Einrichtung und Zuständigkeit der Aufsichtsbehörden

Art. 51 Abs. 1 DSGVO sieht vor, dass in jedem Mitgliedstaat eine oder mehrere unabhängige Aufsichtsbehörden für die Überwachung der Anwendung dieser Verordnung eingerichtet sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird. EG 117 sieht dabei ausdrücklich vor, dass die Mitgliedstaaten auch mehr als eine Aufsichtsbehörde errichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. Die Einrichtung der Aufsichtsbehörden regelt jeder Mitgliedstaat nach Landesrecht.

In Deutschland ist als Datenschutzaufsichtsbehörde des Bundes der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit eingerichtet. Für die einzelnen Bundesländer sind Datenschutzaufsichtsbehörden der Länder (in Bayern getrennt für den öffentlichen und den privaten Bereich) eingerichtet. Zusätzlich sind Datenschutzbeauftragte der Religionsgemeinschaften und für die Rundfunkanstalten Rundfunkdatenschutzbeauftragte eingerichtet. Eine Übersicht dazu findet sich ohne Anspruch auf Vollständigkeit unter:

https://www.datenschutzkonferenz-online.de/datenschutzaufsichtsbehoerden.html

Art. 51 Abs. 2 DSGVO enthält den ausdrücklichen Auftrag, einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union zu leisten. Zu diesem Zweck ist für die Zusammenarbeit der Aufsichtsbehörden untereinander sowie mit der Kommission in Kapitel VII (Zusammenarbeit und Kohärenz) ein konkretes Verfahren geregelt.

Art. 52 DSGVO regelt in der bisherigen Weise die Unabhängigkeit der Aufsichtsbehörden und sieht zu diesem Zweck vor, dass jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen unterliegt und weder um Weisung ersucht noch Weisungen entgegennimmt. Zur Wahrung ihrer Neutralität und Unabhängigkeit sehen die Mitglieder der Aufsichtsbehörde von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Einzelheiten zur Einrichtung der Aufsichtsbehörden und zu den Bedingungen für die Mitglieder (Beschäftigten) der Aufsichtsbehörden sind in den Art. 53 und 54 DSGVO geregelt.

Zuständigkeit

Die Zuständigkeit der Aufsichtsbehörde ist in Art. 55 und 56 DSGVO geregelt. Als Grundsatzvorschrift bestimmt Art. 55 Abs. 1 DSGVO, dass jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist. Lt. EG 122 sollte dies insbesondere für die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats, die Verarbeitung personenbezogener Daten durch Behörden oder private Stellen, die im öffentlichen Interesse handeln, Verarbeitungstätigkeiten, die Auswirkungen auf betroffene Personen in ihrem Hoheitsgebiet haben, oder Verarbeitungstätigkeiten eines Verantwortlichen oder Auftragsverarbeiters ohne Niederlassung in der Union gelten, sofern sie auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet ausgerichtet sind. Dies sollte auch die Bearbeitung von Beschwerden einer betroffenen Person, die Durchführung von Untersuchungen über die Anwendung dieser Verordnung sowie die Förderung der Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließen.

Damit ergibt sich eine Zuständigkeit der Aufsichtsbehörde für den Datenschutz auch dann, wenn zwar der Verantwortliche oder der Auftragsverarbeiter nicht in der Union niedergelassen ist, aber eine außerhalb der Union durchgeführte Verarbeitung auf Personen mit Wohnsitz im Zuständigkeitsbereich der Aufsichtsbehörde ausgerichtet ist. Abgestellt wird hier einerseits auf den Wohnsitz, der in der EU liegen muss, und darauf, dass die Verarbeitung auf diese Personen ausgerichtet ist, d. h. diese Personen durch die Verarbeitung auch angesprochen werden.

Von der Zuständigkeit ausgenommen ist die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen. Damit wird der Unabhängigkeit der Gerichte Rechnung getragen.

Art. 51 Abs. 2 DSGVO enthält den ausdrücklichen Auftrag, einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union zu leisten. Dieser Auftrag kommt insbesondere bei grenzüberschreitenden Datenverarbeitungen zum Tragen. Art. 56 Abs. 1 DSGVO bestimmt bei grenzüberschreitenden Verarbeitungen, dass die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters die zuständige und federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung sein soll (One-Stop-Shop-Prinzip).

