DS-GVO/BDSG. David Klein
Читать онлайн книгу.
Die Haftungsbestimmungen der DS-GVO bleiben hierdurch unberührt.[627]
274
Zudem ist der Bezug zu Art. 3[628] von Bedeutung. Denn die DS-GVO findet nur Anwendung, soweit die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer in der Union befindlichen Niederlassung stattfindet. Insofern ist der Begriff der Niederlassung für den räumlichen Anwendungsbereich der DS-GVO entscheidend.
2. Hauptniederlassung des Verantwortlichen
275
Die maßgebliche Regelung zur Hauptniederlassung des Verantwortlichen findet sich in Art. 4 Nr. 16 lit. a Hs. 1. Danach liegt im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat die Hauptniederlassung am Ort der Hauptverwaltung in der Union. Dies gilt allerdings nach Art. 4 Nr. 16 lit. a Hs. 2 nicht, wenn die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen getroffen werden.
276
In diesem Falle ist also abweichend von Art. 4 Nr. 16 lit. a Hs. 1 die Niederlassung, die diese Entscheidungen trifft, als Hauptniederlassung zu qualifizieren.[629] Dies stellt insbesondere ErwG 36 S. 1 klar: Bei Verantwortlichen ist als Hauptniederlassung diejenige Niederlassung anzusehen, an der tatsächlich die Entscheidungen über Zweck und Mittel der Verarbeitung getroffen werden, sofern diese Entscheidungen für den Verantwortlichen insgesamt wirksam sind und auch durchgesetzt werden können.[630] Zur Bestimmung der Hauptniederlassung eines Verantwortlichen müssen also objektive Kriterien herangezogen werden, wobei ein Kriterium die effektive und tatsächliche Ausübung von Managementtätigkeit durch eine feste Einrichtung ist, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden (ErwG 36 S. 2). Dabei sollte indes nicht entscheidend sein, ob die Verarbeitung der personenbezogenen Daten auch tatsächlich an diesem Ort durchgeführt wird. Denn das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten begründen an sich noch keine Hauptniederlassung und sind daher kein ausschlaggebender Faktor (ErwG 36 S. 3 und 4). Insofern ergibt sich aus den ErwG selbst eine klare Leitlinie für die Prüfung hinsichtlich des Vorhandenseins einer Hauptniederlassung. Insgesamt ist daher der tatsächliche Geschäfts- und Tätigkeitsschwerpunkt hinsichtlich der Datenverarbeitung i.S. e. flexiblen Betrachtungsweise im o.g. Sinne maßgeblich.[631]
277
Die DS-GVO befasst sich nicht spezifisch mit der Frage, welche Niederlassung als Hauptniederlassung i.S.d. Art. 4 Nr. 16 gilt, falls zwei oder mehr in der EU Niedergelassene gemeinsam für die Datenverarbeitung verantwortlich sind. In einem solchen Fall ist nach dem Ansatz des Art. 4 Nr. 16 diejenige Niederlassung zu ermitteln, die befugt ist die Entscheidungen über Zwecke und Mittel der Datenverarbeitung für alle gemeinsam Verantwortlichen umzusetzen. Um die Vorteile des Verfahrens der Zusammenarbeit in vollem Umfang nutzen zu können und Transparenz zu gewährleisten, sollten gemeinsam Verantwortliche daher festlegen, welche entscheidungsbefugte Niederlassung eines gemeinsam Verantwortlichen diese Befugnis haben soll.[632] Diese gilt dann als die für die Datenverarbeitung im Namen der gemeinsam Verantwortlichen zuständige Hauptniederlassung.
