DSGVO – Zuständige Aufsichtsbehörde bei grenzüberschreitender Verarbeitung personenbezogener Daten

Bis zum 28.5.2018 befinden wir uns in der Übergangszeit, bis die europäische Datenschutzgrundverordnung (DSGVO) Anwendung finden wird. Die Ablösung der nationalen Regelungen aus BDSG, TMG und TKG zwingt jedes Unternehmen, das innerhalb der Europäischen Union personenbezogene Daten verarbeitet, seine Prozesse so umzugestalten und anzupassen, dass es den Anforderungen und Neuerungen der DSGVO genügt. Dabei sind u.a. die neuen Anforderungen an die Meldepflichten zu beachten, die sich nach DSGVO erheblich verschärft haben. Beachtet werden sollte dies insbesondere auch bei der grenzüberschreitenden Verarbeitung personenbezogener Daten. Hier stellt sich aufgrund der unübersichtlichen Regelungen die Frage, welche Aufsichtsbehörde in einem solchen Fall zuständig ist.

I. Meldepflichten nach geltendem Recht

  • Meldepflicht von Datenschutzverstößen gem. § 42a BDSG gilt nur, wenn besondere Arten personenbezogener Daten betroffen sind (bspw. Bank- und Kontodaten)
  • Die Meldepflicht gilt nur bei unrechtmäßiger Übermittlung von Daten oder bei Zugriff durch unbefugte Dritte
  • Die Meldepflicht gilt darüber hinaus auch nur, wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen
  • Die Anforderungen an die Meldepflicht müssen kumulativ erfüllt sein

 

II. Meldepflichten nach der DSGVO

1. Meldepflicht an die Aufsichtsbehörde gem. Art. 33 DSGVO

  • Unverzügliche Meldung (72 Std.) an die zuständige ASB bei jeder „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 33 Abs. 1 DSGVO
  • Meldepflicht gilt damit für jeden Fall der rechtswidrigen Datenverarbeitung (auch bei rechtswidrigen Zerstörung, Veränderung, Verlust, versehentlicher Verletzung von Daten sowie bei Zugriff durch unbefugte Dritte auf Daten)
  • Inhaltliche Anforderungen an die Meldepflicht ergeben sich aus Art. 33 Abs. 3 lit. a bis d DSGVO
  • Den Verantwortlichen trifft gem. Art. 33 Abs. 5 DSGVO eine umfassende Dokumentationspflicht u.a. über Auswirkungen und ergriffene Maßnahmen
  • Ausnahme: Keine Meldepflicht, wenn vsl. kein „Risiko für die Rechte und Freiheiten natürlicher Personen“ besteht (Risikokatalog in ErwGr (75) DSGVO)

Einen ausführlichen Beitrag zum Thema Meldepflichten und DSGVO finden sie hier.

2. Zuständige Aufsichtsbehörde

Gem. Art. 33 Abs. 1 S. 1 DSGVO ist der Verantwortliche dazu verpflichtet im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde zu melden. Gem. Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.

Auf nationaler Ebene ist somit relativ eindeutig, dass im Falle eines Datenschutzverstoßes i.S.d. Art. 33 DSGVO dies den nationalen (bspw. deutschen) Aufsichtsbehörden zu melden ist. Jedoch sind die Regelungen über die Zuständigkeiten bei den Meldepflichten – insbesondere bei der grenzüberschreitenden Verarbeitung personenbezogener Daten – teils sehr unübersichtlich.

3. Zuständige Aufsichtsbehörde bei grenzüberschreitender Verarbeitung personenbezogener Daten

Art. 33 Abs. 1 S. 1 DSGVO verweist zur Meldung auf die zuständige Aufsichtsbehörde gem. Art. 55 DSGVO. Bei grenzüberschreitender Verarbeitung ist jedoch Art. 56 i.V.m. Art. 4 Nr. 23 lit. a und b  sowie ErwGr (124) S. 1 DSGVO einschlägig, der die Zuständigkeit der federführenden Aufsichtsbehörde regelt sowie die grenzüberschreitende Verarbeitung definiert.