Lt. EG 124 soll die federführende Aufsichtsbehörde mit den anderen betroffenen Behörden zusammenarbeiten, wenn der Verantwortliche oder Auftragsverarbeiter eine Niederlassung im Hoheitsgebiet ihres Mitgliedstaats hat, die Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet hat oder weil bei ihnen eine Beschwerde eingelegt wurde. Auch wenn eine betroffene Person ohne Wohnsitz in dem betreffenden Mitgliedstaat eine Beschwerde eingelegt hat, sollte die Aufsichtsbehörde, bei der Beschwerde eingelegt wurde, auch eine betroffene Aufsichtsbehörde sein. Eine Ausnahme vom One-Stop-Shop-Prinzip sieht Art. 56 Abs. 2 DSGVO dann vor, wenn der Gegenstand nur mit einer Niederlassung zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt. In diesen Fällen ist die jeweilige nationale Aufsichtsbehörde, auch wenn sie nicht die federführende Aufsichtsbehörde ist, dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen. In diesen Fällen unterrichtet aber diese Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Diese entscheidet innerhalb einer Frist von drei Wochen nach der Unterrichtung, ob sie sich mit dem Fall befasst oder nicht. Befasst sich die federführende Aufsichtsbehörde mit dem Vorgang, regelt sich die weitere Zusammenarbeit und Abstimmung zwischen den Aufsichtsbehörden nach Art. 60 DSGVO.

Das One-Stop-Shop-Prinzip gilt gem. Art. 55 Abs. 2 DSGVO nicht, wenn die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Art. 6 Abs. 1 Buchstabe c DSGVO (Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen) oder Art. 6 Abs. 1 Buchstabe e DSGVO (Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde) erfolgt. In diesen Fällen findet Art. 56 keine Anwendung und es ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig.

Der Begriff der „grenzüberschreitenden Verarbeitung“ ist in Art. 4 Nr. 23 DSGVO definiert und zwar als

„1. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist,

oder

2. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.“

Damit sind zwei verschiedene Fallgestaltungen der grenzüberschreitenden Verarbeitung denkbar, und zwar:

1. Es bestehen innerhalb der Union in mehreren Staaten Niederlassungen eines Verantwortlichen und es erfolgt eine grenzüberschreitende Datenverarbeitung in mehreren Niederlassungen (z. B. bei Konzernstrukturen und Unternehmensgruppen: lt. Art. 4 Nr. 19 DSGVO eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht)

oder:

2. Es besteht innerhalb der Union nur eine einzelne Niederlassung, die grenzüberschreitend Daten erhebt und mit Auswirkungen auf betroffene Personen in mehreren Mitgliedstaaten verarbeitet (z. B. bei Onlinehändlern).

Die Hauptniederlassung ist in Art. 4 Nr. 16 DSGVO wie folgt definiert:

„1. im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat der Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;

2. im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat der Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt.“

Erwägungsgrund 36 DSGVO bestimmt zum Standort der Hauptniederlassung und der Hauptverwaltung des Verantwortlichen:

„Die Hauptniederlassung des Verantwortlichen in der Union sollte der Ort seiner Hauptverwaltung in der Union sein, es sei denn, dass Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen in der Union getroffen werden; in diesem Fall sollte die letztgenannte als Hauptniederlassung gelten. Zur Bestimmung der Hauptniederlassung eines Verantwortlichen in der Union sollten objektive Kriterien herangezogen werden; ein Kriterium sollte dabei die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung sein, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden. Dabei sollte nicht ausschlaggebend sein, ob die Verarbeitung der personenbezogenen Daten tatsächlich an diesem Ort ausgeführt wird. Das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten begründen an sich noch keine Hauptniederlassung und sind daher kein ausschlaggebender Faktor für das Bestehen einer Hauptniederlassung. Die Hauptniederlassung des Auftragsverarbeiters sollte der Ort sein, an dem der Auftragsverarbeiter seine Hauptverwaltung in der Union hat, oder – wenn er keine Hauptverwaltung in der Union hat – der Ort, an dem die wesentlichen Verarbeitungstätigkeiten in der Union stattfinden.

