Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

One Stop Shop (OSS) – nur noch eine Behörde zuständig für die Unternehmen?

7. Januar 2017

Im Themanbereich des Datenschutzes vollkommen neu, ist der in der DS-GVO zu findende Ansatz des One Stop Shops. Die Idee dahinter ist es, künftig zu vermeiden, dass sich Unternehmen, die eine grenzüberschreitende Datenverarbeitung in unterschiedlichen Mitgliedsstaaten durchführen, mit unterschiedlichen lokalen Aufsichtsbehörden zusammenarbeiten müssen. Hierzu soll eine sogenannte federführende Aufsichtsbehörde die Funktion eines alleinigen Ansprechpartners im Unternehmen erfüllen. Festgelegt ist das Prinzip des One Stop Shops in Artikel 56 DS-GVO. Die Vorteile dieser Idee des Gesetzgebers liegen auf der Hand: Der Aufwand wäre sowohl für die Behörden als auch für die Unternehmen reduziert, da jede Fragestellung nur einmal geklärt werden müsste. Zudem wäre es ausgeschlossen, dass verschiedene Behörden, trotz eigentlich einheitlicher gesetzlicher Grundlage, unterschiedliche Auffassungen vertreten.

Wie ist grenzüberschreitende Verarbeitung definiert

Gemäß Artikel 4 Nr. 23 DS-GVO liegt eine grenzüberschreitende Verarbeitung vor, wenn

  • eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
  • eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.

Sitz der Hauptniederlassung entscheidet über die Zuständigkeit der Aufsichtsbehörde

Gemäß § 56 Abs. 1 DS-GVO ist zunächst die zuständige Aufsichtsbehörde der Hauptniederlassung des Verantwortlichen oder des Auftragsverarbeiters die federführende Aufsichtsbehörde.

Und wie immer gilt auch hier: Keine Regel ohne Ausnahme. Nach § 56 Abs. 2 DS-GVO gilt dies dann nicht, wenn eine eingereichte Beschwerde oder ein Verstoß gegen diese Verordnung nur mit der Niederlassung in einem bestimmten Mitgliedsstaat zusammenhängt oder nur betroffene Personen in einem bestimmten Mitgliedsstaat erheblich beeinträchtigt werden. In diesem Fall ist die Aufsichtsbehörde in dem betroffenen Mitgliedsstaat zuständig, unabhängig davon ob das Unternehmen dort seine Hauptniederlassung oder nur eine anderweitige Niederlassung hat.

Wie definiert sich eine Hauptniederlassung?

Gemäß Artikel 6 Nr. 16 DS-GVO ist Hauptniederlassung definiert als:

  • im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat der Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;
  • im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat der Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsver­arbeiter spezifischen Pflichten aus dieser Verordnung unterliegt.

Es kommt also weniger auf rechtliche Konstruktionen an (z.B. Holding) sondern darauf, in welcher Niederlassung tatsächlich die datenschutzrelevanten Entscheidungen getroffen werden. Hier zeigt sich die Problematik der One Stop Shop Regelung, da bezüglich der zuständigen Hauptniederlassung sicherlich unterschiedliche Auffassungen zu finden sein werden. Im Zweifelsfall wird sich ein Unternehmen also doch wieder mit mehreren Aufsichtsbehörden auseinandersetzen müssen.

Auf jede einzelne Verarbeitung kommt es an.

Wichtig ist ein Detail in der Definition der Hauptniederlassung. Demnach kommt es auf die einzelne Verarbeitung personenbezogener Daten an. Die Prüfung der Hauptniederlassung ist also für jede einzelne Verarbeitung, die ein Unternehmen durchführt, vorgenommen werden. Somit ist es durchaus möglich, dass für unterschiedliche Verarbeitungen Aufsichtsbehörden in unterschiedlichen Mitgliedsstaaten als federführende Aufsichtsbehörde zuständig sind. Zudem gilt nach der DS-GVO das Prinzip des One Stop Shops nur für denselben Verantwortlichen oder Auftragsverarbeiter. Konzerne oder Unternehmensgruppen werden nicht von der Regelung des One Stop Shops erfasst.

One Stop Shop Shop bedeutet nicht, dass die federführende Behörde ohne Mitwirkung der anderen Behörden entscheidet. Auch alle anderen Behörden in deren Mitgliedsstaat der Verantwortliche Niederlassungen hat oder in deren Mitgliedsstaat die Verarbeitung erhebliche Auswirkungen auf betroffene Personen haben kann, sind grundsätzlich in den Entscheidungsprozess eingebunden. Vorteil des One Stop Shops ist dabei für die Unternehmen, dass die Behörden sich untereinander abzustimmen haben.  Die federführende Behörde bleibt alleiniger Ansprechpartner des Verantwortlichen.

Fazit

Die Idee des One Stop Shops ist sicherlich zu begrüßen. Weniger Aufwand bei der Abstimmung mit mehreren Behörden und einheitliche Rahmenbedingungen, da sich die Behörden untereinander abzustimmen haben sind gute Argumente für eine derartige Regelung. Allerdings existieren zahlreiche Ausnahmen und die Regelung des One Stop Shops gilt nicht für Unternehmensgruppen und Konzerne. Auch wird sich zeigen müssen, ob die Ermittlung der federführenden Aufsichtsbehörde in der Praxis so reibungslos verlaufen wird, wie erhofft.

Verarbeiten Sie personenbezogene Daten in unterschiedlichen Mitgliedsstaaten? Dann lohnt es sich, die für Sie zuständige Aufsichtsbehörde zu ermitteln. Sprechen Sie uns an, gerne unterstützen wir Sie!