278
Gleichwohl kann es, unabhängig von der Anzahl der Verantwortlichen, vorkommen, dass unterschiedliche Niederlassungen jeweils autonome Entscheidungen hinsichtlich verschiedener grenzüberschreitender Verarbeitungstätigkeiten treffen, somit verschiedene Entscheidungszentren existieren. In einem solchen Fall gibt es nach dem Ansatz des Art. 4 Nr. 16 mehrere Hauptniederlassungen, was dazu führt, dass mehrere Aufsichtsbehörden federführend für jeweils unterschiedliche Tätigkeiten sind.[633]
279
In praktischer Hinsicht folgt aus den Erwägungen zur Bestimmung der Hauptniederlassung, dass etwa eine „Briefkastenfirma“ zwar Niederlassung, allerdings nicht Hauptniederlassung sein kann.[634] Darüber hinaus kommt es auch nicht auf den Serverstandort an. Dies ist insbesondere vor dem Hintergrund relevant, dass international agierende Unternehmen und „Internet-Giganten“ sich nicht durch die Wahl eines „geeigneten“ Serverstandortes der Geltung der Anforderungen der DS-GVO entziehen können sollen. Gleichwohl bleibt es in der Praxis den Unternehmen überlassen, welcher Niederlassung sie die Grundsatzentscheidungen überlassen. Insofern werden Serverstandorte zwar ausgeklammert, gleichwohl eröffnet sich ein Missbrauchsrisiko dahingehend, dass Unternehmen ihren tatsächlichen Tätigkeitsschwerpunkt selbst wählen und damit die Geltung von Art. 4 Nr. 16 lit. a letztlich doch beeinflussen können.[635] Gleichwohl lässt sich die fehlende Entscheidungskompetenz der zuständigen Aufsichtsbehörde durch eine Änderung der Hauptniederlassung nicht mehr begründen. Vielmehr bleibt die anfängliche Zuständigkeit der Aufsichtsbehörde in diesem Fall erhalten.[636]
3. Hauptniederlassung des Auftragsverarbeiters
280
Nach Art. 4 Nr. 16 lit. b ist die Hauptniederlassung des Auftragsverarbeiters bei mehreren Niederlassungen ebenfalls der Ort der Hauptverwaltung. Insofern ist aber zu beachten, dass die Bestimmung der Hauptniederlassung des Auftragsverarbeiters nicht nach den Kriterien gem. Art. 4 Nr. 16 lit. a erfolgen kann, weil der Auftragsverarbeiter in diesem Sinne grundsätzlich keine Grundsatzentscheidungen trifft. Andernfalls wäre er Verantwortlicher.[637] Folglich ist der Schwerpunkt der wesentlichen Verarbeitungstätigkeiten entscheidend. Insofern ist daher auch eine flexible und kontextbezogene Betrachtungsweise ausschlaggebend, so dass sich der Prüfungskatalog des Art. 4 Nr. 16 lit. a im Wesentlichen im Rahmen der Feststellung der Hauptniederlassung des Auftragsverarbeiters wiederholt. Dies ergibt sich bereits aus ErwG 36 S. 5.
281
Hat der Auftragsverarbeiter keine Hauptverwaltung in der EU, so gilt nach Art. 4 Nr. 16 lit. b Hs. 2 als Hauptniederlassung die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeit im Rahmen der Tätigkeiten einer Niederlassung eines Auftraggebers hauptsächlich stattfinden. Dies gilt aber nur, soweit der Auftragsverarbeiter den spezifischen Pflichten der DS-GVO unterliegt. Letztlich ist damit gemeint, dass in diesem Falle bei der Bestimmung der Hauptniederlassung nur die Verarbeitungen zu berücksichtigen sind, die der Auftragsverarbeiter gerade in dieser Eigenschaft vornimmt. Hat also ein Unternehmen keine Hauptniederlassung in der Union, nimmt aber Verarbeitungstätigkeiten für einen Auftraggeber wahr, so wird diese Niederlassung als Hauptniederlassung angesehen.[638]
282
Darüber hinaus enthält ErwG 36 S. 6 eine Regelung für den Fall, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter von aufsichtsbehördlichen Beschlussmaßnahmen betroffen sind. In diesem Fall soll die Aufsichtsbehörde des Landes, in dem der