Sind sowohl der Verantwortliche als auch der Auftragsverarbeiter betroffen, so sollte die Aufsichtsbehörde des Mitgliedstaats, in dem der Verantwortliche seine Hauptniederlassung hat, die zuständige federführende Aufsichtsbehörde bleiben, doch sollte die Aufsichtsbehörde des Auftragsverarbeiters als betroffene Aufsichtsbehörde betrachtet werden und diese Aufsichtsbehörde sollte sich an dem in dieser Verordnung vorgesehenen Verfahren der Zusammenarbeit beteiligen. Auf jeden Fall sollten die Aufsichtsbehörden des Mitgliedstaats oder der Mitgliedstaaten, in dem bzw. denen der Auftragsverarbeiter eine oder mehrere Niederlassungen hat, nicht als betroffene Aufsichtsbehörden betrachtet werden, wenn sich der Beschlussentwurf der federführenden Aufsichtsbehörde (Anm.: siehe Art. 60 Abs. 3 DSGVO) nur auf den Verantwortlichen bezieht. Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt.“

Die Hauptniederlassung ist damit für Verantwortliche und für Auftragsverarbeiter etwas unterschiedlich definiert. Für Verantwortliche ist der Ort der Hauptverwaltung maßgebend. Eine andere Niederlassung gilt nur dann als Hauptverwaltung in diesem Sinne, wenn in der anderen Niederlassung die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Ausdrücklich sollte nicht ausschlaggebend sein, ob die Verarbeitung der personenbezogenen Daten tatsächlich an diesem Ort ausgeführt wird. Anders beim Auftragsverarbeiter. Wenn in der Union keine Hauptverwaltung eingerichtet ist, ist für die Bestimmung des Ortes der Hauptverwaltung der Ort in der Union ausschlaggebend, an dem die wesentlichen Verarbeitungstätigkeiten stattfinden.

Sind in mehreren Mitgliedstaaten der Europäischen Union Unternehmen niedergelassen, die einem, oft außerhalb der EU ansässigen, Konzern angehören, ist häufig für eine bestimmte Region, z. B. Mittel-, Ost-, Südeuropa oder Skandinavien, ein herrschendes Unternehmen bestimmt. Werden konzernweit neue Verfahren eingeführt, geschieht dies häufig in der Weise, dass die Verfahren zuerst am Stammsitz des Konzerns eingeführt und dann schrittweise in den einzelnen Regionen in der EU ausgerollt werden. Bisher waren die Zulässigkeit und datenschutzrechtliche Einzelfragen nach dem jeweiligen mitgliedstaatlichen Datenschutzrecht zu beurteilen. Dies konnte dazu führen, dass ein Verfahren in einem Mitgliedstaat als zulässig beurteilt und eingeführt wurde, aber in einem anderen, häufig in der BRD, unter dem strengeren Regime des BDSG a. F. auf Vorbehalte stieß. Unter dem Regime der DSGVO tritt eine grundsätzliche Änderung ein, weil dann EU-weit einheitliche Anforderungen und Maßstäbe anzulegen sind. Allerdings ist auch jetzt nicht ausgeschlossen, dass die Zulässigkeit eines Verarbeitungsverfahrens in einzelnen Gesellschaften eines Konzerns innerhalb der EU unterschiedlich beurteilt wird und auch die Aufsichtsbehörden teilweise unterschiedliche Auffassungen vertreten, die einer Abstimmung bedürfen.

Soweit zur Klärung von Zulässigkeitsfragen eine Abklärung mit den Datenschutzaufsichtsbehörden vorgenommen werden soll, sollte deshalb diese Abklärung von Anfang an und einheitlich für alle konzernangehörigen Unternehmen innerhalb der EU über die federführende Aufsichtsbehörde vorgenommen werden. Will ein Konzern ein Verfahren einführen, von dem mehrere Mitgliedstaaten innerhalb der EU betroffen sind bzw. mit dem eine grenzüberschreitende Datenverarbeitung vorgenommen werden soll, ist der Konzern gut beraten, zuerst für die betroffenen Niederlassungen bzw. Gesellschaften in der EU die herrschende Gesellschaft bzw. bei einer Gliederung in mehrere Regionen über die herrschenden Gesellschaften die federführende Aufsichtsbehörde zu ermitteln und über diese eventuelle Datenschutzfragen abzuklären. Die federführende Aufsichtsbehörde führt dann nach dem in den Art. 63 ff. DSGVO vorgeschriebenen Kohärenzverfahren eine mit den übrigen beteiligten Aufsichtsbehörden abgestimmte Position herbei, die dann für alle Gesellschaften des Konzerns innerhalb der EU gültig ist.