Haben Beschlüsse von Aufsichtsbehörden an die Allgemeinheit eigentlich Verbindlichkeit?

VonPhilipp Kramer

Der EuGH (10.02.2026, C 97/23 P, WhatsApp gegen EDSA) hat die Verbindlichkeit von EDSA-Beschlüssen geregelt.

Kurz gesagt für die Praxis
Nicht jedes Papier vom Europäischen Datenschutzausschuss (EDSA/EDPA) oder der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ist rechtlich verbindlich wie ein Bescheid. Viele dieser Dokumente sind aber faktisch ein Maßstab bei Prüfungen. Entscheidend ist zudem die Unterscheidung zwischen verbindlichen Entscheidungen und allgemeinen Auslegungshilfen.
 
Worum geht es?
Im Datenschutzalltag erscheinen regelmäßig neue Leitlinien, Stellungnahmen, Beschlüsse oder Orientierungshilfen. Sie klingen oft nach klaren Regeln. Rechtlich und praktisch ist die Wirkung jedoch unterschiedlich.
 
Europäischen Datenschutzausschuss = Orientierung und Einzelfallbindung
Der EDSA veröffentlicht Leitlinien, Empfehlungen und Stellungnahmen als Einrichtung der Datenschutzbehörden in den Mitgliedstaaten der Europäischen Union. Das sind häufig Auslegungshilfen. Sie sind also meist nicht unmittelbar verbindlich, doch prägen sie das, was die Aufsichtsbehörden erwarten. Weiter zeigen sie die Argumente, an denen sich Datenschutzbewertungen messen lassen müssen.
 
Daneben gibt es wirklich verbindliche Beschlüsse, die Streitbeilegungsbeschlüsse nach Art. 65 DSGVO in grenzüberschreitenden Fällen. Sie binden die beteiligten Behörden und bereiten den nationalen Endbescheid quasi vor. Hier setzt das EuGH-Urteil vom 10.02.2026 (C 97/23 P, WhatsApp gegen EDSA Beschluss) an: Ein solcher EDSA-Streitbeilegungsbeschluss kann eine anfechtbare Maßnahme der Behörde sein und ein Unternehmen kann unmittelbar betroffen sein. Ein solcher EDSA-Beschluss ist nicht nur ein interner Zwischenschritt, sondern kann unter Umständen direkt vor dem EuGH überprüft werden.
 
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
DSK-Beschlüsse und Orientierungshilfen sind abgestimmte Positionen deutscher Datenschutzaufsichtsbehörden. Sie sind praktisch bedeutsam, weil sie vorwegnehmen, wie die Bundes- und Landesdatenschutzbehörden vorgehen. Typischerweise sind sie kein Verwaltungsakt gegenüber Unternehmen. Die ist er mit der konkreten Maßnahme der jeweiligen Datenschutzbehörde gegeben.
 
Was ist zu tun, wenn ein neues Behördenpapier erscheint?
Dieser Ablauf passt für Unternehmen und Behörden gleichermaßen.
– Inhalt kurz erfassen
– Dokumenttyp einordnen
– Orientierungspapier oder verbindliche Einzelfallentscheidung?
– Rechtsfolgen prüfen
– Maßnahmen ableiten
– Interne Adressaten ermitteln und intern kommunizieren


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert