DSGVO - BDSG - TTDSG

418

Die DSGVO führt das Konzept der „federführenden Behörde“ ein, um die Zusammenarbeit zwischen Verantwortlichen (bzw. Auftragsverarbeitern) und Datenschutzaufsichtsbehörden zu erleichtern, indem für grenzüberschreitende Datenverarbeitungen im Hinblick auf die aufsichtsbehördliche Zuständigkeit das sog. „ One-Stop-Shop“-Verfahrenetabliert wird. Im Idealfall müssen sich multinational aufgestellte Unternehmen nur mit einer, nämlich der „federführenden Behörde“ auseinandersetzen und nicht mit sämtlichen nationalen Aufsichtsbehörden der Mitgliedstaaten, in denen sie personenbezogene Daten verarbeiten.773

419

Dies ist dann der Fall, sofern sie über eine „Hauptniederlassung“ i.S.d. Art. 4 Nr. 16 DSGVO verfügen. Die national für die Hauptniederlassung eines Unternehmens zuständige Aufsichtsbehörde ist dann als „ federführende Behörde“ unionsweit grundsätzlich alleinigzuständig (vgl. Art. 56 Abs. 2 DSGVO).774

420

Das Konzept der Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO kommt jedoch nur bei Vorlage einer grenzüberschreitenden Verarbeitungi.S.v. Art. 4 Nr. 23 DSGVO zum Tragen.

421

Der Begriff der Niederlassung wird in der DSGVO nicht legaldefiniert. ErwG 22 der DSGVO statuiert gleichwohl, dass eine Niederlassung sich dadurch auszeichnet, dass sie „eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraussetzt“.775

422

Für den Begriff der Niederlassung ist dabei gleichgültig, ob es sich dabei um eine bloße Zweigstelle des Verantwortlichen oder um eine (rechtlich unabhängige) Tochtergesellschaft handelt. Von dem gleichen Verständnisdes Niederlassungsbegriffs geht letztlich auch der EuGH aus.776 Sowohl ErwG 22 als auch die Aussagen des EuGH beziehen sich zwar jeweils auf den Kontext der Anwendbarkeit europäischen Datenschutzrechts. Nicht ersichtlich ist jedoch, dass dem Begriff der Niederlassung im vorliegenden Zusammenhang ein anderes Verständnis innewohnt. Demgemäß kann das Konzept der Hauptniederlassung nicht nur im Verhältnis zu unselbstständigen Niederlassungen, sondern auch innerhalb von Konzernstrukturen oder anderweitigen Unternehmensgruppen Anwendung finden.777

423

Gemäß Art. 4 Nr. 16 lit. a DSGVO i.V.m. ErwG 36 bestimmt sich die Hauptniederlassung eines Verantwortlichen (mit mehreren Niederlassungen innerhalb der EU) danach, an welchem Standort die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Hierbei wird vermutet, dass es sich dabei in der Regel um den Ort der Hauptverwaltung des Verantwortlichen bzw. innerhalb von Unternehmensgruppen um „die Hauptniederlassung des herrschenden Unternehmens“778 handelt. Sofern und soweit eine andere Niederlassung des Verantwortlichen in der Union diese Entscheidungen trifft und diese Niederlassung befugt ist, diese Entscheidungen umsetzen zu lassen, gilt diese Niederlassung als Hauptniederlassung.

424

ErwG 36 Satz 2 gibt eine Hilfestellung bei der Ermittlung der Hauptniederlassung, sofern das Kriterium des Sitzes der Hauptverwaltung nicht zur Anwendung kommt. Die Bestimmung der Hauptniederlassung soll nach objektiven Kriterienerfolgen. Dabei ist insbesondere die „effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden“, als Faktor heranzuziehen. Nicht maßgeblich ist hingegen, ob die Verarbeitung selbst auch an diesem Ort stattfindet. Auch „das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten“ sind zur Bestimmung der Hauptniederlassung weder begründend noch entscheidend.

