DS-GVO/BDSG. David Klein
Читать онлайн книгу.
Denn die Bestimmung der federführenden Aufsichtsbehörde ist (nur) dann relevant, wenn eine grenzüberschreitende Verarbeitung vorliegt.[714] Nach Art. 56 Abs. 1 ist federführende Aufsichtsbehörde in diesem Fall die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters. Durch die Bezugnahme des Art. 56 auf Art. 55[715] und Art. 60[716] ist Art. 4 Nr. 23 daher auch in diesem Kontext bedeutsam.
334
Art. 4 Nr. 23 hat darüber hinaus Auswirkungen auf das One-Stop-Shop-Prinzip: Denn sowohl Art. 4 Nr. 23 lit. a als auch lit. b setzen tatbestandlich die Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union voraus. Zwar gilt die DS-GVO unter den Voraussetzungen von Art. 3 Abs. 2[717] auch für Verantwortliche oder Auftragsverarbeiter außerhalb der Union. Diese unterfallen aber dem Privileg des One-Stop-Shop-Prinzips nur, sofern sie eine Niederlassung in der Union haben. Andernfalls unterliegen sie den Kontrollverfahren der nationalen Aufsichtsbehörden für Verarbeitungen, die Art. 3 Abs. 2 unterliegen. Folglich greift das Privileg nur für Unternehmen, die eine europäische Niederlassung besitzen.[718]
1. Niederlassungen in unterschiedlichen Mitgliedstaaten (lit. a)
335
Nach Art. 4 Nr. 23 lit. a müssen zwei Voraussetzungen, kumulativ vorliegen: Der Verantwortliche bzw. der Auftragsverarbeiter muss eine Niederlassung in mehreren Mitgliedstaaten besitzen (vgl. Art. 4 Nr. 23 lit. a Hs. 1) und die Verarbeitung muss im Rahmen der Tätigkeiten einer dieser Niederlassungen in mehr als einem Mitgliedstaat erfolgen (vgl. Art. 4 Nr. 23 lit. a Hs. 2).[719]
336
Hinsichtlich des Begriffs der Niederlassung ist auf die Ausführungen zu Art. 4 Nr. 16 zu verweisen. Damit sind jedenfalls alle Formen der Verarbeitung von personenbezogenen Daten umfasst, an denen Niederlassungen des Verantwortlichen bzw. des Auftragsverarbeiters in mehreren Mitgliedstaaten beteiligt sind, vgl. ErwG 124 S. 1. Aus dem Anwendungsbereich fallen somit insbesondere Fälle heraus, in denen der Verantwortliche nur in einem Mitgliedstaat eine Niederlassung besitzt.[720]
337
Das Kriterium „im Rahmen der Tätigkeiten“ wird vom EuGH grundsätzlich weit ausgelegt.[721] Insofern ist entsprechend ErwG 22 jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfasst. Das gilt unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Union stattfindet. Folglich fällt lediglich eine Verarbeitung die bei Gelegenheit oder außerhalb der normalen Niederlassungstätigkeit erfolgt aus dem Anwendungsbereich heraus.[722]
2. Erhebliche Auswirkungen auf Betroffene in unterschiedlichen Mitgliedstaaten (lit. b)
338
Art. 4 Nr. 23 lit. b knüpft an die erheblichen Auswirkungen bei dem oder den Betroffenen an. Da Datenverarbeitungen, die lediglich im Rahmen der Tätigkeit einer einzelnen Niederlassung stattfinden[723] nicht als grenzüberschreitend anzusehen sind, gilt dies abweichend von diesem Grundsatz nach Art. 4 Nr. 23 lit. b dann nicht, wenn die Datenverarbeitung erhebliche Auswirkungen auf die betroffenen Personen haben kann.[724] Insofern ist die Möglichkeit erheblicher Auswirkungen ausweislich des Wortlauts der Verordnung bereits ausreichend.
339
Der Begriff der Auswirkungen ist auch hier weit gefasst und schließt sowohl rechtliche als auch tatsächliche Auswirkungen mit ein, sofern diese nicht unerheblich sind. Auch hier ist anzumerken, dass der Begriff der Auswirkungen kaum Konturen aufweist, so dass auch nach ErwG 124 S. 4, der Datenschutzausschuss aufgefordert war, Leitlinien für Konturen festzulegen.[725]
XXV. Art. 4 Nr. 24: Maßgeblicher und begründeter Einspruch
340
Nach Art. 4 Nr. 24 ist ein maßgeblicher und begründeter Einspruch ein Einspruch gegen einen Beschlussentwurf (der federführenden Aufsichtsbehörde) im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung stehen, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen.
341
Die Begriffsdefinition ist insbesondere im Rahmen des Art. 60 Abs. 4 und 6[726] im Rahmen des Verfahrens der Zusammenarbeit zwischen federführender Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden sowie für das Streitbeilegungsverfahren nach Art. 65 Abs. 1 lit. a[727] relevant.[728]
342
Der Einspruch kann sich dabei ausschließlich gegen den Beschlussentwurf der federführenden Aufsichtsbehörde richten, wobei Art. 4 Nr. 23 dessen formale Anforderungen enthält.[729]
343
Einspruchsbefugt sind betroffene Aufsichtsbehörden gegenüber der federführenden Aufsichtsbehörde.[730]
344
Ein Einspruch ist nur dann maßgeblich und begründet, wenn mit ihm geltend gemacht wird, dass die federführende Aufsichtsbehörde in ihrem Beschlussentwurf zu Unrecht von einem bzw. keinem Verstoß des Verantwortlichen oder des Auftragsverarbeiters gegen die DS-GVO ausgegangen ist. Der Einspruch kann ausweislich des Wortlauts auch damit begründet werden, ob die beabsichtigte Maßnahme gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit der DS-GVO steht.[731] In beiden Alternativen muss der Einspruch den formalen Anforderungen nach Art. 4 Nr. 23 Hs. 2 genügen: So muss sich aus ihm die Tragweite der Risiken ergeben, die von dem Beschlussentwurf für die Grundrechte und Grundfreiheiten der betroffenen Personen oder für den freien Verkehr von personenbezogenen Daten in der Union ausgehen. Dabei bezeichnet „begründet“ lediglich, dass die einspruchsführende Behörde ihre Bedenken im Sinne der o.g. Tatbestandsalternativen vortragen muss. Der Verstoß muss aber nicht tatsächlich gegeben sein. Dies folgt bereits daraus, dass der Wortlaut auf die Tragweite der Risiken und nicht auf