Gericht der Europäischen Union: Keine Klagebefugnis von Unternehmen gegen Entscheidungen des EDSA
20.01.2023
[IITR – 20.01.23] Im Zuge von Ermittlungen aufgrund verschiedener Nutzerbeschwerden gegen die WhatsApp Ireland Ltd („WhatsApp“) hat die Irische Data Protection Commission (DPC) als federführende Behörde gem. Art. 56 DSGVO mit weiteren Aufsichtsbehörden in Europa gem. Art. 60 DSGVO zusammengearbeitet, um einen Konsens darüber zu erzielen, wie inhaltlich vorzugehen sei. Mangels Einigkeit unter den nationalen Behörden wurde an den Europäischen Datenschutz-Ausschuss (EDSA) weiterverwiesen, der in seinem Beschluss Datenschutzverstöße feststellte.
In Folge dessen wurden Bußgelder in Höhe von 225 Mio. Euro gegen WhatsApp verhängt. WhatsApp selbst hat diese Entscheidung der DPC vor einem irischen Gericht und darüber hinaus den EDSA-Beschluss mittels Nichtigkeitsklage gegenüber dem Gericht der Europäischen Union (EuG), der Vorinstanz des EuGH, angefochten. Der Antrag auf Nichtigerklärung wurde nun mangels Klagebefugnis nach Art. 263 AEUV als unzulässig abgewiesen.
Juristische Einordnung
Nach Art. 263 Abs. 4 AEUV bedarf es für nicht privilegierte Kläger zur Klagebefugnis einer „individuellen und unmittelbaren Betroffenheit“.
Das Unmittelbarkeitskriterium besagt im Grundsatz, „dass die angefochtene Handlung den Kläger ipso facto beeinträchtigen muss und es nicht ausreicht, dass sie ihn benachteiligen kann, falls weitere Umstände hinzutreten“. (Quelle: Wolfram Cremer in Calliess/Ruffert, EUV/AEUV 6. Auflage 2022, Rn. 36)
Mit Blick auf die vom EuGH verwendete Plaumann-Formel (Quelle: EuGHE 63, 211, 238 = NJW 63, 2246) ist eine natürliche oder juristische Person in ihrer Rechtsstellung nur dann individuell betroffen, wenn besondere Umstände sie aus dem Kreis aller übrigen Personen herausheben und sie in ähnlicher Weise individualisieren wie einen Adressaten.
Ein Beschluss des EDSA richtet sich allerdings an die nationale Aufsichtsbehörde, welche gem. Art. 65 Abs. 6 DSGVO auf Grundlage dessen eine endgültige Entscheidung trifft. Es muss folglich ein weiterer Umstand in Form eines Umsetzungsschrittes auf nationaler Ebene hinzutreten, weswegen es an der direkten Unmittelbarkeitsbeziehung zwischen EDSA und der klagenden Person fehlen dürfte.
Das entspricht der unionsrechtlichen Praxis, denn darin „kommt es [nämlich] häufig vor, dass eine Unionsrechtsmaßnahme eines nationalen Umsetzungsaktes bedarf und dieser Umsetzungsakt nicht nur zwingend ergehen muss, sondern den Mitgliedstaaten dabei auch keinerlei Beurteilungs- oder Ermessensspielraum zugestanden wird. Dementsprechend determiniert bereits der Unionsrechtsakt in diesen Situationen die Interessensbeeinträchtigung der Klagepartei vollständig.“ (Quelle: Prof. Christoph Herrmann und Simon A. Miller in ZEuS 04/2021, S. 642, „Direktklagemöglichkeiten gegen Beschlüsse des Europäischen Datenschutzausschusses“)
WhatsApp nicht unmittelbar betroffen
Das Gericht der Europäischen Union hat eine unmittelbare Betroffenheit von WhatsApp letztlich abgelehnt, weswegen WhatsApp zur Nichtigkeitsklage nicht klagebefugt ist.
