DS-GVO/BDSG. David Klein
Читать онлайн книгу.
oder Auftragsverarbeiters. Insofern sind die inhaltlichen Bezüge zu Art. 4 Nr. 7, 8 und 16 zu beachten.[673] Ferner ist hinsichtlich des Begriffs des Unternehmens und der Unternehmensgruppe in Art. 4 Nr. 20 auf Art. 4 Nr. 18[674] und 19[675] zu verweisen.
310
Diese internen Datenschutzvorschriften stellen letztlich Regelungen zum Schutz personenbezogener Daten im Hinblick auf Datenübermittlungen in Drittländer dar, zu deren Einhaltung sich ein in der EU niedergelassener Verantwortlicher oder Auftragsdatenverarbeiter verpflichtet.[676] Insofern erlauben diese internen Regelungen dem Verantwortlichen oder Auftragsverarbeiter personenbezogene Daten auch dann an ein verbundenes Unternehmen in einem Drittland zu übermitteln, wenn dieses nicht über ein der DS-GVO entsprechendes Datenschutzniveau verfügt. Die verbundenen Unternehmen werden so zu Maßnahmen zum Schutz personenbezogener Daten verpflichtet.[677]
311
Folglich können interne Datenschutzvorschriften als geeignete Garantien nach Art. 46 Abs. 1[678] Datenübermittlungen in Drittländer ohne ein der DS-GVO entsprechendes angemessenes Datenschutzniveau rechtfertigen, wenn die Voraussetzungen des Art. 47 Abs. 1 und 2 vorliegen.[679] Dazu müssen die Datenschutzvorschriften insbesondere rechtlich bindend sein und die inhaltlichen Anforderungen des Kataloges des Art. 47 Abs. 2 erfüllen.[680]
312
Interne Datenschutzvorschriften können somit eine Rechtsgrundlage für die Übermittlung personenbezogener Daten liefern und stellen eine Form der regulierten Selbstregulierung[681] dar. Denn die Verantwortlichen oder Auftragsverarbeiter erstellen für verbundene Unternehmen selbstständig inhaltliche Vorgaben zum Datenschutz, wobei sich diese Vorgaben an der DS-GVO orientieren und über die Aufsichts- und Sanktionsbefugnisse der DS-GVO einer Kontrolle unterliegen.[682]
313
Ausweislich ErwG 110 soll jede Unternehmensgruppe oder jede Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, für ihre internationalen Datenübermittlungen aus der Union an Organisationen derselben Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, genehmigte verbindliche interne Datenschutzvorschriften anwenden dürfen, sofern diese sämtliche Grundprinzipien der durchsetzbaren Rechte enthalten, die geeignete Garantien für die Übermittlungen bzw. Übermittlungen von Kategorien personenbezogener Daten bieten.
314
Damit sind nicht nur Konzerne vom Anwendungsbereich der verbindlichen internen Datenschutzvorschriften erfasst, bei denen die Unternehmen zueinander in einem Abhängigkeitsverhältnis stehen, sondern auch Unternehmensverbände, die kein derartiges Abhängigkeitsverhältnis aufweisen. [683] Ausreichend ist dabei eine gemeinsame Wirtschaftstätigkeit. Erfasst sind in praktischer Hinsicht damit auch freiwillige Zusammenschlüsse privater Unternehmen wie Joint Ventures oder Arbeitsgemeinschaften.[684]
XXII. Art. 4 Nr. 21: Aufsichtsbehörde
315
Art. 4 Nr. 21 definiert die Aufsichtsbehörde als eine von einem Mitgliedstaat gem. Art. 51 eingerichtete und unabhängige Stelle. Die Überwachung der Verarbeitung durch eine solche Stelle ist bereits in Art. 8 GRCh verankert und auch in Art. 16 AEUV vorgesehen. Die DSRL verwendete noch den Begriff Kontrollstelle, den sie aber nicht selbst definierte. In § 38 BDSG a.F. fand sich bereits der Begriff Aufsichtsbehörde, war aber dort nicht definiert.
316
Der Begriff Aufsichtsbehörde ist zentral für die Kapitel VI und VII DS-GVO. Da Art. 4 Nr. 21 nur auf Art. 51 verweist, enthält die Norm keine eigentliche Definition der Aufsichtsbehörde. Insofern gibt Art. 51 Abs. 1 die wirkliche Legaldefinition der Aufsichtsbehörde vor. Danach ist die Aufsichtsbehörde eine von einem Mitgliedstaat eingerichtete unabhängige staatliche Stelle.[685] Jeder Mitgliedstaat sieht hiernach vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung der DS-GVO zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird.
317
Wer Aufsichtsbehörde ist, bestimmt sich nach nationalem Recht. Aktuell sind dies in Deutschland die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), die Landesdatenschutzbeauftragten der Länder und in Bayern für den nichtöffentlichen Bereich zusätzlich das Landesamt für Datenschutzaufsicht.[686]
318
Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt der Mitgliedstaat – wie in § 17 Abs. 1 S. 1 BDSG zugunsten der/des BfDI geschehen – die Aufsichtsbehörde, die die Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Art. 63 einhalten.[687]
XXIII. Art. 4 Nr. 22: Betroffene Aufsichtsbehörde
319
Art. 4 Nr. 22 nennt drei Tatbestände hinsichtlich des Begriffs der „betroffenen Aufsichtsbehörde“: Danach ist eine betroffene Aufsichtsbehörde, eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil:
| – | der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaates dieser Aufsichtsbehörde niedergelassen ist (Art. 4 Nr. 22 lit. a), |
| – | diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder (Art. 4 Nr. 22 lit. b), |
| – | eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde (Art. 4 Nr. 22 lit. c). |
320
Aus dem Wortlaut des Art. 4 Nr. 22 („oder“) folgt, dass sobald einer der Tatbestände vorliegt, die Aufsichtsbehörde „betroffen“ ist.[688]
321
Der Begriff der „betroffenen Aufsichtsbehörde“ wurde im Gesetzgebungsverfahren durch den Rat im Zusammenhang mit der Überarbeitung des Verfahrens zur Zusammenarbeit und Kohärenz nach Art. 60[689]