EuGH urteilt zur Frage: Wann gilt welches Datenschutzrecht?

Im Verfahren „Weltimmo“ (EuGH, 13.05.2014 - C-131/12) hat der EuGH am 01. Oktober 2015 entschieden, dass das Datenschutzrecht eines Mitgliedstaates auf eine ausländische Gesellschaft angewendet werden kann, wenn diese in diesem Staat mittels einer festen Einrichtung („Niederlassung“) eine tatsächliche und effektive Tätigkeit ausübt.

(Bildquelle Datenschutz: faithie via Shutterstock)

Das Gericht hatte die Frage zu beantworten, welches Datenschutzrecht anwendbar ist, wenn ein Unternehmen, welches allein in einem Mitgliedstaat der EU seinen Sitz hat, seine Dienste über das Internet auch in einem anderen Mitgliedstaat anbietet. Die Richter aus Luxemburg entschieden, dass im Hinblick des Erwägungsgrundes 19 der Datenschutzrichtlinie 95/46EG der Begriff der „Niederlassung“ flexibel ausgelegt werden müsse.

Der Begriff „Niederlassung“ ist weit auszulegen.

Das im Verfahren zu untersuchende Unternehmen „Weltimmo“ war im Handelsregister der Slowakei eingetragen, betrieb jedoch eine Website zur Vermittlung von in Ungarn gelegenen Immobilien. In diesem Rahmen verarbeitete sie personenbezogene Daten der Inserenten. Die Tatsachen, dass Weltimmo in Ungarn einen verantwortlichen Vertreter, ein Postfach sowie über ein eigenes Bankkonto verfügte, sprachen vonseiten des Gerichts für eine feste Einrichtung (sprich Niederlassung) in Ungarn, in der eine tatsächliche und effektive Tätigkeit ausgeübt wird. Daher sei ungarisches Datenschutzrecht anzuwenden.

Obwohl die Entscheidung aufgrund des Presserummels um das Safe-Harbor-Urteil etwas in den Medien untergegangen ist, hat es doch erhebliche Auswirkungen für Webseitenbetreiber.

Was bedeutet das Urteil für Webseitenbetreiber?

Unternehmen, die ihre Dienste über Webseiten in mehreren Mitgliedstaaten anbieten und dazu einen (Handels-) Vertreter sowie evtl. eine Handelsregistereintragung besitzen, werden sich künftig mit mehreren, im äußersten Fall mit 28 verschiedenen nationalen Datenschutzgesetzen auseinandersetzen müssen. Um dies zu umgehen, müssten Unternehmen jegliche physischen Verbindungen in Form von Büros, Vertretern oder Handelsregistereintragungen zu Mitgliedstaaten kappen und ihre Dienste allein über das Internet von einem Ort aus anbieten.

Im Rahmen des Urteils nahm der EuGH auch zu den Kompetenzen der jeweiligen nationalen Datenschutzbehörden Stellung. Er entschied, dass die Untersuchungsbefugnisse der Kontrollstellen insoweit beschränkt sind, dass von einer nationalen Datenschutzbehörde keine Sanktionen außerhalb des Hoheitsgebietes ihres Mitgliedstaates verhängt werden dürfen. Im vorliegenden Fall darf demzufolge die ungarische Datenschutzbehörde trotz Anwendbarkeit des ungarischen Datenschutzrechtes kein Bußgeld gegen Weltimmo erheben. Sie muss sich stattdessen an die Kontrollstelle der Slowakei wenden, damit diese die Sanktionen verhängen kann.