Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die ab dem 25.05.2018 für alle verpflichtend werden.

Die Einführung des so genannten „One-Stop-Shop“ stellt eine der wesentlichen Änderungen durch die DSGVO dar. Dieses wird Betroffenen und verantwortlichen Unternehmen die Kommunikation mit den Aufsichtsbehörden erleichtern, indem grundsätzlich eine zentrale Behördenzuständigkeit begründet wird. Derzeit stehen Unternehmensgruppen oftmals vor dem Problem, dass die datenschutzrechtlichen Anforderungen von nationalen Aufsichtsbehörden unterschiedlich interpretiert werden.

One-Stop-Shop

Mit dem „One-Stop-Shop“ wird bei grenzüberschreitenden Datenverarbeitungen für Unternehmen und deren Tochtergesellschaften nur noch eine federführende Aufsichtsbehörde am Sitz der „Hauptniederlassung” zuständig sein, Art. 56 Abs. 1, Abs. 2 DSGVO. In Art. 4 Abs. 16 DSGVO wird der Begriff der Hauptniederlassung für den Verantwortlichen und Auftragsverarbeiter nicht einheitlich definiert, entscheidend ist jedoch der zentrale Verwaltungssitz in der Europäischen Union. Auf diesen kommt es allerdings dann nicht an, wenn die Entscheidungen über die Zwecke und Mittel der Verarbeitung in einer anderen Niederlassung getroffen und von dieser umgesetzt werden. Dann gilt diese Niederlassung als Hauptniederlassung, Art. 4 Abs. 16 lit. a DSGVO. Durch diese Ausnahme wird die Bedeutung des „One-Stop-Shop“ relativiert.

Die federführende Behörde ist dann nicht zwingend zuständig, wenn eine Beschwerde ausschließlich die Niederlassung eines Mitgliedstaates betrifft oder sich die Datenverarbeitung auf betroffene Personen in diesem Mitgliedstaat auswirkt. In diesen Fällen bleibt zunächst die nationale Aufsichtsbehörde zuständig, Art. 56 Abs. 2 DSGVO. Allerdings muss sie die federführende Aufsichtsbehörde über eine solche Beschwerde unterrichten, die den Fall innerhalb einer Frist von drei Wochen an sich ziehen kann, Art. 56 Abs. 3 DSGVO.

Sobald die federführende Behörde den Fall tatsächlich an sich zieht oder wenn ein Vorgang mehrere Mitgliedstaaten betrifft, arbeitet die federführende Aufsichtsbehörde mit den betroffenen nationalen Aufsichtsbehörden nach dem Verfahren über die Zusammenarbeit gemäß Art. 60 ff. DSGVO zusammen. Dazu gehören unter anderem Amtshilfen für einzelne Fragestellungen, ein umfassender zweckdienlicher Informationsaustausch und die Vorlage eines Beschlussvorschlags durch die federführende Behörde, Art. 60 Abs. 3 DSGVO. Innerhalb von vier Wochen kann gegen diesen Beschluss der Einspruch durch eine der betroffenen Behörden eingelegt werden, Art. 60 Abs. 4 DSGVO.

Soweit eine Einigung in der Vorgehensweise zwischen der federführenden und der betroffenen Aufsichtsbehörde erzielt wird, ergeht ein entsprechender Beschluss durch die federführende Aufsichtsbehörde an die Hauptniederlassung des Verantwortlichen. Der Beschwerdeführer wird von der Aufsichtsbehörde über den Beschluss informiert, bei der die Beschwerde eingelegt wurde, Art. 60 Abs. 7 DSGVO. Eine einheitliche Beschwerde kann gemäß Art. 60 Abs. 9 DSGVO auch in Teilbeschlüsse aufgeteilt werden.

Kohärenzverfahren

In den Fällen des „One-Stop-Shop“, bei denen das Verfahren über die Zusammenarbeit zwischen der federführenden und betroffenen nationalen Aufsichtsbehörde zu keiner Einigung geführt hat, ist das Kohärenzverfahren einzuleiten. In diesem wird der Streit durch einen verbindlichen Beschluss des Europäischen Datenschutzausschusses (EDA) gemäß Art. 65 Abs. 1 lit. a DSGVO beigelegt.

