Art.-29-Datenschutzgruppe: „Hauptniederlassung“ und „federführende Behörde“ bestimmt

Die Art.-29-Datenschutzgruppe hat beschlossen, anhand welcher Faktoren aus ihrer Sicht künftig die Bestimmung der „Hauptniederlassung“ und  der „federführende Behörde“ erfolgen soll. Wir fassen die Auswirkungen auf die Datenschutz-Grundverordnung (DSGVO) und alles Wissenswerte zusammen.

Stellungnahme der Art.-29-Datenschutzgruppe: Nähere Begriffsbestimmung

Die Art.-29-Datenschutzgruppe, das Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, hat am 13. Dezember 2016 in einer Stellungnahme beschlossen, anhand welcher Faktoren die „Hauptniederlassung“ eines Verantwortlichen beziehungsweise Auftragsverarbeiters zu bestimmen sind und wie sich die Zuständigkeiten zwischen der im Einzelfall „federführenden“ und den übrigen nationalen Aufsichtsbehörden verteilen.

Mit der Datenschutz-Grundverordnung (DSGVO) werden die beiden Konzepte der „Hauptniederlassung“ sowie der „federführenden Behörde“ eingeführt. Dies soll die Zusammenarbeit zwischen Verantwortlichen (sowie Auftragsverarbeitern) und Datenschutzaufsichtsbehörden erleichtern, indem für grenzüberschreitende Datenverarbeitungen im Hinblick auf die aufsichtsbehördliche Zuständigkeit ein sogenanntes „One-Stop-Shop“-Verfahren etabliert wird. Im Idealfall müssen sich multinational aufgestellte Unternehmen nur mit einer, nämlich der „federführenden Behörde“ auseinandersetzen und nicht mit sämtlichen nationalen Aufsichtsbehörden der Mitgliedstaaten, in denen sie personenbezogene Daten verarbeiten. Dies ist dann der Fall, sofern sie über eine „Hauptniederlassung“ i.S.d. Art. 4 Ziff. 16 DSGVO verfügen. Die national für die Hauptniederlassung eines Unternehmens zuständige Aufsichtsbehörde ist dann als „federführende Behörde“ unionsweit alleinig zuständig.

1. Bestimmung der „Hauptniederlassung“: Im Falle eines Verantwortlichen

Gemäß Art. 4 Ziff. 16a DSGVO i.V.m. Erwägungsgrund 36 zur DSGVO bestimmt sich die „Hauptniederlassung“ eines Verantwortlichen (mit mehreren Niederlassungen innerhalb der EU) danach, an welchem Standort die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Hierbei wird gesetzlich vermutet, dass es sich dabei in der Regel um den Ort der Hauptverwaltung des Verantwortlichen handelt. Sofern und soweit eine andere Niederlassung des Verantwortlichen in der Union diese Entscheidungen trifft und diese Niederlassung befugt ist, diese Entscheidungen umsetzen zu lassen, gilt diese Niederlassung als „Hauptniederlassung“. Gemäß Erwägungsgrund 36 zur DSGVO ist dabei irrelevant, an welchem Ort die Datenverarbeitung letztlich stattfindet.

Aus Erwägungsgrund 22 zur DSGVO lässt sich dabei herauslesen, dass es bei dem Begriff der Niederlassung gleichgültig ist, ob es sich dabei um eine bloße Zweigstelle des Verantwortlichen oder um eine (rechtlich unabhängige) Tochtergesellschaft handelt (so auch EuGH, GRUR 2014, 895, 898 – Google Spain). Diese Aussagen erfolgen zwar jeweils im Kontext der Anwendbarkeit europäischen Datenschutzrechts. Nicht ersichtlich ist jedoch, dass dem Begriff der Niederlassung im vorliegenden Zusammenhang ein anderes Verständnis innewohnt. Demgemäß kann das Konzept der „Hauptniederlassung“ auch innerhalb von Konzernstrukturen oder anderweitigen Unternehmensgruppen und nicht nur im Verhältnis zu (rechtlich unselbstständigen) Zweigestellen Anwendung finden.

Innerhalb multinational aufgestellter Unternehmen beziehungsweise Konzernstrukturen wird es jedoch kaum anzutreffen sein, dass sämtliche (grenzüberschreitenden) Datenverarbeitungen zentral gesteuert werden. So kann es durchaus sein, dass zentralisiert wahrgenommene Aufgaben wie HR und Buchhaltung in der Hauptverwaltung für eine Unternehmensgruppe wahrgenommen werden, während einzelne Niederlassungen lokale Datenverarbeitung eigenständig (und eigenverantwortlich) durchführen. Diesen Umstand stellt auch die Art.-29-Datenschutzgruppe heraus und statuiert diesbezüglich: Die Hauptniederlassung müsse grundsätzlich für jeden einzelnen Datenverarbeitungsprozess gesondert bestimmt werden.

Mit anderen Worten führt dies dazu, dass die Hauptverwaltung eines Unternehmens nicht autokratisch für sämtliche unternehmensweite Datenverarbeitungen im Unternehmen als „Hauptniederlassung“ anzusehen ist, sondern nur in Bezug auf solche Datenverarbeitungen, deren Zwecke und Mittel sie auch bestimmt. Soweit eine andere Niederlassung des Unternehmens diese Entscheidungen bezüglich eines bestimmten Datenverarbeitungsvorgangs trifft, ist die Hauptverwaltung im Hinblick auf diese Verarbeitung nicht als Hauptniederlassung anzusehen.

