Was ist die „federführende Aufsichtsbehörde“?
Die Art.-29-Gruppe bezeichnet die von ihr erarbeiteten Dokumente formell zwar noch als Working Papers (Arbeitspapiere). Inhaltlich betitelt sie sie aber schon mit „Guidelines“ (Leitlinien), wie es sie nach Art. 70 DSGVO in Zukunft geben soll.
Warum sind die Leitlinien so wichtig?
Es ist davon auszugehen, dass der Datenschutzausschuss entweder in oder sehr bald nach seiner konstituierenden Sitzung diese Dokumente der Art.-29-Gruppe übernehmen und dann unter seinem Namen als Leitlinien im Sinne des Art. 70 Abs. 1 DSGVO veröffentlichen wird.
Nachdem die Zusammensetzung des Ausschusses der Zusammensetzung der Art.-29-Gruppe entsprechen wird, ist es für alle Beteiligten sinnvoll, dass schon jetzt deutlich wird, wie die Datenschutzaufsichtsbehörden in Europa die Datenschutz-Grundverordnung verstehen und ihr aufsichtliches Verhalten ausrichten werden.
Bisher drei Leitlinien in der Endfassung gebilligt
In seiner Sitzung vom 13. Dezember 2016 hat die Art.-29-Gruppe drei Leitlinien verabschiedet:
- Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde des Verantwortlichen oder Auftragsverarbeiters (WP 244)
- Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) (WP243, siehe Datenschutz
PRAXIS 03/17 und 04/17) - Leitlinien zum Recht auf Daten-übertragbarkeit (WP 242)
Die Gruppe hat die Texte dann der Öffentlichkeit zur Kommentierung angeboten und schließlich in der Sitzung am 4. April 2017 gebilligt.
Federführende Aufsichtsbehörde als zentraler Ansprechpartner
Die Einrichtung eines One-Stop-Shops war eines der wesentlichen Ziele der Gesetzgeber der DSGVO.
Der One-Stop-Shop ist die (federführende) Aufsichtsbehörde in Europa. Sie soll bei grenzüberschreitender Tätigkeit eines Verantwortlichen für ihn zuständig sein.
Diese Zielsetzung ist auch in Verbindung damit zu sehen, dass andere Aufsichtsbehörden, notfalls über den Ausschuss, auf die zuständige Aufsichtsbehörde einwirken können, damit sie ihren Pflichten als Aufsichtsbehörde nachkommt, selbst wenn das WP 244 davon nicht spricht.
Konkretisierung der „grenzüberschreitenden Verarbeitung“
Das WP 244 erläutert im ersten Teil, wann von einer grenzüberschreitenden Verarbeitung personenbezogener Daten auszugehen ist. Dabei nimmt es zunächst auf die gesetzliche Definition in Art. 4 Nr. 21 DSGVO Bezug.
Danach liegt eine grenzüberschreitende Verarbeitung vor,
- wenn eine Verarbeitung personenbezogener Daten erfolgt, bei der der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
- wenn eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben kann.
Der erste Punkt betrifft damit Verantwortliche, die mehrere Niederlassungen in unterschiedlichen Mitgliedstaaten haben und die grenzüberschreitend personenbezogene Daten verarbeiten, etwa durch eine einheitliche Personalverwaltung oder den Austausch von Kundendaten.
Der zweite Punkt betrifft Fälle, in denen die Verarbeitung durch einzelne Niederlassungen „erhebliche Auswirkungen“ auf Betroffene in anderen Mitgliedstaaten hat.
Konkretisierung der „erheblichen Auswirkungen“
Das WP 244 versucht anhand einer Auslegung des englischen Begriffs „substantial“, eine Klarstellung zu erreichen, was unter „erhebliche Auswirkungen“ zu verstehen ist.
Als Ergebnis lässt sich festhalten, dass mit erheblichen Auswirkungen nicht alle beliebigen Folgen einer Verarbeitung und auch nicht alle theoretisch möglichen Auswirkungen gemeint sein sollen. Es muss schon eine konkrete Eintrittswahrscheinlichkeit für erhebliche Auswirkungen gegeben sein.
Das ist eine möglicherweise nicht sehr hilfreiche Definition. Konkrete Beispiele machen sie allerdings verständlicher. Danach liegen erhebliche Auswirkungen vor, wenn die Verarbeitung
- Schäden, Verlust oder Notlagen für Einzelpersonen nach sich zieht bzw. nach sich ziehen kann,
- die Gesundheit, das Wohlergehen oder der Seelenfrieden von Einzelpersonen beeinträchtigt wird bzw. beeinträchtigt werden kann,
- der finanzielle oder wirtschaftliche Status oder die Umstände von Einzelpersonen beeinträchtigt wird oder beeinträchtigt werden kann oder auch
- die Analyse besonderer Kategorien personenbezogener Daten oder sonstiger sensibler Daten, darunter insbesondere personenbezogener Daten von Kindern, beinhaltet.
Konkretisierung der „federführenden Aufsichtsbehörde“
Das WP 244 erläutert im zweiten Teil,
- welche Aufsichtsbehörde federführend ist,
- anhand welcher Kriterien sich das bestimmen lässt und
- wie sich die federführende von der betroffenen Aufsichtsbehörde abgrenzen lässt.