425

Vor dem Hintergrund, dass die Hauptniederlassung danach zu bestimmen ist, wer über Zwecke und Mittelder Datenverarbeitung entscheidet, kann es sich dabei auch jeweils um den datenschutzrechtlich Verantwortlichen i.S.v. Art. 4 Nr. 7 DSGVO handeln.779 So richtet sich die Bestimmung des Verantwortlichen nach den gleichen Kriterien.780 Dies wird im Falle von rechtlich unselbstständigen Niederlassungen in aller Regel jedenfalls unproblematisch gegeben sein; Entsprechendes gilt, sofern (rechtlich selbstständige) Niederlassungen ihre Verantwortlichenstellung an die Hauptniederlassung delegieren.781 In Unternehmensgruppen (mithin insbesondere im Verhältnis zu rechtlichen selbstständigen Niederlassungen) wird dies jedoch oftmals nicht in einer derartigen Ausprägung vorliegen. Vielmehr entspricht es dem Regelfall in der Praxis, dass zwar in der Konzernspitze (oder auch einer anderen Niederlassung) übergeordnete Entscheidungen hinsichtlich der Verarbeitung von personenbezogenen Daten(zu bestimmten Zwecken und möglicherweise anhand bestimmter Mittel) getroffen werden, diese Einflussnahme jedoch keinen solchen Grad erreicht, der dazu führt, dass die ausführenden Tochtergesellschaften ihre Stellung als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO verlieren würden. Auch in solchen Fällen agiert die entscheidende Niederlassung hingegen als Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO (nicht jedoch als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO). Insofern genügt es, dass Letztere die relevanten (übergreifenden) unternehmenspolitischen Entscheidungenim Hinblick auf die Datenverarbeitung durch ihre Tochtergesellschaften trifft sowie befugt ist, „[...] diese Entscheidungen [im Bedarfsfall] umsetzen zu lassen“.782

426

Verantwortliche bestimmen ihre Hauptniederlassungen und damit die für sie zuständige federführende Behörde eigenständig.783 Insbesondere in dezentral aufgestellten Unternehmen bzw. Unternehmensgruppen kann es sich als schwierig erweisen, die Hauptniederlassung zu bestimmen oder nachzuvollziehen, wo Entscheidungen über die Zwecke und Mittel einer Datenverarbeitung getroffen werden. Diese Klassifizierung muss in jedem Fall den tatsächlichen Verhältnissenentsprechen und darf nicht bloß auf dem Papier existieren. Insofern muss die designierte Hauptniederlassung auch über die Zwecke und Mittel des jeweils in Frage stehenden Datenverarbeitungsverfahrens bestimmen können.784

427

Aufsichtsbehörden können die Benennung als Hauptniederlassung daher grundsätzlich in Frage stellen.785 Vor diesem Hintergrund sollten Verantwortliche daher stets diesbezüglich aussagefähig sein und eine entsprechende Dokumentation ihrer Hauptniederlassung(-en) vorweisen können. Sofern es zwischen betroffenen Aufsichtsbehörden zu Kompetenzstreitigkeiten kommen sollte, kann das Streitbeilegungsverfahrennach Art. 65 Abs. 1 lit. b DSGVO initiiert werden. Kernfrage eines solchen Verfahrens ist dabei, welche der Niederlassungen als Hauptniederlassung i.S.v. Art. 4 Nr. 16 zu klassifizieren ist;786 auf dieser tatsächlichen Feststellung aufbauend kann sodann die zuständige federführende Behörde bestimmt werden.

428

Innerhalb multinational aufgestellter Unternehmen bzw. Konzernstrukturen wird es kaum anzutreffen sein, dass sämtliche (grenzüberschreitende) Datenverarbeitungen zentral gesteuert werden. So kann es durchaus sein, dass zentralisiertwahrgenommene Aufgaben wie HR und Buchhaltung in der Hauptverwaltung für ein gesamtes Unternehmen wahrgenommen werden, während einzelne Niederlassungen lokale Datenverarbeitungsverfahren eigenständig(und eigenverantwortlich) durchführen. Vor diesem Hintergrund muss die Hauptniederlassung grundsätzlich für jedes einzelne Datenverarbeitungsverfahren gesondert bestimmt werden.787