5
Apr
2017
Starttaste Computer

EU-DSGVO: Bedeutung und Bestimmung der zuständigen federführenden Aufsichtsbehörde

One-Stop-Shop und dessen Bedeutung

Mit der Einführung der DSGVO schafft die EU erstmals eine zentrale Anlaufstelle für das Datenschutzrecht bei grenzüberschreitender Datenverarbeitung (One-Stop-Shop). Dies soll europaweit tätigen Unternehmen den Kontakt mit den Aufsichtsbehörden erleichtern. Dieser Beitrag stellt die Änderungen kurz und prägnant vor. Er zeigt die Chancen dieser Neuregelung für die Unternehmenspraxis auf.

Für europaweit agierende Unternehmen kann die Bestimmung der jeweils zuständigen Aufsichtsbehörde in der Praxis große Bedeutung haben:

Je nachdem, welche Aufsichtsbehörde zuständig ist, kann sich gegebenenfalls der Umfang der einzuhaltenden datenschutzrechtlichen Verpflichtungen ändern. Durch eine Vielzahl von Öffnungsklauseln in der DSGVO haben die einzelnen Mitgliedsstaaten große Freiräume für die Ausgestaltung des jeweiligen Datenschutzniveaus.

Zusätzlich zu der gegebenenfalls anderen Gesetzeslage, variiert erfahrungsgemäß auch die Auslegung der den Aufsichtsbehörden gegebenen Ermessensspielräume. Angesichts der nach der DSGVO möglichen drastischen Strafen, sollten Unternehmen gerade die Sanktionspraxis der zuständigen Aufsichtsbehörde im internen Risikomanagement mit berücksichtigen.

Bestimmung der zuständigen federführenden Aufsichtsbehörde

Die Zuständigkeit der Aufsichtsbehörde richtet sich künftig gemäß Art. 56 DSGVO regelmäßig nach der Hauptniederlassung des Unternehmens. Welche Niederlassung als Hauptniederlassung zu sehen ist, regelt Art. 4 Nr. 16 DSGVO. Entscheidend ist danach nicht, an welchem Ort die Verarbeitung der Daten tatsächlich stattfindet. Maßgeblich ist vielmehr, in welcher Niederlassung die effektive und tatsächliche Ausübung von Managementtätigkeiten stattfindet, in deren Rahmen Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden.

Lässt sich keine Hauptniederlassung identifizieren, ist weiterhin jede Aufsichtsbehörde am jeweiligen Ort einer Datenverarbeitung zuständig. Dies bedeutet für den Konzern im Vergleich zu einer einheitlichen Anlaufstelle einen deutlich höheren Aufwand. Insbesondere globale Konzerne, bei denen alle Grundsatzentscheidungen auch über mögliche Datenverarbeitungen von der Konzernmutter außerhalb der EU getroffen werden, profitieren somit nicht ohne weiteres von der Neuerung.

Als Praxishilfe für die gegebenenfalls komplizierte Bestimmung der zuständigen Aufsichtsbehörde, hat die Art. 29-Datenschutzgruppe Ende letzten Jahres ein Arbeitspapier veröffentlicht (WP 244 – Guidelines for identifying a controller or processor’s lead supervisory authority). Die Art. 29-Datenschutzgruppe ist das zentrale Koordinationsorgan der nationalen Datenschutzbehörden der EU. Ihre Aufgaben werden ab dem 25. Mai 2018 von der Europäischen Datenschutzkommission übernommen.

In diesem Arbeitspapier stellte die Art. 29-Datenschutzgruppe zunächst klar, dass das One-Stop-Shop Prinzip lediglich für grenzüberschreitende Datenverarbeitungen gilt. Für Datenverarbeitungen an einem festen Standort oder innerhalb eines Mitgliedsstaates bleibt weiterhin die örtliche Aufsichtsbehörde zuständig.

Weiterhin schlägt die Art. 29-Datenschutzgruppe vor, dass der Verantwortliche zunächst selbst die Aufsichtsbehörde bestimmen soll. Diese Entscheidung könne gegebenenfalls nachträglich von den Aufsichtsbehörden angegriffen werden. Dieser Vorschlag gibt europaweit tätigen Unternehmen eine spannende Möglichkeit an die Hand, die Entscheidung über die zuständige Aufsichtsbehörde zu beeinflussen. Sollte die Festlegung durch das Unternehmen gut begründet sein, steht es kaum zu erwarten, dass die Aufsichtsbehörden die Entscheidung später tatsächlich angreifen.

Fazit

Das mit der DSGVO neu eingeführte One-Stop-Shop Prinzip ist ein wichtiger Schritt hin zur Vereinheitlichung der Datenschutzpraxis. International tätigen Unternehmen und Konzernen kann dies die dringend benötigte Rechtssicherheit bei der Datenverarbeitung bieten. Denn eine Anpassen des internen Datenschutzmanagements an die teilweise abweichenden Vorgaben einzelner nationaler Aufsichtsbehörden ist nicht mehr erforderlich. Durch den One-Stop-Shop erhalten Konzerne dahingehend Planungssicherheit, dass die Vorgaben und Auskünfte der zuständigen Behörde für die gesamte EU-Zone gelten.

Negativ an den Regelungen in Art. 56 DSGVO ist, dass sie komplizierter sind, als es auf den ersten Blick erscheint. Besonders die Definition des Begriffs “Hauptniederlassung” kann in der Praxis für Schwierigkeiten sorgen. Dadurch kann die Bestimmung der zuständigen Aufsichtsbehörde für ein Unternehmen oder für eine Unternehmensgruppe gegebenenfalls kompliziert und zeitintensiv sein. Wenn Unternehmen nicht verlässlich die für sie relevante Hauptniederlassung bestimmen können, sollten sie ihr Datenschutzmanagement weiterhin auf alle Aufsichtsbehörden in Ländern, in denen sie tätig sind, ausrichten.

Gegebenenfalls sollten Unternehmen auch in Betracht ziehen, zur rechtssicheren Festlegung einer bestimmten zuständigen Aufsichtsbehörde die Datenschutzstrukturen zu zentralisieren und auf eine bestimmte Niederlassung zu konzentrieren. So können Unternehmen frühzeitig sicherstellen, dass sie von den positiven Effekten des One-Stop-Shop Prinzips profitieren. Ein solches zentrales Datenschutzmanagement kann gegebenenfalls auch die Kostenstruktur positiv beeinflussen.

Um das One-Stop-Shop Prinzip bestmöglich für sich zu nutzen, sollten gerade europaweit tätige Unternehmen bereits im Rahmen des Projekts zur Umsetzung der Anforderungen der DSGVO prüfen, welche Aufsichtsbehörde für sie als zuständige federführende Aufsichtsbehörde zuständig ist und ob es hier ggf. Spielräume gibt, die Zuständigkeit einer besonders geeigneten Behörde herbeizuführen. Eine frühzeitige entsprechende Ausrichtung der Datenschutzmanagementstrukturen an die Anforderungen der jeweiligen Behörde kann Unternehmen gegebenenfalls später unnötigen Verwaltungsaufwand ersparen.