Bei grenzüberschreitenden Verarbeitungen müssen sich Unternehmen grundsätzlich nicht mit den Aufsichtsbehörden in allen betroffenen EU-Mitgliedstaaten befassen, sondern lediglich mit ihrer federführenden Aufsichtsbehörde am Ort der Hauptniederlassung des Unternehmens.
Im Februar 2024 verabschiedete der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme, die die Anwendung diesen sogenannten One-Stop-Shop-Mechanismus weiter präzisiert. Wir legen die praktischen Implikationen der Stellungnahme dar und erklären, warum insbesondere internationale Konzerne sie zur Kenntnis nehmen sollten.
Was ist der One-Stop-Shop-Mechanismus?
Grundsätzlich ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben nach der Datenschutz-Grundverordnung (DSGVO) im Hoheitsgebiet ihres eigenen Mitgliedstaates zuständig (Art. 55 DSGVO). Dies bedeutet unter anderem, dass die Behörde eines EU-Mitgliedsstaates für die Kontrolle der in diesem Mitgliedstaat ansässigen Unternehmen zuständig ist.
Eine bedeutende Ausnahme hiervon bildet der in Art. 56 DSGVO verankerte One-Stop-Shop-Mechanismus. Demnach sind bei grenzüberschreitenden Verarbeitungen nicht etwa Aufsichtsbehörden von allen Mitgliedsstaaten gleichzeitig zuständig, in denen die grenzüberschreitende Verarbeitung stattfindet. Vielmehr ist für die Kontrolle einer derartigen Verarbeitung grundsätzlich die Aufsichtsbehörde der Hauptniederlassung bzw. der einzigen Niederlassung des Verantwortlichen zuständig. Diese sogenannte federführende Aufsichtsbehörde ist nach Art. 60 DSGVO verpflichtet, mit den anderen betroffenen Aufsichtsbehörden zusammenzuarbeiten und sich dabei bemühen, einen Konsens zu erzielen.
Dadurch soll zum einen die einheitliche Anwendung der DSGVO in der gesamten EU sichergestellt werden. Zum anderen soll die Anwendung des One-Stop-Shop-Verfahrens auch den betroffenen Unternehmen zugutekommen. Sie erhalten dadurch mehr Rechtssicherheit und einen einheitlichen Ansprechpartner. Dies sollte nicht nur weniger Aufwand zur Folge haben, sondern auch, dass Unternehmen sich vorrangig an der Auslegung der DSGVO durch die eigene federführende Aufsichtsbehörde orientieren können. Nicht zuletzt bedeutet dies auch, dass die Behörde in aller Regel dieselbe Sprache wie das Unternehmen verwendet.
Feststellung der Hauptniederlassung nach DSGVO
Bei Unternehmen mit nur einer Niederlassung in der EU bereitet die Festlegung der federführenden Aufsichtsbehörde keine Probleme. Bei Unternehmen mit mehreren Niederlassungen in der EU gilt die Aufsichtsbehörde der Hauptniederlassung des Unternehmens als federführende Aufsichtsbehörde. Daher ist es wesentlich, korrekt festzustellen, welche der Niederlassungen die Hauptniederlassung im Sinne der DSGVO ist.
Gem. Art. 4 Nr. 16 lit. a) DSGVO gilt der Ort der Hauptverwaltung eines Unternehmens in der EU als dessen Hauptniederlassung, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der EU getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen. In einem solchen Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung.
Diesbezüglich betont der EDSA in seiner Stellungnahme zum Begriff der Hauptniederlassung, dass die Hauptverwaltung eines Unternehmens in der EU nur dann als Hauptniederlassung angesehen werden kann, wenn dort tatsächlich die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung getroffen werden. Zusätzlich dazu muss diese auch befugt sein, die vorgenannten Entscheidungen umsetzen zu lassen. Daraus folgt, dass bspw. die Muttergesellschaft nicht automatisch als Hauptniederlassung angesehen werden kann; vielmehr ist zusätzlich zu prüfen, ob dort tatsächlich die Entscheidungen hinsichtlich der Verarbeitung getroffen werden. Erfolgt dies nicht am Ort der Hauptverwaltung, kann diese nicht als Hauptniederlassung angesehen werden.
Was passiert bei fehlender Hauptniederlassung in EU?
Der EDSA hat sich auch zu der Konstellation geäußert, dass die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung nicht in der EU getroffen werden. Laut dem EDSA gibt es in einem solchen Fall keine Hauptniederlassung im Sinne der DSGVO in der EU.
Dementsprechend findet das One-Stop-Shop-Verfahren keine Anwendung. Vielmehr gelten die allgemeinen Regeln, wonach jede Aufsichtsbehörde die Einhaltung der DSGVO im eigenen Mitgliedstaat zu kontrollieren befugt ist.
Praktische Implikationen für Unternehmen
Es obliegt dem jeweiligen Unternehmen festzustellen, welche seiner Niederlassungen in der EU die Hauptniederlassung ist. Unternehmen sind gut beraten, sich damit früh – und nicht erst bei einer etwaigen Kontrolle – auseinanderzusetzen, denn so können sie ihre Compliance-Bemühungen besser steuern.
Bei einer derartigen Prüfung sind objektive Kriterien heranzuziehen, denn die DSGVO ermöglicht kein Forum Shopping, wonach sich ein Unternehmen eine Aufsichtsbehörde frei aussuchen könnte.
Sollte ein Unternehmen der Aufsichtsbehörde darstellen wollen, welche der Niederlassungen als Hauptniederlassung anzusehen ist, kann es sich laut der EDSA-Stellungnahme auf seine Dokumentation wie insbesondere die Verzeichnisse von Verarbeitungstätigkeiten und datenschutzrechtliche Regelungsdokumente berufen. Dies verdeutlich einmal mehr, dass Unternehmen ihren Pflichten nach der DSGVO nachkommen und ihre datenschutzrechtlichen Dokumente erstellen und regelmäßig pflegen sollten.