Datenschutz-Grundverordnung und der One Stop Shop

Fachbeitrag

Das LDA Bayern hat kürzlich eine Handreichung zum Thema One Stop Shop (OSS) herausgegeben. Dies ist für uns Grund genug, uns auch einmal näher mit der Thematik auseinander zu setzen und Ihnen ein paar Denkanstöße für noch offenen Fragen zu geben. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung

Art. 56 Abs. 1 DSGVO

Wie wir bereits in unserem Artikel EU-Datenschutz-Grundverordnung – Die Rolle der Aufsichtsbehörden dargestellt haben, kommt es insbesondere bei den deutschen Aufsichtsbehörden zu erheblichen Veränderungen im Aufgabenbereich, dem Aufbau und der Organisation. Ein wesentliches Element bildet hier Art. 56 Abs. 1, 6 DSGVO.

Probleme bei Überschreiten von Grenzen

In der Praxis haben wir Datenschutzbeauftragte häufig damit zu kämpfen, dass die Rechtsauffassung mehrerer betroffener Datenschutzaufsichtsbehörden teilweise erheblich differiert, was die tägliche Arbeit, insbesondere beim Angebot von Internetdienstleistungen und im Umfeld international tätiger Konzerne, nicht gerade erleichtert. Dieses Problem scheint auch die DSGVO erkannt zu haben und führt mit Art. 56 Abs. 1 DSGVO das Prinzip des One Stop Shop bei grenzüberschreitenden Datenverarbeitungen ein.

Was bedeutet One Stop Shop?

Nach Art. 56 Abs. 6 DSGVO ist bei grenzüberschreitender Datenverarbeitung die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datentransfers/ -verarbeitungen künftig nur noch einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben werden, auf dessen Aussagen sie sich dann auch verlassen dürfen.

Was sind die Voraussetzungen?

Für die Anwendung des Art. 56 Abs. 1 DSGVO bedarf es des Vorliegens dreier Voraussetzungen

  • Vorliegen einer grenzüberschreitenden Datenverarbeitung
  • Feststellung der federführenden Aufsichtsbehörde anhand der (Haupt-)Niederlassung
  • Ein Verantwortlicher

Grenzüberschreitende Datenverarbeitung

Der Begriff der „Grenzüberschreitenden Datenverarbeitung“ wird in Art. 4 Nr. 23 DSGVO legal definiert. Diese liegt in zwei Fällen vor:

  • Verarbeitung im Rahmen der Tätigkeit von Niederlassungen des Verantwortlichen / Auftragsverarbeiters in mehr als einem Mitgliedstaat;

oder

  • Verarbeitung im Rahmen der Tätigkeit einer einzelnen Niederlassung eines Verantwortlichen / Auftragsverarbeiters in der EU, die jedoch erhebliche Auswirkungen auf Betroffene in mehr als einem Mitgliedsstaat hat oder haben kann.

Dies wird durch Art. 56 Abs. 2 DSGVO noch einmal bestätigt, der festlegt, dass es nur im Falle von Beschwerden über Datenverarbeitungen, die eine bestimmte Niederlassung in einem Mitgliedsstaat betreffen, oder bei denen ausschließlich Bürger eines bestimmten Mitgliedsstaates betroffen sind, bei der Zuständigkeit der örtlichen Datenschutzaufsichtsbehörde verbleibt. Hierin dürfte allerdings auch eine Durchbrechung des One Stop Shop zu sehen sein, nämlich in den Fällen, in denen eine Aufsichtsbehörde nach einer Beschwerde zu dem Schluss gelangt, dass die Verarbeitung sich ausschließlich auf diesen Mitgliedsstaat auswirkt. In diesem Falle käme es zu einem auseinanderfallen des OSS, mit der Folge, dass es zur Zuständigkeit mehrerer Aufsichtsbehörden kommen könnte. Dies sollte durch Einführung des One Stop Shop jedoch gerade verhindert werden.

Hauptniederlassung

Die Feststellung der Federführenden Aufsichtsbehörde wird gem. Art. 56 Abs. 1 DSGVO am Sitz der sog. Hauptniederlassung orientiert. Auch dieser Begriff wird in Art. 4 Nr. 16 DSGVO legal definiert:

Hauptniederlassung

  1. im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;
  2. im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt.

Problemfelder

Das vorgenannte klingt zunächst so klar und einfach. Allerdings gibt es einige Fallstricke, die in der Praxis beachtlich sein dürften:

Abstellung auf einzelnen Verarbeitungsfall

Nach Auffassung des BayLDA ist bei der Beurteilung der Hauptniederlassung allerdings regelmäßig auf den einzelnen Verarbeitungsfall abzustellen. So ist häufig die Hauptverwaltung eines Verantwortlichen oder Auftragsverarbeiters gleichzeitig die Hauptniederlassung. Allerdings kann es auch einmal zu einem Auseinanderfallen dieser Stellung kommen, wenn die eigentlichen Festlegungen der Verarbeitungszwecke und Mittel durch eine andere Niederlassung erfolgen. Dies hat zur Folge, dass einzelne Verarbeitungsvorgänge jeweils nur durch eine Aufsichtsbehörde beurteilt werden, aber die Summe der Verarbeitungsvorgänge der Beurteilung unterschiedlicher Aufsichtsbehörden unterfallen wird. Dies dürfte die praktische Umsetzung nicht gerade erleichtern.

