Datenschutz C-97/23 P - WhatsApp Ireland / Europäischer Datenschutzausschuss

  • Die Klage von WhatsApp Ireland gegen den verbindlichen Beschluss 1/2021 des Europäischen Datenschutzausschusses ist zulässig

    Da dieser Beschluss eine anfechtbare Handlung darstellt, die dieses Unternehmen unmittelbar betrifft, hebt der Gerichtshof den Beschluss des Gerichts auf und verweist die Rechtssache zur Entscheidung in der Sache an das Gericht zurück.

    Der Gerichtshof stellt fest, dass ein verbindlicher Beschluss des Europäischen Datenschutzausschusses (EDSA), mit dem eine Streitigkeit zwischen mehreren nationalen Aufsichtsbehörden darüber beigelegt wird, ob ein für die Verarbeitung Verantwortlicher gegen die Datenschutz-Grundverordnung (DSGVO) 1 verstoßen hat und gegebenenfalls die Abhilfemaßnahmen, die ihm auferlegt werden sollen, abzuändern sind, eine vor den Gerichten der Union anfechtbare Handlung darstellt. Dieser verbindliche Beschluss stammt nämlich von einer Einrichtung der Union und soll Rechtswirkungen gegenüber Dritten entfalten. Darüber hinaus entscheidet der Gerichtshof im vorliegenden Fall, dass die WhatsApp Ireland Ltd (im Folgenden: WhatsApp) von dem streitigen Beschluss des EDSA unmittelbar betroffen ist. Da die Nichtigkeitsklage von WhatsApp zulässig ist, das Gericht der Europäischen Union jedoch noch nicht in der Sache entschieden hat, hebt der Gerichtshof den Beschluss des Gerichts auf und verweist die Sache an das Gericht zurück.

    Nach dem Inkrafttreten der DSGVO gingen bei der irischen Aufsichtsbehörde, der Data Protection Commission, Beschwerden von Nutzern und Nichtnutzern des Messengerdienstes „WhatsApp“ in Bezug auf die Verarbeitung personenbezogener Daten durch dieses Unternehmen ein. Die irische Aufsichtsbehörde leitete im Dezember 2018 von Amts wegen eine allgemeine Untersuchung über die Einhaltung der Transparenz- und Informationspflichten durch WhatsApp gegenüber Privatpersonen ein.

    Im Dezember 2022 legte die irische Aufsichtsbehörde allen betroffenen nationalen Aufsichtsbehörden einen Beschlussentwurf vor, um ihre Stellungnahmen dazu einzuholen2 . Da über bestimmte Punkte dieses Entwurfs kein Konsens erzielt werden konnte, befasste sie den EDSA. Dieser sollte die Streitigkeit zwischen den betroffenen Aufsichtsbehörden beilegen und zu den Fragen, die Gegenstand maßgeblicher und begründeter Einsprüche waren, Stellung nehmen.

    Der EDSA erließ einen für alle betroffenen Aufsichtsbehörden verbindlichen Beschluss3 , nämlich den Beschluss 1/2021, in dem er u. a. einen Verstoß gegen bestimmte Vorschriften der DSGVO feststellte und die irische Aufsichtsbehörde dazu verpflichtete, die geplanten Abhilfemaßnahmen, einschließlich der Höhe der Geldbußen, zu ändern. Auf dieser Grundlage erließ die irische Aufsichtsbehörde ihren endgültigen Beschluss, der an WhatsApp gerichtet war und mit dem sie gegen WhatsApp insbesondere Geldbußen in Höhe von insgesamt 225 Millionen Euro verhängte.

    WhatsApp erhob gegen den Beschluss des EDSA eine Nichtigkeitsklage beim Gericht4 . Mit seinem Beschluss vom 7. Dezember 20225 wies das Gericht diese Klage jedoch als unzulässig ab und begründete dies damit, dass der Beschluss des EDSA keine anfechtbare Handlung sei und WhatsApp von diesem Beschluss nicht unmittelbar betroffen sei. Nach Ansicht des Gerichts handelte es sich bei dem Beschluss des EDSA lediglich um eine Zwischenmaßnahme, und WhatsApp könne nur den endgültigen Beschluss der irischen Aufsichtsbehörde vor einem nationalen Gericht anfechten. WhatsApp legte daraufhin gegen den Beschluss des Gerichts ein Rechtsmittel beim Gerichtshof ein.

