EuGH erlaubt Klage gegen EDPB-Beschlüsse
24.02.2026
Zusammenfassung
Mit Urteil vom 10. Februar 2026 (C-97/23 P) hat der EuGH entschieden, dass verbindliche Beschlüsse des EDPB nach Art. 65 DSGVO eigenständig gerichtlich anfechtbar sind, stärkt damit den Rechtsschutz von Unternehmen und setzt eine wichtige Leitlinie für das DSGVO-Kohärenzverfahren.
3 Minuten Lesezeit
Wer kontrolliert eigentlich den Europäischen Datenschutzausschuss? Aus einem millionenschweren DS-GVO-Verfahren gegen WhatsApp, etablierte sich diese Frage zum Mittelpunkt des Urteils des EuGH vom 10. Februar 2026 (C-97/23 P). Das Ergebnis war eine deutliche Weichenstellung der künftigen Verfahrenspraxis: Der Gerichtshof stellt klar, dass verbindliche Beschlüsse des European Data Protection Board (EDPB) grundsätzlich selbst vor den Unionsgerichten angefochten werden können.
Hintergrund der Entscheidung
Ausgangslage war das Bußgeldverfahren gegen WhatsApp. Im Rahmen des DS-GVO-Kohärenzverfahrens hatte der EDPB die irische Datenschutzbehörde angewiesen, ihren ursprünglichen Entscheidungsentwurf zu verschärfen. Das Ergebnis: ein Bußgeld in dreistelliger Millionenhöhe.
WhatsApp reagierte darauf mit einem Versuch sich nicht nur gegen die nationale Entscheidung zu wehren, sondern auch gegen den zugrunde liegenden EDPB-Beschluss. Während das Gericht der Europäischen Union (EuG) diese Klage als unzulässig erachtete, da der EDPB-Beschluss nur als „Zwischenschritt“ und nicht als Rechtsakt zu werten sei, sah der EuGH das anders.
Kernaussage des EuGH
Der Gerichtshof stellte klar: Ein verbindlicher Beschluss nach Art. 65 DSGVO ist kein bloßer Vorbereitungsschritt, sondern ein Akt mit eigenständiger Rechtswirkung.
Dies begründet der EuGH durch die Tatsache, dass der nationalen Aufsichtsbehörde bei der Umsetzung des Beschlusses der Ermessensspielraum genommen wird. Der EDPB legt verbindlich fest, wie der Streit entschieden werden soll. Das verändert die Rechtsposition des betroffenen Unternehmens unmittelbar. Kurz gesagt: Eine rechtliche Bindung muss auch gerichtlich überprüfbar sein. Die Sache wurde somit zur inhaltlichen Prüfung an das EuG zurückverwiesen.
Bedeutung für Unternehmen und Aufsichtsbehörden
Für internationale Unternehmen bedeutet die EuGH-Entscheidung eine erhebliche Stärkung des Rechtsschutzes. Sie müssen nicht mehr ausschließlich darauf verlassen, dass nationale Gerichte ihre Fragen einem oft langwierigen und ungewissen Prozess an den EuGH weiterleiten. Stattdessen eröffnet die Entscheidung betroffenen Unternehmen einen direkten Rechtsweg zu den Unionsgerichten, statt ausschließlich auf eine Gültigkeitsprüfung im konkreten Fall über nationale Verfahren angewiesen zu sein.
Auf der anderen Seite könnte diese Entscheidung auch zu mehr gerichtlichen Auseinandersetzungen führen, da Unternehmen möglicherweise direkt EU-weit gegen EDPB-Bindungsentscheidungen vorgehen. Das birgt Risiken, dass Verfahren an Dauer gewinnen und Ressourcen in Anspruch nehmen, anstelle einer schnellen Durchsetzung mit Kohärenzverfahren stattfindet.
Fazit und Ausblick
Das Urteil ist vor allem eine prozessrechtliche Weichenstellung: Der EDPB ist im Streitbeilegungsverfahren kein „rechtsfreier“ Akteur, sondern seine Bindungsentscheidungen können gerichtlich kontrolliert werden. Ob WhatsApp materiell gegen die DSGVO verstoßen hat, muss nun das EuG prüfen.
Für Unternehmen, Berater und Aufsichtsbehörden markiert diese Entscheidung einen wichtigen Entwicklungsschritt im europäischen Datenschutzrecht. Sie präzisiert die Anforderungen an DS-GVO-Compliance und Verfahrensführung und zeigt zeitgleich, dass sich die Datenschutzrechtsordnung der EU kontinuierlich weiterentwickelt.
Autorin: Eva Herdegen
