Für den 10. Februar 2026 wurde das Urteil des EuGH im Verfahren C-97/23 P (WhatsApp gegen den EDSA), inwieweit Beschlüsse des EDSA direkt gerichtlich überprüfbar sind, erwartet. Die Generalanwältin Ćapeta sprach sich in ihren Schlussanträgen bereits dafür aus. In dem Verfahren geht es um die Überprüfung der Entscheidung des EuG (T-709/21). Nun ist das Urteil ergangen: Der Gerichtshof der Europäischen Union hat eine wichtige Weichenstellung im europäischen Datenschutzrecht vorgenommen: WhatsApp darf einen Beschluss des Europäischen Datenschutzausschusses (EDSA) unmittelbar vor den Unionsgerichten angreifen.
Damit hob der EuGH eine Entscheidung des Gerichts der Europäischen Union (EuG) auf, das die Klage zuvor als unzulässig verworfen hatte. In der Sache ist der Rechtsstreit um das Bußgeld in Höhe von 225 Millionen Euro jedoch noch nicht entschieden. Das EuG muss nun inhaltlich prüfen, ob der EDSA-Beschluss rechtmäßig war.
Die Entscheidung ist weit über den Einzelfall hinaus von erheblicher Bedeutung für Unternehmen, die in grenzüberschreitenden DSGVO-Verfahren betroffen sind.
Hintergrund: Rekordbußgeld wegen Transparenzverstößen
Ausgangspunkt war eine Geldbuße in Höhe von 225 Millionen Euro, verhängt durch die irische Datenschutzkommission (Data Protection Commission – DPC).
WhatsApp wurde vorgeworfen, gegen Transparenzpflichten nach der Datenschutz-Grundverordnung (DSGVO) verstoßen zu haben. Da WhatsApp seinen europäischen Hauptsitz in Irland unterhält, fungiert die DPC im Rahmen des sogenannten „One-Stop-Shop“-Verfahrens als federführende Aufsichtsbehörde (Art. 56 DSGVO).
Im Abstimmungsverfahren zwischen den europäischen Aufsichtsbehörden kam es jedoch zu Meinungsverschiedenheiten über die rechtliche Bewertung und die Höhe der Sanktion. In solchen Fällen greift Art. 65 DSGVO: Der EDSA erlässt einen verbindlichen Beschluss zur Streitbeilegung.
Genau dies geschah hier. Der EDSA stellte bestimmte DSGVO-Verstöße verbindlich fest und verpflichtete die irische Behörde, ihren Beschlussentwurf – insbesondere hinsichtlich der Geldbuße – anzupassen. Auf dieser Grundlage verhängte die DPC schließlich das Bußgeld.
Verfahrensrechtlicher Kern: Ist ein EDSA-Beschluss anfechtbar?
WhatsApp griff sowohl den finalen Bescheid der irischen Behörde vor nationalen Gerichten als auch den zugrunde liegenden EDSA-Beschluss im Wege der Nichtigkeitsklage nach Art. 263 AEUV vor dem EuG an.
Das EuG hatte die Klage zunächst als unzulässig verworfen (Beschl. v. 07.12.2022 – T-709/21). Begründung: Der EDSA-Beschluss sei lediglich eine vorbereitende Zwischenmaßnahme ohne eigenständige Außenwirkung. Anfechtbar sei nur der endgültige nationale Bescheid.
EuGH: EDSA-Beschlüsse entfalten verbindliche Rechtswirkungen
Der EuGH widersprach dieser Auffassung ausdrücklich.
Nach Auffassung des Gerichtshofs entfaltet ein Beschluss nach Art. 65 DSGVO verbindliche Rechtswirkungen:
- Er bindet die federführende Aufsichtsbehörde vollständig.
- Er legt die rechtliche Bewertung der DSGVO-Verstöße abschließend fest.
- Der nationalen Behörde verbleibt kein Ermessensspielraum.
- Die Rechtsposition des betroffenen Unternehmens wird unmittelbar und qualifiziert verändert.
Damit handelt es sich nicht um eine bloße Zwischenmaßnahme, sondern um eine anfechtbare Handlung im Sinne von Art. 263 AEUV.
Besonders relevant ist die Klarstellung zur Klagebefugnis:
Auch wenn der EDSA-Beschluss formal an die nationale Behörde gerichtet ist, ist das betroffene Unternehmen unmittelbar und individuell betroffen – und daher klagebefugt.
Bedeutung für Unternehmen im One-Stop-Shop-Verfahren
Die Entscheidung stärkt den Rechtsschutz von Unternehmen erheblich. Sie schafft Klarheit für komplexe grenzüberschreitende DSGVO-Verfahren.