    In seinem heutigen Urteil stellt der Gerichtshof fest, dass der Beschluss des EDSA sehr wohl eine vor den Unionsgerichten anfechtbare Handlung darstellt. Denn dieser Beschluss ist eine Handlung, die von einer Einrichtung der Union stammt und für Dritte, d. h. im vorliegenden Fall für die federführende irische Aufsichtsbehörde und alle anderen betroffenen Aufsichtsbehörden, verbindlich ist. Darüber hinaus legt dieser Beschluss endgültig die Position dieser Einrichtung fest und behandelt alle ihr vorgelegten Fragen erschöpfend. Daher kann ein solcher Beschluss nicht als eine Zwischenmaßnahme angesehen werden, die nicht mit einer Klage anfechtbar ist.

    Darüber hinaus stellt der Gerichtshof fest, dass WhatsApp von diesem Beschluss unmittelbar betroffen war, da er die Rechtslage dieses Unternehmens in qualifizierter Weise geändert hat, ohne den Adressaten einen Ermessensspielraum zu lassen. Dieser Beschluss ist für die betroffenen Aufsichtsbehörden nämlich unbedingt verbindlich, insbesondere hinsichtlich der Feststellung eines Verstoßes gegen bestimmte Vorschriften der DSGVO, und diese Behörden können das Ergebnis nicht abändern.

    Die Klage von WhatsApp wird daher für zulässig erklärt, und der Beschluss des Gerichts wird aufgehoben. Der Gerichtshof verweist die Sache an das Gericht zurück, damit dieses in der Sache entscheidet, einschließlich der Frage, ob WhatsApp gegen die betreffenden Bestimmungen der DSGVO verstoßen hat.

    EuGH-Urteil in der Rechtssache C-97/23 P | WhatsApp Ireland / Europäischer Datenschutzausschuss | 10. Febr 2026 | EuGH PM 11/2026

    LogIn zum Volltext

    __________________________________

    1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
    2 Gemäß Art. 60 Abs. 3 DSGVO.
    3 Nach Art. 65 Abs. 1 DSGVO.
    4 Nach Art. 263 AEUV.
    5 Beschluss vom 7. Dezember 2022, WhatsApp Ireland/Europäischer Datenschutzausschuss T-709/21 (vgl. auch Pressemitteilung - EuGH PM 196/2022).

    E-Learning Datenschutz

    Datenschutz praktische Lektion

    [product='14'][/product]

1. Kernaussage

Ein verbindlicher Beschluss des Europäischen Datenschutzausschusses (EDSA) ist eine anfechtbare Handlung im Sinne von Art. 263 AEUV. Unternehmen wie WhatsApp können ihn direkt vor den Unionsgerichten angreifen, wenn sie unmittelbar betroffen sind.

2. Sachverhalt

  • Beschwerden gegen WhatsApp wegen DSGVO-Verstößen (Transparenzpflichten).
  • Irische Datenschutzbehörde leitete Verfahren und legte Beschlussentwurf vor.
  • Uneinigkeit zwischen nationalen Behörden → Einschaltung des EDSA.
  • EDSA erließ verbindlichen Beschluss (u. a. zu Verstößen und Bußgeldern).
  • Irische Behörde setzte diesen um → Bußgeld (225 Mio. €).
  • WhatsApp klagte direkt gegen den EDSA-Beschluss.
  • Gericht der EU: Klage unzulässig (kein anfechtbarer Akt).
  • WhatsApp legte Rechtsmittel ein.

3. Entscheidung des EuGH

  • Der EuGH hebt die Entscheidung des Gerichts auf.
  • Die Klage ist zulässig.
  • Die Sache wird zur Entscheidung in der Sache an das Gericht zurückverwiesen.

