die soeben angeführten Beispiele eine abschließende Aufzählung darstellten. Könnte es außerdem nicht auch den Fall geben, dass durch die in einem bestimmten Fall einer grenzüberschreitenden Verarbeitung – sei es einvernehmlich zwischen der federführenden und den betroffenen Aufsichtsbehörden oder nach Streitbeilegung durch den Ausschuss – getroffene endgültige Entscheidung eine oder mehrere betroffene Aufsichtsbehörden damit beauftragt werden könnten, in ihrem jeweiligen Hoheitsgebiet bestimmte Durchsetzungsakte durchzuführen, wozu z. B. auch die Einleitung eines gerichtlichen Verfahrens gehören könnte?

71 Wie oben in den Nrn. 31 bis 38 der vorliegenden Schlussanträge dargelegt.

72 Siehe oben, Nrn. 32 bis 33 der vorliegenden Schlussanträge.

73 Was allgemein auch für jede Verarbeitung als solche und die Definition ihres (Mit‑)Verantwortlichen gelten sollte. Die tatsächliche Kontrolle über die Zwecke und Mittel der Verarbeitung ist anhand eines bestimmten Verarbeitungsvorgangs und nicht abstrakt und statisch anhand einer unbestimmten „Verarbeitung“ zu beurteilen – vgl. Urteil vom 29. Juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, Rn. 71 bis 74).

74 Siehe oben, Nrn. 111 und 112 der vorliegenden Schlussanträge.

75 Siehe oben, Nrn. 45 und 84 der vorliegenden Schlussanträge.

76 Was mittelbar wieder auf die ursprüngliche Frage zurückführt, weswegen genau diese Niederlassung in diesem Mitgliedstaat dann nach Anwendbarwerden der DSGVO tatsächlich verfolgt wird, wie oben in Nrn. 32 bis 34 der vorliegenden Schlussanträge erörtert.

77 Urteil vom 5. Juni 2018 (C‑210/16, EU:C:2018:388).

78 Vgl. insbesondere den neuen Art. 3 Abs. 1 mit dem früheren Art. 4 Abs. 1 Buchst. a und den neuen Art. 58 Abs. 6 mit dem früheren Art. 28 Abs. 3 dritter Gedankenstrich.

79 Wie jedoch oben in Fn. 70 angeführt, ist ebenso denkbar, dass eine koordinierte Entscheidungsfindung möglicherweise zu koordinierten Durchsetzungsmaßnahmen führt.

80 Vgl. entsprechend Urteil vom 14. Februar 2012, Toshiba Corporation u. a. (C‑17/10, EU:C:2012:72, insbesondere Rn. 60).

81 Vgl. mit einer eingehenden Erörterung und Beispielen meine Schlussanträge in der Rechtssache Nemec (C‑256/15, EU:C:2016:619, Nrn. 27 bis 44).

82 Siehe auch oben, Nr. 34 der vorliegenden Schlussanträge.

83 Vgl. eingehender meine Schlussanträge in der Rechtssache Klohn (C‑167/17, EU:C:2018:387, Nrn. 36 bis 46).

84 Wobei selbstverständlich die unmittelbare Geltung nicht mit der unmittelbaren Wirkung gleichbedeutend ist und für Vorschriften von Verordnungen, die ihre Umsetzung vorsehen oder notwendig machen, dieselben Voraussetzungen für die unmittelbare Wirkung gelten, vgl. z. B. Urteile vom 11. Januar 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, Rn. 26 bis 28), vom 28. Oktober 2010, SGS Belgium u. a. (C‑367/09, EU:C:2010:648, Rn. 33 ff.), oder vom 14. April 2011, Vlaamse Dierenartsenvereniging und Janssens (C‑42/10, C‑45/10 und C‑57/10, EU:C:2011:253, Rn. 48 bis 50).