Hauptniederlassung und federführende Aufsichtsbehörde

Hauptniederlassung und federführende Aufsichtsbehörde

Sie wollen gleich zum relevanten Teil des Textes springen? Dann klicken Sie auf die Unterkapitel in der Inhaltsangabe:

Zurück zur Themenseite DSGVO-Compliance im Unternehmen: Ein detaillierter Praxisleitfaden.

In diesem Unterabschnitt behandeln wir: Die DSGVO führt den Begriff einer „Hauptniederlassung“ innerhalb von Unternehmensgruppen ein. Der Ort der „Hauptniederlassung“ soll für die Bestimmung der Zuständigkeit der „federführenden Aufsichtsbehörde“ gemäß Art. 56 DSGVO maßgeblich sein. Das heißt die vorherrschend zuständige Aufsichtsbehörde im Falle von grenzüberschreitenden Verarbeitungen innerhalb einer Unternehmensgruppe. Was das genau bedeutet, erläutern wir hier.

Anwendbare Vorschriften der Datenschutz-Grundverordnung (DSGVO)

Gemäß Art. 4 Nr. 16a DSGVO bedeutet „Hauptniederlassung„:

[…] im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidung umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung.

Im Zusammenhang mit der Definition der Hauptniederlassung präzisiert Erwägungsgrund 36, dass:

[…] Zur Bestimmung der Hauptniederlassung eines Verantwortlichen in der Union sollten objektive Kriterien herangezogen werden; ein Kriterium sollte dabei die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung sein, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden.

und

[…] Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt.

Auslegung und weitere Erläuterungen

Firmenhauptsitze repräsentieren regelmäßig aber nicht automatisch die Hauptniederlassung für jede Verarbeitungstätigkeit innerhalb der jeweiligen Unternehmensgruppe, nur weil sie als Muttergesellschaft gelten. Die potenzielle Rolle einer Muttergesellschaft als „Hauptniederlassung“ muss vielmehr für jeden Einzelfall der Datenverarbeitungstätigkeit individuell beurteilt werden. Hierfür finden dieselben Kriterien wie für die Bestimmung der Funktion als Verantwortlicher Anwendung – das heißt: Festlegung der Zwecke und Mittel der Verarbeitung.

Deshalb kann:

  • jede Gesellschaftsgruppe für eine konkrete Datenverarbeitungstätigkeit als Hauptniederlassung infrage kommen,
  • vorausgesetzt, sie legt allein die Zwecke und Mittel fest – und handelt somit als einziger Verantwortlicher der besagten Tätigkeit – oder
  • gemeinsam mit einer anderen Unternehmensgruppe wie im vorgenannten Sinne, zum Beispiel indem sie die Grundsatzentscheidungen hinsichtlich der Verarbeitung trifft.

Somit kann eine Unternehmensgruppe im datenschutzrechtlichen Sinne durchaus mehr als nur eine Hauptniederlassung besitzen.

Was bedeutet das für Sie: Die konkrete To-do-Liste

So bestimmen Sie die Hauptniederlassung und die federführende Aufsichtsbehörde:

  • Verifizieren Sie, dass in mehreren EU-Mitgliedstaaten Unternehmensniederlassungen bestehen.
  • Entscheiden Sie über eine zentrale Festlegung von Zwecken und Mitteln durch eine Niederlassung mit Wirkung auch für andere Niederlassungen.
  • Beachten Sie, dass diese Festlegungen pro Verarbeitungsverfahren gelten (können).
  • Prüfen Sie, welche Aufsichtsbehörde bestenfalls federführende Aufsichtsbehörde sein sollte.
  • Bei der Beurteilung und (Neu-)Zuweisung der datenschutzrechtlichen Verantwortung zwischen Gesellschaften sollte bedacht werden, dass der Verantwortliche bei grenzüberschreitenden Verarbeitungen auch als Hauptniederlassung auftreten kann.
  • Werden Sie aktiv: Entscheidung Sie über eine zentralisierte Verantwortlichkeit, um eine Hauptniederlassung einzuführen.

Lesen Sie zu diesem Thema auch:

Zurück zur Übersicht DSGVO-Compliance im Unternehmen: Ein detaillierter Praxisleitfaden.

Dr. Flemming Moos
Geposted von Dr. Flemming Moos

Dr. Flemming Moos ist auf das Datenschutz- und IT-Recht spezialisiert und berät seit über 15 Jahren nationale und internationale Unternehmen der Technologieindustrie sowie deren Kunden.

Kommentieren

Pflichtfelder sind markiert*