1. Erweiterte Rechtsschutzoptionen
Unternehmen können künftig:
- nicht nur nationale Bußgeldbescheide angreifen,
- sondern auch den zugrunde liegenden EDSA-Beschluss direkt vor dem EuG überprüfen lassen.
Dies eröffnet eine zusätzliche Verteidigungsebene im europäischen Verwaltungsverbund.
2. Strategische Verfahrensplanung wird wichtiger
In komplexen Verfahren mit mehreren beteiligten Aufsichtsbehörden stellt sich nun die strategische Frage:
- Wann ist eine parallele Anfechtung sinnvoll?
- Welche Argumente richten sich gegen die nationale Umsetzung – welche gegen die unionsrechtliche Streitentscheidung?
- Wie sind nationale und europäische Verfahren aufeinander abzustimmen?
Die WhatsApp-Entscheidung zeigt: Die europäische Ebene ist kein „Black Box“-Vorverfahren, sondern selbst gerichtlich überprüfbar.
3. Stärkung rechtsstaatlicher Kontrolle im europäischen Datenschutzregime
Der EuGH unterstreicht damit auch die Bedeutung effektiven Rechtsschutzes (Art. 47 EU-Grundrechtecharta). Unternehmen dürfen nicht darauf verwiesen werden, ausschließlich nationale Umsetzungsakte anzugreifen, wenn die maßgebliche rechtliche Bewertung bereits verbindlich auf europäischer Ebene erfolgt ist.
Was Unternehmen jetzt beachten sollten
Gerade für international tätige Unternehmen mit Hauptniederlassung in einem EU-Mitgliedstaat ergeben sich daraus wichtige Handlungsempfehlungen. Eine frühzeitige Einbindung spezialisierter DSGVO-Prozessberatung ist entscheidend. Bereits im Stadium eines behördlichen Beschlussentwurfs sollte eine prozessuale Gesamtstrategie entwickelt werden, die sowohl nationale als auch unionsrechtliche Aspekte berücksichtigt. Dabei ist insbesondere zu analysieren, ob und in welchem Umfang mit einem Verfahren nach Art. 65 DSGVO zu rechnen ist. Sobald absehbar ist, dass andere europäische Aufsichtsbehörden Einwände erheben, liegt die Einleitung eines Streitbeilegungsverfahrens vor dem Europäischen Datenschutzausschuss nahe.
Nach Erlass eines verbindlichen EDSA-Beschlusses stellt sich zudem die strategisch wichtige Frage, ob neben nationalen Rechtsbehelfen auch eine unmittelbare Nichtigkeitsklage vor dem Gericht der Europäischen Union in Betracht kommt. Schließlich bedarf es einer sorgfältigen Koordination zwischen nationalen und unionsrechtlichen Verfahren. Verfahrenspausen – wie etwa im vorliegenden Fall in Irland – sind dabei nicht nur hinzunehmen, sondern strategisch in die Gesamtverteidigung einzubetten.
Fazit
Der Beschluss des EuGH ist kein materieller Freispruch für WhatsApp – aber ein bedeutsamer prozessualer Erfolg. Er stärkt den Rechtsschutz gegen Entscheidungen des EDSA und schafft mehr Klarheit im Zusammenspiel zwischen nationalen Datenschutzbehörden und europäischen Organen. Für Unternehmen bedeutet dies: Das europäische Datenschutzverfahren ist nicht nur regulatorisch komplex, sondern auch prozessual anspruchsvoll – bietet aber zugleich neue Verteidigungsmöglichkeiten.
Wir beraten Unternehmen umfassend in allen Phasen datenschutzaufsichtsrechtlicher Verfahren. Dies umfasst insbesondere die Verteidigung in Bußgeldverfahren nach der DSGVO, die Begleitung grenzüberschreitender One-Stop-Shop-Verfahren sowie die rechtliche und strategische Beratung im Rahmen von Streitbeilegungsverfahren vor dem Europäischen Datenschutzausschuss (Art. 65 DSGVO). Darüber hinaus unterstützen wir bei der strategischen Prozessführung vor nationalen Gerichten und den Unionsgerichten (EuG/EuGH) und entwickeln maßgeschneiderte Compliance-Konzepte zur Vermeidung von Transparenz- und Informationsverstößen.
Wenn Sie mit einer aufsichtsbehördlichen Untersuchung oder einem möglichen Bußgeld konfrontiert sind, stehen wir Ihnen sowohl präventiv als auch prozessual zur Seite. Sprechen Sie uns frühzeitig an – gerade in europäischen Koordinierungsverfahren entscheidet eine vorausschauende und abgestimmte Strategie zu Beginn maßgeblich über den weiteren Verlauf und die Erfolgsaussichten.
