DS-GVO/BDSG. David Klein
Читать онлайн книгу.
Aufsichtsbehörden nicht daran hindert, an für Sie ebenfalls relevanten Sachverhalten mitzuwirken.[691]
322
Da die DSRL ein derartiges Verfahren nicht kannte, enthielt sie den durch die DS-GVO eingeführten Begriff der „betroffenen Aufsichtsbehörde“ nicht.[692] Weil im Zuge der Einführung des Verfahrens nach Art. 60 im Entwurf der Kommission die Alleinzuständigkeit der Aufsichtsbehörde der Hauptniederlassung bei mehreren Niederlassungen in der Union vorgesehen war[693], ist der Begriff der „betroffenen Aufsichtsbehörde“ eng mit dem One-Stop-Shop-Prinzip[694] verknüpft.[695]
1. Niederlassung im Hoheitsgebiet der Aufsichtsbehörde (Art. 4 Nr. 22 lit. a)
323
Nach Art. 4 Nr. 22 lit. a ist Anknüpfungspunkt die Niederlassung des Verantwortlichen oder des Auftragsverarbeiters im Hoheitsgebiet des Mitgliedstaates.
324
Der Begriff der Niederlassung wird dabei in der Rechtsprechung des EuGH weit ausgelegt.[696] Sie setzt die effektive und tatsächliche Ausübung einer wirtschaftlichen Tätigkeit mittels einer festen Einrichtung voraus, wobei die Rechtsform unerheblich ist.[697] ErwG 22 S. 2 und 3 übernehmen diese Wertung. Um festzustellen, ob ein Unternehmen, das für eine Datenverarbeitung verantwortlich ist, über eine Niederlassung verfügt, ist vielmehr der Grad an Beständigkeit der Einrichtung sowie die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters der Tätigkeit und der in Rede stehenden Dienstleistungen auszulegen.[698] Eine Niederlassung kann dabei auch in einer effektiven und tatsächlichen Tätigkeit, die nur geringer Natur ist, gesehen werden, etwa dann, wenn die Zweitniederlassung nur in Person eines Vertreters besteht.[699] Der Begriff der Niederlassung folgt damit einer flexiblen kontextbezogenen Betrachtungsweise und erfolgt nicht formalistisch.[700]
2. Erhebliche Auswirkungen auf Betroffene mit Wohnsitz im Mitgliedstaat der Aufsichtsbehörde (Art. 4 Nr. 22 lit. b)
325
Art. 4 Nr. 22 lit. b stellt wie Art. 4 Nr. 23 lit. b[701] auf die erheblichen Auswirkungen auf die betroffenen Personen ab.
326
Die Möglichkeit erheblicher Auswirkungen ist ausweislich des Wortlauts der Verordnung („haben kann“) bereits ausreichend. „Auswirkungen“ ist dabei weit gefasst und schließt sowohl rechtliche als auch tatsächliche Auswirkungen mit ein, sofern diese nicht unerheblich sind. Es ist nicht zu verleugnen, dass der Begriff der Auswirkungen kaum Konturen aufweist. Eine Definition der Auswirkungen oder Erheblichkeit enthält Art. 4 Nr. 22 lit. b nicht. Insofern betont ErwG 124 S. 4, dass der Datenschutzausschuss aufgefordert ist, Leitlinien zu den Kriterien auszugeben, die bei der Feststellung zu berücksichtigen sind, ob die fragliche Verarbeitung erhebliche Auswirkungen auf betroffene Personen hat.[702] Selbst ist der Datenschutzausschuss dieser Aufforderung zwar nicht nachgekommen, er hat aber die von der Art.-29-Datenschutzgruppe aufgestellten Leitlinien zur federführenden Aufsichtsbehörde[703] ausdrücklich befürwortet.[704] Diese enthalten auch Bestimmungen zur Auslegung der Begriffe „erheblich“ und „Auswirkungen“.[705] Hiernach sind neben dem Kontext der Verarbeitung, der Art der Daten sowie dem Zweck der Verarbeitung unter anderem Faktoren maßgeblich, die darüber Auskunft geben, ob die Verarbeitung die Gesundheit, das Wohlergehen oder den Seelenfrieden von Einzelpersonen beeinträchtigen kann, sie dieser Diskriminierung oder ungerechter Behandlung aussetzt oder eine breite Palette personenbezogene Daten beinhaltet.[706]
3. Einreichung einer Beschwerde (Art. 4 Nr. 22 lit. c)
327
Als dritten Anknüpfungspunkt nennt Art. 4 Nr. 22 lit. c, dass eine Beschwerde bei der Aufsichtsbehörde eingereicht wurde.
328
Die Beschwerde steht damit in unmittelbarem Zusammenhang zu Art. 57 Abs. 1 lit. f[707] und Art. 77[708]. Da im Rahmen von Art. 77 das Beschwerderecht sich etwa nach dem Aufenthaltsort, dem Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes richtet, eröffnet Art. 4 Nr. 22 lit. c weitreichende Möglichkeiten die Stellung einer Aufsichtsbehörde als „betroffene Aufsichtsbehörde“ zu begründen.[709] Dies unterstreicht ErwG 141.
XXIV. Art. 4 Nr. 23: Grenzüberschreitende Verarbeitung
329
Eine grenzüberschreitende Verarbeitung ist nach Art. 4 Nr. 23 lit. a eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist.
330
Nach Art. 4 Nr. 23 lit. b ist eine grenzüberschreitende Verarbeitung eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeit einer einzelnen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.
331
Damit können nach Art. 4 Nr. 23 zwei Anwendungsfälle eine grenzüberschreitende Verarbeitung begründen: Zum einen liegt eine grenzüberschreitende Verarbeitung vor, wenn die Verarbeitung in mehr als einem Mitgliedstaat stattfindet. Zum anderen ist dies auch der Fall, wenn die Verarbeitung zwar nur im Rahmen einer einzelnen Niederlassung stattfindet, diese aber erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben kann.[710] Insofern kann die grenzüberschreitende Verarbeitung sowohl vom Verantwortlichen bzw. Auftragsverarbeiter ausgehen als auch vom Empfänger.[711]
332
Mit dem Begriff der grenzüberschreitenden Verarbeitung wird damit ein EU-interner Datenverkehr erfasst. Gleichwohl begründet nicht jede Auslandberührung den Charakter einer Verarbeitung als grenzüberschreitend. Vielmehr ist die Berührung mehrerer Mitgliedstaaten bei der Datenverarbeitung gemeint.[712]
333
Die Vorschrift des Art. 4 Nr. 23 ist insbesondere für die Bestimmung und Funktion der federführenden Aufsichtsbehörde nach Art.