Am 9.11.2020 hat der Europäische Datenschutzausschuss (EDPB), in dem Vertreter nationaler Datenschutzbehörden in einem Gremium auf EU-Ebene zusammengeschlossen sind, seinen ersten Streitbeilegungsbeschluss auf der Grundlage von Art. 65 GDPR angenommen. Dabei handelt es sich um die erste verbindliche Entscheidung in einem grenzüberschreitenden Verfahren, die der EDPB trifft. Sie betrifft das Verfahren gegen die Social Media Plattform Twitter, das von der irischen Datenschutzbehörde (Date Protection Commission, DPC) geführt wird, aber auch eine Vielzahl von Twitter-Nutzern in anderen EU-Mitgliedstaaten betrifft.
In der Sache geht es um einen Vorfall auf der Plattform Twitter aus Ende 2018/Anfang 2019. Durch einen Fehler in der Android-App waren Posts und Accounts, die von den Nutzern der Plattform als privat gekennzeichnet worden waren, fehlerhafter Weise frei öffentlich zugänglich gemacht worden. Hiervon waren nicht nur irische Nutzer, sondern Nutzer in der ganzen Welt, insbesondere auch in andere EU-Mitgliedstaaten betroffen. Die Plattform meldete den Verstoß gegenüber der DPC, die aufgrund der europäischen Niederlassung von Twitter in Irland federführend als Aufsichtsbehörde zuständig ist (Art. 56 DS-GVO) und hieraufhin ein Untersuchungsverfahren einleitete. Im Ergebnis stellte die DPC insbesondere (insoweit auch im Wesentlichen unbestritten) Verstöße gegen Datenschutz- und Datensicherheitsrecht fest. Da hiervon allerdings auch Nutzer in anderen Mitgliedstaaten betroffen waren und deshalb auch die Zuständigkeit der dortigen Datenschutzbehörden begründet war – weil die Datenschutz-Grundverordnung (DS-GVO) das Marktortprinzip zugrundlegt (Art. 3 i.V.m 55, 56 DS-GVO) – leitete die DPC das für grenzüberschreitende Sachverhalte vorgesehene Kohärenzverfahren (Art. 60 ff. DS-GVO). In diesem Rahmen wurde von der federführenden DPC den anderen betroffenen Aufsichtsbehörden insbesondere der Entwurf einer endgültigen Entscheidung gegen Twitter mit beabsichtigten Sanktionen vorgelegt (Art. 60 Abs. 3 DS-GVO). Von ihrem Recht, einen begründeten Einspruch gegen den Beschlussentwurf der federführenden Datenschutzbehörde einzulegen (Art. 60 Abs. 4 DS-GVO), machten daraufhin einige nationale Aufsichtsbehörden Gebrauch. Die Kritik bezog sich dabei weniger darauf, dass ein Verstoß gegen die DS-GVO festgestellt worden war, sondern auf den Umfang der festgestellten Verstöße, die Feststellungen zur Rolle von Twitter als (alleinige) für die Datenverarbeitung Verantwortliche sowie die Höhe der vorgeschlagenen Geldbuße. Die DPC wiederum, die nach Art. 60 Abs. 5 DS-GVO die Gelegenheit gehabt hätte, sich diesen Einsprüchen anzuschließen und den Beschlussentwurf entsprechend zu überarbeiten, wies die Einsprüche der anderen betroffenen Behörden als „nicht sachdienlich und unbegründet“ zurück und leitete somit das in Art. 63 DS-GVO vorgesehene Streitbeilegungsverfahren nach Art. 63 ff. DS-GVO ein, das in Fällen von Streitigkeiten grenzüberschreitender Natur zwischen mehreren zuständigen Aufsichtsbehörden auch das Treffen einer verbindlichen Entscheidung durch den EDPB vorsieht (Art. 65 Abs. 1 lit. a) DS-GVO), um „die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen“. Eine solche Entscheidung hat der EDPB nun unter Einhaltung der erforderlichen 2/3-Mehrheit getroffen, wobei aufgrund der „Komplexität des Sachverhalts“ bereits die Verlängerung der hierfür vorgesehenen zweimonatigen Frist (Art. 65 Abs. 3 DS-GVO)in Anspruch genommen wurde.
Die Entscheidung selbst sowie die Begründung sind noch nicht veröffentlicht. Sie wird in Kürze der irischen DPA formell mitgeteilt werden. Unabhängig vom Ausgang der Entscheidung, ist aber die Tatsache, dass eine solche verbindliche Entscheidung von einem übergeordneten Gremium auf EU-Ebene zusammengesetzt aus nationalen Regulierern getroffen wurde, von (höherem) Informationsinteresse. Anders als viele andere Instrumente auf EU-Sekundärrechtsebene ist die DS-GVO nämlich eines der wenigen Regelungswerke, die das Marktortprinzip verbunden mit konkretisierten Kooperations- und Kohärenzmechanismen für den Bereich des Internets und der dort agierenden Plattformen zugrundlegt. Unabhängig davon, wie die Entscheidung des EDPB ausfällt, wird die irische DPC ihre Entscheidung gegenüber Twitter „unverzüglich und spätestens einen Monat, nachdem der EDPB seinen Beschluss mitgeteilt hat“ und „auf der Grundlage“ des genannten EDPB-Beschlusses treffen müssen (Art. 60 Abs. 6 DS-GVO). Durch diesen Mechanismus wird Behörden in anderen Mitgliedstaaten, deren Bürger ebenfalls von Datenschutzverstößen betroffen sind, die Möglichkeit gegeben, Einfluss zu nehmen, obwohl Plattformbetreiber (teils bewusst) einen anderen Niederlassungsstandort gewählt haben. Das ist vor allem deshalb interessant, weil Kohärenzmechanismen für Aufsichtsbehörden im Bereich Plattformregulierung auch im Hinblick auf die Bestrebungen der Europäischen Kommission im Zusammenhang mit dem Digital Services Act Package diskutiert werden. Ein vergleichbares Verfahren läuft im Übrigen auch gegen Facebook in Bezug auf den Betrieb von WhatsApp.
Die Pressemitteilung des EDPB ist abrufbar (englisch) unter
https://edpb.europa.eu/news/news/2020/edpb-adopts-first-art-65-decision_de