Maßgebend für die Bestimmung der federführenden Aufsichtsbehörde ist die Beschreibung in Art. 56 DSGVO, wonach „die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters … die zuständige federführende Aufsichtsbehörde für die … durchgeführte grenzüberschreitende Verarbeitung (ist).“
In der Regel ist Ort der Hauptverwaltung entscheidend, aber …
Bezüglich der Hauptniederlassung verweist das WP 244 auf die Definition in Art. 4 Nr. 16 DSGVO. Sie stellt grundsätzlich auf den Ort der Hauptverwaltung ab. Ausnahme: Die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung trifft eine andere Niederlassung, die befugt ist, diese Entscheidungen umsetzen zu lassen.
Gibt es eine Hauptverwaltung, die die maßgeblichen Entscheidungen trifft, gibt es auch nur eine federführende Aufsichtsbehörde.
Gibt es in einem multinationalen Konzern neben der Hauptverwaltung Niederlassungen mit eigener Entscheidungskompetenz, gibt es auch mehrere (federführende) Aufsichtsbehörden.
In solchen Situationen müssen die Verantwortlichen präzise festlegen, wo welche Entscheidungen getroffen werden.
Die klare Festlegung, welche Aufsichtsbehörde zuständig ist, ist zum einen notwendig, um den Datenschutzbeauftragten, eine risikobehaftete Verarbeitungstätigkeit oder eine Datenschutzverletzung zu melden. Zum anderen ist sie wichtig, damit die zuständige Behörde Anordnungen oder Sanktionen erlassen kann.
Der Verantwortliche legt seine Hauptniederlassung fest
Das WP 244 führt aus, dass der Verantwortliche im Zweifel selbst ermittelt, wo seine Hauptniederlassung ist und welche Aufsichtsbehörde als federführende Behörde fungiert.
Das heißt auch, dass der Verantwortliche ebenfalls selbst ermittelt, welche seiner Niederlassungen welche Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten trifft und welche Aufsichtsbehörde insoweit federführend ist.
Forum-Shopping weiterhin möglich
Dass die Verantwortlichen damit die Möglichkeit haben, innerhalb ihrer Unternehmensstruktur die Verantwortlichkeiten für Entscheidungsprozesse so zu verteilen, dass sie sich, ohne dass dies mit größeren Investitionen verbunden sein muss, ihre Aufsichtsbehörde „aussuchen“ können, ermöglicht nach wie vor ein gewisses „Forum-Shopping“.
Das sollte die Neuregelung durch die DSGVO eigentlich unterbinden. Und die Art.-29-Gruppe hat das in ihrem Papier als „freie Wahl des Gerichtsstands“ ausdrücklich ausgeschlossen.
Kriterien zur Bestimmung der Hauptniederlassung
Die Kriterien, die zur Bestimmung der Hauptniederlassung führen, könnten Verantwortliche mit einem Federstrich ändern. Und sie lassen sich von außen möglicherweise nur sehr schwer kontrollieren. Das WP 244 nennt hier beispielsweise die folgenden Punkte:
- Wo werden Entscheidungen endgültig gebilligt?
- Wo liegt effektiv die Befugnis zur Umsetzung von Entscheidungen?
- Wo befinden sich die Leitungspersonen mit allgemeiner Zuständigkeit für die grenzüberschreitende Verarbeitung?
Das weitere Kriterium, wo der Verantwortliche als Unternehmen eingetragen ist, mag ein Indiz, aber kein Kriterium für die tatsächliche Entscheidungsbefugnis sein.
Was gilt bei gemeinsam Verantwortlichen?
Als Ergebnis der öffentlichen Kommentierung der Leitlinien hat die Artikel-29-Gruppe noch eine Bestimmung für den Fall der gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 1 aufgenommen.
Danach müssen die gemeinsam für die Verarbeitung Verantwortlichen in einer transparenten Art und Weise ihre jeweilige Verantwortlichkeit für die Einhaltung der Datenschutz-Grundverordnung – und damit indirekt die Zuständigkeit der federführenden Aufsichtsbehörde – festlegen.
Das WP 244 macht die Erwartung deutlich, dass die betroffenen Aufsichtsbehörden sich im Zweifel darüber verständigen, wer die Federführung innehat. Es verweist darauf, dass im Fall der Nichteinigung der Datenschutzausschuss gemäß Art. 65 Abs. 1 Buchst. b DSGVO eine bindende Entscheidung über die Zuständigkeit treffen kann.
Konkretisierung der „betroffenen Aufsichtsbehörde“
Neben der federführenden Aufsichtsbehörde wird es noch die betroffene Aufsichtsbehörde geben. Eine Aufsichtsbehörde ist dann „betroffene Aufsichtsbehörde“, wenn
- ein Verantwortlicher im örtlichen Zuständigkeitsbereich der Aufsicht über eine Niederlassung verfügt,
- die Verarbeitung personenbezogener Daten erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im örtlichen Zuständigkeit dieser Aufsichtsbehörde hat oder
- ein Betroffener bei ihr eine Beschwerde eingereicht hat (siehe Definition in Art. 4 Nr. 22 DSGVO).
Ziel: Konsens der Aufsichtsbehörden
Das WP 244 weist darauf hin, dass die federführende und die betroffene Aufsichtsbehörde zur Zusammenarbeit unter gebührender Beachtung der gegenseitigen Standpunkte verpflichtet sind. Die Leitlinien sehen die Ausarbeitung eines Konsenses und die Kulanz zwischen den Aufsichtsbehörden als ausschlaggebend für den Erfolg der Zusammenarbeit und das Kohärenzverfahren gemäß der DSGVO an.