Der Argumentation von WhatsApp, dass sich die Entscheidung des EDSA auch dann direkt an sie richte, wenn wie oftmals üblich allgemeine Aspekte anklängen, ist das EuG nicht gefolgt. (Quelle: EuG T-709/21, Rn. 40)
Das EuG dagegen stellte unter anderem darauf ab, dass Entscheidungen des EDSA nicht unmittelbar vollstreckbar seien, was wiederum eine unmittelbare Betroffenheit ausschlösse. (EuG T-709/21, Rn. 42, 52)
Außerdem entfalteten Zwischenentscheidungen wie die vom EDSA keine eigenen rechtlichen Effekte, so dass es nicht ersichtlich sei, weshalb diese angreifbar sein müssten. (EuG T-709/21, Rn. 43, 44) – Dem hielt WhatsApp entgegen, dass gerade ein EDSA-Beschluss gem. Art. 65 Abs. 1 DSGVO für die nationale Behörde „verbindlich“ sei, weshalb Auswirkungen für das Unternehmen auf Grundlage dieser Entscheidung geradezu vorprogrammiert seien, sie also wie den Adressaten selbst beträfen.
Dem widersprach das EuG mit der Behauptung, dass selbst wenn ein EDSA-Beschluss verbindlich sei, der irischen Aufsichtsbehörde noch ein gewisser Ermessensspielraum verbliebe. Wie genau dieser ausfällt, lässt die Gerichtsentscheidung allerdings offen. (EuG T-709/21, Rn. 53)
Reichweite des (effektiven) Rechtsschutzes
Mit Blick auf Erwägungsgrund 143 solle jeder natürlichen oder juristischen Person das Recht zukommen, „unter den in Artikel 263 AEUV genannten Voraussetzungen beim Gerichtshof eine Klage auf Nichterklärung eines Beschlusses des Ausschusses zu erheben.“ – Das spräche zumindest in der Tendenz für die grundsätzliche Möglichkeit direkter Klagen gegen Beschlüsse des EDSA. Durch die zentrale rechtliche Stellung des EDSA und dessen bedeutenden Kompetenzen erscheint es zudem notwendig, Privaten entsprechende Rechtsschutzmöglichkeiten zu gewähren. (Quelle: Prof. Christoph Herrmann und Simon A. Miller in ZEuS 04/2021, S. 657, „Direktklagemöglichkeiten gegen Beschlüsse des Europäischen Datenschutzausschusses“)
Die Rechtsschutzmöglichkeit sieht das EuG mit Klageoptionen vor der nationalen Gerichtsbarkeit erfüllt, weswegen es allein aus diesen Gesichtspunkten keiner europäischen Klagemöglichkeit bedürfe. (EuG T-709/21, Rn. 45) – Das alleine dürfte jedoch eine Klage vor der europäischen Gerichtsbarkeit nicht ausschließen, denn eine Subsidiaritätsklausel kennt Art. 263 AEUV nicht.
Außerdem wird auf ein potenzielles Vorlageverfahren gem. Art. 267 AEUV verwiesen, wodurch es letztlich zu einer europarechtlichen Entscheidung käme. (EuG T-709/21, Rn. 68) Dies läge allerdings alleine im Entscheidungsspielraum des jeweiligen Gerichts.
Es läge darüber hinaus in der Logik des europäischen Systems, dass sich europäische und nationale Gerichtsbarkeit sinnvoll ergänzten. Parallelverfahren über dieselbe Thematik führten möglicherweise zu Widersprüchen, die es zu vermeiden gilt. (EuG T-709/21, Rn. 69) – Während sich die Klage vor dem irischen Gericht gegen die Bußgelder der irischen Aufsichtsbehörde wendet, sollte mit der Klage vor dem EuG die Entscheidung der EDSA angefochten werden. Die Streitgegenstände sind folglich unterschiedlich, weswegen nicht zwingend von parallelen Verfahren zu sprechen ist.
Entscheidung des Europäischen Gerichtshofs zu erwarten
WhatsApp steht es nun frei, diese Entscheidung vor dem EuGH anzugreifen. Mit einem Entschluss dazu verhinderte man auch eine theoretisch drohende Präklusion. Sollte tatsächlich Klage vor dem EuGH erhoben werden, wäre eine endgültige Sachentscheidung wohl in 2024 zu erwarten.
Stand jetzt sind nach Ansicht des EuG Entscheidungen des EDSA gem. Art. 65 DSGVO nicht direkt gerichtlich angreifbar, sondern lediglich indirekt im Zuge eines Vorabentscheidungsverfahrens nach Art. 267 AEUV. Sollte diese Entscheidung in Rechtskraft erwachsen, wäre der EDSA damit einer direkten gerichtlichen Kontrolle entzogen.
