EuG: Gewinn für EDSA gegenüber irischen DPC

13. Februar 2025

Das Gericht der Europäischen Union (EuG) hat mit Urteil vom 29.01.2025 entschieden, dass der Europäische Datenschutzausschuss (EDSA) verbindliche Anweisungen an die irische Datenschutzbehörde (DPC) geben darf. Der EDSA kann insofern aufgrund des EuG-Urteils einen Gewinn gegenüber der irischen DPC verzeichnen. Der Fall betrifft die langwierige Auseinandersetzung um Metas Verwendung von Nutzerdaten für personalisierte Werbung ohne ausdrückliche Einwilligung.

Streit um Metas Werbemodell

Meta setzt seit Jahren auf ein Werbemodell, das auf der umfangreichen Verarbeitung personenbezogener Daten beruht. Besonders problematisch war damals, dass Meta für die Verarbeitung von Nutzerdaten zum Zwecke personalisierter Werbung nicht einmal Opt-out-Lösung anbot. Die DPC, zuständig für Metas europäischen Hauptsitz in Irland, hat sich oft als nachsichtig gegenüber dem US-Tech-Giganten gezeigt. 2022 entschied der EDSA jedoch, dass Meta gegen Art. 6 Abs. 1 Datenschutzgrundverordnung (DSGVO) verstößt, indem es Nutzerdaten ohne Einwilligung für Werbung verarbeitet. Zudem hätte die DPC untersuchen müssen, ob Meta besonders geschützte Daten nach Art. 9 DSGVO ohne Rechtsgrundlage verwendet.

Klage der DPC gegen den EDSA

Die DPC versuchte daraufhin, die Entscheidung anzufechten und das Verfahren noch weiter hinauszuzögern. Laut der DPC habe der EDSA keine allgemeine Aufsichtsfunktion, die mit der von nationalen Gerichten in Bezug auf unabhängige Behörden vergleichbar sei. Deshalb könne dieser auch keine Anweisungen zur Durchführung weiterer Untersuchungen erteilen.

Entscheidung des EuG

Das EuG wies nun in seinen Urteilen (T-70/23, T-84/23 und T-111/23) die Klagen der DPC zurück und bestätigte, dass der EDSA berechtigt ist, Weisungen zu erteilen. Die Richter betonten, dass der EU-Gesetzgeber durch das Koordinationsverfahren des EDSA bewusst eine Möglichkeit geschaffen habe, Meinungsverschiedenheiten zwischen nationalen Aufsichtsbehörden – konkret über den Umfang von Untersuchungen – zu schlichten. Es komme allein darauf an, dass der EDSA ebenso unabhängig sei, wie nationale Gerichte.

Damit wird der DPC die Option genommen, durch Verzögerungstaktiken die Durchsetzung der DSGVO zu untergraben. Insbesondere stärkt aber die Entscheidung auch den EDSA als zentrale Instanz zur einheitlichen Durchsetzung der Datenschutzvorschriften in Europa. Es besteht noch die Möglichkeit gegen das Urteil Berufung einzulegen.

Erfolg mit Schattenseiten

Max Schrems von der Datenschutzorganisation noyb, begrüßt die Entscheidung. Er weist jedoch auch darauf hin, dass nun der Fall wieder von Anfang an beginne. Eine abschließende Klärung der Rechtslage habe nämlich noch nicht stattgefunden. Bis dahin können noch viele Jahre vergehen, so Schrems. Er geht auch davon aus, dass die DPC erneut verschiedene Ausweichtaktiken und Verzögerungsmechanismen versuchen wird.

Was bedeutet das für Unternehmen?

Unternehmen können sich nicht mehr darauf verlassen, dass eine wohlwollende nationale Behörde regulatorische Anforderungen aufweicht oder Verfahren in die Länge zieht. Der EDSA hat nun nachweislich die Kompetenz, durchzugreifen und Anweisungen zu erteilen. Die Entscheidung zeigt, dass Versuche, datenintensive Geschäftsmodelle durch kreative Umdeutungen der DSGVO zu legitimieren, zunehmend ins Leere laufen.

Fazit

Die EuG-Entscheidung stellt grundsätzlich einen Gewinn für den EDSA gegenüber der irischen DPC dar. Sie ist aber auch ein deutliches Signal an Unternehmen: Die Durchsetzung der DSGVO wird strikter und auch nationale Datenschutzbehörden können sich nicht mehr ihrer Verantwortung entziehen. Für Unternehmen bedeutet dies, dass sie ihre Datenschutzstrategien überprüfen und optimieren sollten, um kostspielige Sanktionen und langwierige Verfahren zu vermeiden.

Kategorien: Aufsichtsbehördliche Maßnahmen · DSGVO · EDSA · Einwilligung · EuG-Urteil · Europäische Union · Europäisches Recht · Meta · Online-Datenschutz · Werbung