Nationales Datenschutzrecht und die ausländische Gesellschaft

Das nationale Datenschutzrecht eines Mitgliedsstaates der EU kann auch auf eine ausländische Gesellschaft angewendet werden. Voraussetzung ist, dass diese im Mitgliedsstaat mit einer festen Einrichtung vertreten ist und eine tatsächliche und effektive Tätigkeit im Inland ausübt.

Sachverhalt
Die Gesellschaft Weltimmo, ein in der Slowakei tätige Immobilienunternehmen, vermittelt über eine Webseite in Ungarn Immobilien. Insbesondere Eigentümer können hier ihre Inserate schalten. Die Inserate sind für einen Monat lang kostenlos und werden danach kostenpflichtig. Für die Abwicklung der Inserate wurden personenbezogene Daten erhoben und verarbeitet. Nach Ablauf des Monats verlangten zahlreiche Inserenten die Löschung des Inserates und der damit im Zusammenhang stehenden personenbezogenen Daten. Weltimmo löschte diese Daten jedoch nicht und übermittelte die Daten an verschiedene Inkassounternehmen, um die ausstehenden Forderungen geltend zu machen.

Nach Beschwerden bei der ungarischen Datenschutzbehörde verhängte diese gegen Weltimmo ein Bußgeld in Höhe von 10 Millionen Forint, was umgerechnet etwa 32.000 € entspricht. Als Grund wurde ein Verstoß gegen das ungarische Gesetz zur Umsetzung der europäischen Datenschutzrichtlinie 95/46 EG genannt. Weltimmo hat hiergegen Beschwerde eingelegt, da die ungarische Behörde nicht zuständig sei. Vielmehr könne ein derartiges Bußgeld für eine slowakische Gesellschaft wie Immowelt auch nur von der Slowakei verhängt werden. Das höchste ungarische Gericht legte diese Angelegenheit dem EuGH zur Entscheidung vor.

Entscheidung
Der EuGH hat der ungarischen Datenschutzbehörde Recht gegeben. Nach der europäischen Datenschutzrichtlinie sind die Mitgliedsstaaten verpflichtet, eine öffentliche Stelle einzurichten, welche die Anwendung des europäischen Datenschutzrechts im Mitgliedsstaat überwacht. Jede dieser nationalen Datenschutzbehörden übt in eigener Verantwortung weitreichende Untersuchungs- und Einwirkungsbefugnisse aus. Dies geschieht unabhängig vom nationalen Recht und kann auch in Kooperation mit Datenschutzbehörden verschiedener Länder erfolgen.

Voraussetzung für die Zuständigkeit der nationalen Datenschutzbehörde ist, dass die beanstandete Datenverarbeitung in einer Niederlassung der ausländischen Gesellschaft im Hoheitsgebiet des jeweiligen Staates erfolgt. Dabei kann bereits ein einziger Vertreter für die Annahme einer Niederlassung ausreichend sein. Dies setzt lediglich voraus, dass der Mitarbeiter mit einem gewissen Grad an Beständigkeit für die Ausübung der betreffenden Dienstleistung tätig ist. Insofern sind vom Begriff der Niederlassung auch feste Einrichtungen erfasst, von denen eine tatsächliche Tätigkeit ausgeübt wird, auch wenn diese lediglich geringfügig ist.

Weltimmo hat durch die Vermittlung von Immobilien nicht nur geringfügige tatsächliche Tätigkeiten auf dem Hoheitsgebiet Ungarns ausgeübt. Mindestens ein Vertreter von Weltimmo war im slowakischen Handelsregister eingetragen und verfügte über eine feste Adresse in Ungarn. Dieser Vertreter stellte den Kontakt zwischen Weltimmo und den Inserenten her. Gleichzeitig war er auch dabei behilflich offene Forderungen einzutreiben. Zur Abwicklung des Zahlungsverkehrs hatte Weltimmo ein ungarisches Bankkonto eröffnet und unterhielt ein angemeldetes Postfach. Aufgrund dieser Feststellungen liegt die erforderliche Niederlassung der Weltimmo auch in Ungarn vor. Mithin unterliegt die Weltimmo hinsichtlich der Datenverarbeitung auch dem ungarischen Datenschutzrecht.

EU-Bürger können sich an jede nationale Kontrollstelle für den Datenschutz wenden. Diese müssen dann in eigener Verantwortung die Zuständigkeiten bestimmen und entsprechend gegen die jeweiligen Firmen vorgehen. In einem solchen Fall darf die nationale Aufsichtsbehörde jedoch keine Sanktionen außerhalb des Hoheitsgebietes des jeweiligen Mitgliedsstaates verhängen. In Kooperation mit der anderen Behörde kann jedoch auch ein Bußgeldverfahren in anderen Mitgliedsstaaten betrieben werden. Selbst wenn keine Niederlassung vorliegt, ergibt sich die Pflicht den anderen Mitgliedsstaat über die Datenschutzverletzung zu informieren. Rechtsfreie Räume existieren so nicht.

Fazit
Mit dieser Entscheidung hat der EuGH klargestellt, dass die Grundsätze der Datenschutzrichtlinie unabhängig vom Sitz einer Gesellschaft gelten. Sofern eine Niederlassung vorhanden ist, gilt nationales Recht. Wenn nicht, muss der andere Mitgliedsstaat informiert werden. Für Verbraucher sind so einheitliche Datenschutzbestimmungen gewährleistet.

EuGH, Urteil vom 01.10.2015, Az. C 230/14