4. Begründung

a) Anfechtbare Handlung

  • Der EDSA-Beschluss:
    • stammt von einer EU-Einrichtung
    • ist verbindlich
    • entfaltet Rechtswirkungen gegenüber Dritten
  • Daher: kein bloßer Zwischenakt, sondern anfechtbar.

b) Unmittelbare Betroffenheit

  • Der Beschluss:
    • legt verbindlich fest, dass ein DSGVO-Verstoß vorliegt
    • zwingt die nationalen Behörden zu bestimmten Maßnahmen
  • Diese haben kein Ermessen mehr → unmittelbare Betroffenheit von WhatsApp.

c) Keine bloße Vorbereitungsmaßnahme

  • Der Beschluss bestimmt die Entscheidung inhaltlich vollständig vor.
  • Nationale Umsetzung ist nur noch formaler Vollzug.

5. Praktische Bedeutung

  • Stärkt den Rechtsschutz gegen EU-Agenturen und Gremien (hier: EDSA).
  • Klärt: Auch „interne Koordinationsentscheidungen“ können direkt anfechtbar sein.
  • Wichtig für:
    • Datenschutzrecht (DSGVO-Verfahren)
    • Nichtigkeitsklage (Art. 263 AEUV)
    • Abgrenzung: vorbereitender Akt vs. verbindliche Entscheidung
  • Nichtigkeitsklage (Art. 263 AEUV)
    👉 Wann ist ein Akt anfechtbar?
    → wenn er verbindliche Rechtswirkungen erzeugt
  • Abgrenzung: Zwischenakt vs. anfechtbarer Akt
    👉 Kein Zwischenakt, wenn die Entscheidung inhaltlich bereits feststeht
    → zentraler Klausurklassiker
  • Unmittelbare Betroffenheit
    👉 Liegt vor, wenn
    • kein Umsetzungsspielraum besteht
    • und die Rechtsposition direkt verändert wird
  • Mehrstufige Verwaltungsverfahren (DSGVO)
    👉 EU-Gremium (EDSA) + nationale Behörde
    → wichtig für Zuständigkeits- und Rechtsschutzfragen
  • Rechtsschutz gegen EU-Agenturen
    👉 Auch „koordinierende“ EU-Gremien können überprüfbar sein

Kurz-Merksatz

👉 Ein EU-Beschluss ist anfechtbar, wenn er die Entscheidung der nationalen Behörden verbindlich vorprägt und keinen Spielraum mehr lässt.

juristi.kon

[product='7'][/product]

Lateinisches Rechtswörterbuch

A // B // C // D // E // F // G // H // I // K // L // M // N // O // P // Q // R // S // T // U // V // W

Urteile nach Stichworten:Gesetze und Verordnungen:Fachbegriffe nach Rechtsgebieten
Arbeitsrecht, Asylrecht, BGB AT, Banken Versicherung Zahlungsdienste, Datenschutz, Erbrecht, Europarecht, Familienrecht, Filesharing, Gebrauchtwagen, Gesellschaftsrecht,
Gewerblicher Rechtsschutz, Kaufrecht, Medienrecht, Mietrecht, Öffentliches Recht, Presserecht, Reiserecht, Sachenrecht, Schuldrecht, Sozialrecht, Strafrecht, Steuerrecht, Urheberrecht, Verfassungsrecht, Verkehrsrecht, Verwaltungsrecht, Wettbewerbsrecht, Zivilrecht, Zivilprozessrecht		AGG, ArbZG, BDSG, BGB, BGG, BUrlG, EU-Charta, DMA, DSA, DSG M-V, DSGVO, DSGVO-ErwG, EMRK, FamFG, Fluggastrechte-VO, GG, HGB, KSchG, KUG, LPartG, MarkenG, NetzDG, PatG, RVG, SchulDSVO M-V, SchulG M-V, SGB VIII, StGB, StPO, TKG, TMG, TTDSG, UrhG, UWG, ZPOArbeitsrecht, BGB AT, Banken Versicherung Zahlungsdienste,
Datenschutz, Erbrecht, Europarecht, Familienrecht, Gesellschaftsrecht, Gewerblicher Rechtsschutz, Kaufrecht, Mietrecht, Öffentliches Recht, Reiserecht, Sachenrecht, Schuldrecht, Sozialrecht, Strafrecht, Verfassungsrecht, Verkehrsrecht, Verwaltungsrecht, Zivilrecht, Zivilprozessrecht
ZAP-Hosting Gameserver für Minecraft