Datenverarbeitung eines Verantwortlichen oder Auftragsverarbeiters

Zu beachten ist zudem, dass die Anwendbarkeit des Art. 56 Abs. 1 DSGVO seinem Wortlaut nach auf die grenzüberschreitende Datenverarbeitung eines Verantwortlichen oder Auftragsverarbeiters abstellt. Dies sind zunächst mit Sicherheit die Fälle zu sehen, in denen z.B. ein Unternehmen einen europaweit abrufbaren Onlinedienst bereitstellt oder über unselbständige Niederlassungen Daten verarbeiten lässt. Problematischer wird diese Beurteilung allerdings bereits, wenn eine Datenverarbeitung durch mehrere selbständige Niederlassungen erfolgt. Hier stellen einige Stimmen in der Literatur darauf ab, ob die verarbeitenden Niederlassungen Zweck und Mittel der Datenverarbeitung selbst bestimmen und beherrschen können. In diesem Falle dürften sie selbst als Verantwortliche im Sinne der DSGVO zu sehen sein, so dass auch in Fällen der Datenverarbeitung durch Niederlassungen nicht generell der One Stop Shop anwendbar sein dürfte.

Anwendung auf Konzerne

Schließlich stellt sich hier die Frage, ob der Begriff der Niederlassung weit gefasst werden kann und damit neben den typischen (selbständige und unselbständigen) Niederlassungen auch selbständige Unternehmen eines Konzernverbundes gefasst werden können. Gerade in diesen Fällen dürfte ein erhebliches Maß an Verlässlichkeit und Rechtssicherheit für die datenschutzrechtliche Praxis nicht zu verachten sein. Konzerne fallen unter dem Begriff der Unternehmensgruppe im Sinne des Art. 4 Nr. 19 DSGVO. Die Einzelunternehmen stellen auch nach dem Willen der Datenschutz-Grundverordnung eigene Verantwortliche Stelle dar. Daher dürfte eine Ausweitung des OSS auf den Bereich der Konzerne prinzipiell nicht möglich sein.

Empfehlung der Artikel-29-Datenschutzgruppe

Nach Auffassung der Artikel-29-Datenschutzgruppe kommt es bei der Anwendung des Art. 56 Abs.1 Nr. 2 DSGVO im Wesentlichen darauf an, wann erhebliche Auswirkungen auf die Betroffenen mehrerer Mitgliedsstaaten „substantially affects“ gegeben sind.

Hierzu führt die Art.-29-Gruppe in ihrem Working Paper 244 „Guidelines for identifying a controller or processor’s lead supervisory authority” vom 13.12.2016 aus:

The fact that a data processing operation may involve the processing of a number – even a large number – of individuals’ personal data, in a number of Member States, does not necessarily mean that the processing has, or is likely to have, a substantial effect. […] Supervisory Authorities will interpret ‘substantially affects’ on a case by case basis.  We will take into account the context of the processing, the type of data, the purpose of the processing and factors such as whether the processing:

  • causes, or is likely to cause,
  • damage, loss or distress to individuals;
  • has, or is likely to have, an actual effect in terms of limiting rights or denying an opportunity;
  • affects, or is likely to affect individuals’ health, well – being or peace of mind;
  • affects, or is likely to affect individuals’ financial or economic status or circumstances;
  • leaves individuals open to discrimination or unfair treatment;
  • involves the analysis of the special categories of personal or other intrusive data, particularly the personal data of children;
  • causes, or is likely to cause individuals to change their behaviour in a significant way;
  • has unlikely, unanticipated or unwanted consequences for individuals;
  • creates embarrassment or other negative outcomes, including reputational damage; or
  • involves the processing of a wide range of personal data.

Dies dürfte eine verlässliche vorherige Beurteilung für Unternehmen nicht gerade erleichtern.

Um die sog. lead supervisory authority nach den Vorstellungen der Art.-29-Gruppe zu ermitteln, enthält das WP 244 als Annex einen Fragebogen, der die Ergebnisfindung erleichern soll.

Fazit

Auch wenn die Regelung des Art. 56 Abs. 6 DSGVO auf den ersten Blick eine Vereinfachung für die Datenschutzpraxis zu bieten scheint, zeigt ein Einblick in die damit zusammenhängenden Fragen, dass in vielen Fällen ein auseinanderfallen der Zuständigkeiten zu erwarten ist. Die Anwendung des Art. 56 Abs. 6 DSGVO dürfe jedenfalls nicht so einfach und eindeutig sein, wies dies auf den ersten Eindruck vermuten lässt.

Die Zukunft wird zeigen, wie sich der One Stop Shop weiter gestalten lässt um auch einen klaren Mehrwert für die Praxis zu schaffen.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

Ein Kommentar zu diesem Beitrag

  1. Es bleibt interessant zu sehen, wie sich das Ganze in der Praxis darstellt und wie die Aufsichtsbehörden tatsächlich mit dem One Stop Shop umgehen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.