Eine „Hauptniederlassung“ im Sinne des Gesetzes kann jedoch nur dann vorliegen, wenn eine innerhalb der EU ansässige Niederlassung über die Zwecke und Mittel einer Datenverarbeitung entscheidet. Sofern diese Entscheidungen gänzlich außerhalb der EU getroffen werden, findet das „One-Stop-Shop“-Verfahren keine Anwendung; der im Drittland ansässige Verantwortliche muss sich demnach potenziell mit sämtlichen nationalen Aufsichtsbehörden auseinandersetzen.

2. Bestimmung der „Hauptniederlassung“: Im Falle eines Auftragsverarbeiters

Ebenfalls multinational aufgestellte Auftragsverarbeiter können sich auf die Hauptniederlassungs-Regelung berufen. Art. 4 Ziff. 16b DSGVO bestimmt dabei, dass der Sitz der Hauptverwaltung des Auftragsverarbeiters in der EU stets auch als dessen „Hauptniederlassung“ anzusehen ist. Wenn die Hauptverwaltung des Auftragsverarbeiters sich außerhalb der EU befindet, gilt die Niederlassung (innerhalb der EU) als „Hauptniederlassung“, in der die jeweiligen Verarbeitungstätigkeiten hauptsächlich stattfinden.

3. Bestimmung der „federführenden Behörden“: Grundsatz der alleinigen Zuständigkeit

Soweit eine „Hauptniederlassung“ anhand der zuvor beschriebenen Kriterien für eine bestimmte Datenverarbeitung festzustellen ist, ist gemäß Art. 56 Abs. 1 DSGVO für diese Datenverarbeitung im Grundsatz ausschließlich die „federführende Behörde“ zuständig. Ihr obliegt alleinig die Aufsicht der unionsweit von der jeweiligen „Hauptniederlassung“ gesteuerten Datenverarbeitungen. Denen für die gesteuerten Niederlassungen eigentlich territorial zuständigen, nationalen Aufsichtsbehörden wird für diese Datenverarbeitung die originäre Zuständigkeit entzogen.

Gemäß Art. 60 DSGVO ist die „federführende Behörde“ jedoch dazu angehalten, sich mit im Einzelfall anderen „betroffenen“ Aufsichtsbehörden abzustimmen. Eine Aufsichtsbehörde ist gemäß Art. 4 Ziff. 22 DSGVO unter anderem dann „betroffen“, wenn die jeweils in Rede stehende Datenverarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann.

Soweit im Einzelfall die von der „Hauptniederlassung“ gesteuerte Datenverarbeitung ausschließlich mit einer in einem anderen Mitgliedstaat ansässigen Niederlassung zusammenhängt und sich dort lediglich lokal auswirkt, etwa wenn eine Marketingmaßnahme sich ausschließlich an Personen in einem Mitgliedstaat richtet, kann die jeweils nationale Aufsichtsbehörde sich zuständig erklären. Dies setzt jedoch voraus, dass sie die „federführende Behörde“ in Kenntnis setzt und Letztere entscheidet, das Verfahren nicht an sich zu ziehen (vgl. Art. 56 Abs. 2-4 DSGVO).

4. Organisatorische Gestaltungsmöglichkeiten: Ein Fazit

  • Die Verteilung von Entscheidungskompetenzen bezüglich des Umgangs mit personenbezogenen Daten innerhalb eines Unternehmens oder Konzerns wird damit zur organisatorischen Gestaltungsaufgabe. Durch eine bewusste Zuweisung beziehungsweise Konzentrierung der datenschutzrechtlichen Verantwortlichkeit bei der Hauptverwaltung lässt sich die Zusammenarbeit mit Datenschutzaufsichtsbehörden deutlich vereinfachen, indem sich der Verantwortliche nur nach den nationalen Gepflogenheiten der für ihn „federführenden Behörde“ orientieren muss.
  • Da die Abstimmung mit Datenschutzaufsichtsbehörden in den meisten Fällen im Dialog und weniger über administrative Rechts- beziehungsweise Zwangsmittel erfolgt, ist ferner zu erwarten, dass dies zu einer Verbesserung der Gesprächskultur führen wird.
  • Die Möglichkeiten der Bestimmung einer „Hauptniederlassung“ stellt auch die Art.-29-Datenschutzgruppe in den Vordergrund, statuiert jedoch gleichermaßen, dass eine solche Zuweisung auch gelebt werden muss. Das heißt, dass Entscheidungskompetenzen nicht lediglich auf dem Papier existieren dürfen. Insofern obliegt den Unternehmen eine entsprechende Nachweispflicht. Vor diesem Hintergrund sollten Unternehmen auf eine entsprechende Dokumentierung sowohl der Verantwortlichkeiten als auch der letztlich getroffenen Entscheidungen achten.

Wenn Sie Fragen zu „Hauptniederlassung“, „federführenden Behörde“ oder anderen Datenschutzthemen haben, wenden Sie jederzeit gerne an einen unserer Experten.

Tobias Rothkegel
Geposted von Tobias Rothkegel

Tobias Rothkegel ist Rechtsanwalt in unserem Büro in Hamburg. Der Schwerpunkt seiner Tätigkeit liegt im IT- und Datenschutzrecht. Hierbei berät er sowohl führende Unternehmen als auch Start-ups im Digital-Business-Sektor.

Kommentieren

Pflichtfelder sind markiert*