Zu bestimmten beabsichtigten Maßnahmen der Aufsichtsbehörden gibt der EDA im Kohärenzverfahren seine Stellungnahme ab, Art. 64 Abs. 1 DSGVO. Der EDA kann auch in bestimmten Fällen, in denen seine Stellungnahme nicht eingeholt wird oder dieser nicht gefolgt wird, einen verbindlichen Beschluss erlassen, sowie bei Streitigkeiten über die Zuständigkeit einer Aufsichtsbehörde für die Hauptniederlassung, Art. 65 Abs. 1 lit. b, lit. c DSGVO. Durch die Einrichtung des EDA will die DSGVO eine einheitliche Rechtsdurchsetzung und -anwendung in Europa gewährleisten.

Der EDA setzt sich aus den Leitern der Aufsichtsbehörden jedes Mitgliedstaates und dem europäischen Datenschutzbeauftragten zusammen, Art. 68 Abs. 3 DSGVO. Es bleibt abzuwarten, wer Deutschland in dem EDA vertreten wird.

Aufgaben der Aufsichtsbehörden nach der DSGVO

Kernaufgabe der Aufsichtsbehörden wird unter der DSGVO auch weiterhin die Überwachung und Durchsetzung der Vorschriften zum Schutz personenbezogener Daten sein. Das sieht Art. 57 Abs. 1 lit. a DSGVO vor. Im Übrigen wurden die Aufgaben der Aufsichtsbehörden erweitert. So listet Art. 57 Abs. 1 DSGVO 22 Aufgaben auf. Unter anderem handelt es sich dabei um diese Aufgaben:

  • Öffentlichkeitsarbeit gemäß Art. 57 Abs. 1 lit. b DSGVO einschließlich Sensibilisierung und Aufklärung für die Rechte und Risiken im Zusammenhang mit der Datenverarbeitung. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder.
  • Die Aufsichtsbehörden haben zudem gemäß Art. 57 Abs. 1 lit. k, Art. 35 Abs. 4 DSGVO (im Rahmen ihrer jeweiligen Zuständigkeitsbereiche) eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Art. 35 Abs. 5 DSGVO enthält auch eine Ermächtigung der Aufsichtsbehörden, eine Liste mit Arten von Datenverarbeitungsvorgängen zu erstellen und zu veröffentlichen, bei denen explizit keine Datenschutz-Folgenabschätzung durchgeführt werden muss. Beide Listen sind an den in Art. 68 DSGVO genannten Ausschuss (EDA) zu übermitteln.
  • Außerdem müssen die Aufsichtsbehörden nach Art. 57 Abs. 1 lit. r DSGVO Vertragsklauseln, welche die Übermittlung von Daten an Drittländer gemäß Art. 46 Abs. 3 DSGVO vorsehen, genehmigen.

Befugnisse der Aufsichtsbehörden

Um die Anforderungen der DSGVO effektiv durchsetzen zu können, erhalten die Aufsichtsbehörden umfangreiche Befugnisse. So können sie gemäß Art. 58 DSGVO – anders als bislang in Deutschland – auch Behörden gegenüber Anordnungen treffen, um eine rechtswidrige Datenverarbeitung zu unterbinden.

Fazit

„One-Stop-Shop“, das Verfahren über die Zusammenarbeit sowie das Kohärenzverfahren führen im Falle grenzüberschreitender Datenverarbeitungen im Bereich der Privatwirtschaft zu einer weitgehend vereinheitlichten Rechtsanwendung. Diese Vereinheitlichung stellt für international tätige Unternehmen einen bedeutenden Vorteil dar. Neue (insbesondere datengetriebene) Geschäftsmodelle können so voraussichtlich mit größerer Rechtssicherheit eingeführt werden.

Im Übrigen bleiben die Strukturen der Aufsichtsbehörden nach der DSGVO im Wesentlichen unverändert. So ist angesichts neuer Aufgaben und der erforderlichen Abstimmung auf europäischer Ebene unsicher, ob die Aufsichtsbehörden mit ihren knappen personellen wie finanziellen Ressourcen die durch die DSGVO aufgestellten Erwartungen werden erfüllen können.

Weitere Beiträge zur DSGVO in unserem Blog.