Gem. Art. 4 Nr. 23 lit. a DSGVO handelt es sich um eine grenzüberschreitende Verarbeitung,

  • „wenn bei der Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen … in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche … in mehr als einem Mitgliedstaat niedergelassen ist, oder“
  • „eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen … in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann“

Gem. Art. 56 Abs. 1 DSGVO ist „unbeschadet des Artikels 55 … die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen … gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen … durchgeführte grenzüberschreitende Verarbeitung.

Dies bestätigt auch ErwGr (124) S. 1 und 2 DSGVO in dem es heißt, dass „die Aufsichtsbehörde für die Hauptniederlassung des Verantwortlichen … oder für die einzige Niederlassung des Verantwortlichen … als federführende Behörde fungieren sollte… . Sie sollte mit den anderen Behörden zusammenarbeiten, die betroffen sind,… .“

Des Weiteren ist nach Art. 56 Abs. 6 DSGVO „die federführende Aufsichtsbehörde ... der einzige Ansprechpartner der Verantwortlichen … für Fragen der von diesem Verantwortlichen … durchgeführten grenzüberschreitenden Verarbeitung.

Die folgenden Beispiele, sollen noch einmal verdeutlichen in welchem Land eine Meldepflicht besteht:

Beispiel 1: Einzige (Haupt-)Niederlassung in Deutschland

Ein Unternehmen mit einer einzigen (Haupt-)Niederlassung in Deutschland erhebt und verarbeitet personenbezogene Daten betroffener Personen aus einem anderen europäischen Land. Gem. Art. 56 Abs. 1 DSGVO i.V.m. Art. 4 Nr. 23 lit. b und ErwGr (124) S. 1 und 2 DSGVO läge die zuständige federführende Aufsichtsbehörde und Meldepflicht etwaiger Datenschutzverstöße i.S.d. Art. 33 DSGVO ebenfalls in Deutschland.

Beispiel 2: Hauptniederlassung in Deutschland – Niederlassung in Frankreich

Ein Unternehmen mit Hauptniederlassung in Deutschland erhebt und verarbeitet durch eine Niederlassung in Frankreich personenbezogene Daten. Gem. Art. 56 Abs. 1 DSGVO i.V.m. Art. 4 Nr. 23 lit. a und ErwGr (124) S. 1 und 2 DSGVO läge die zuständige federführende Aufsichtsbehörde und Meldepflicht etwaiger Datenschutzverstöße i.S.d. Art. 33 DSGVO auch hier in Deutschland.

Beispiel 3: Einzige (Haupt-)Niederlassung in der Schweiz

Ein Unternehmen mit einer einzigen (Haupt-)Niederlassung in der Schweiz erhebt und verarbeitet personenbezogene Daten betroffener Personen aus einem anderen europäischen Land. Gem. Art. 56 Abs. 1 DSGVO i.V.m. Art. 4 Nr. 23 lit. a und ErwGr (124) S. 1 und 2 DSGVO kommt es für die Meldepflichten nicht auf den Sitz der betroffenen Person an, sondern auf den Sitz des Daten verarbeitenden Unternehmens. In diesem Fall hat das Schweizer Unternehmen keine Niederlassung in einem EU-Staat und somit gibt es im Falle eines Datenschutzverstoßes auch keine Meldepflicht in der EU.

Beispiel 2: Hauptniederlassung in der Schweiz – Niederlassung in Deutschland

Ein Unternehmen mit Hauptniederlassung in der Schweiz erhebt und verarbeitet durch Niederlassungen in Deutschland personenbezogene Daten. Gem. Art. 56 Abs. 1 DSGVO i.V.m. Art. 4 Nr. 23 lit. a und ErwGr (124) S. 1 und 2 DSGVO läge die zuständige federführende Aufsichtsbehörde hier in Deutschland, da dies die einzige Niederlassung innerhalb der EU ist. Somit läge hier eine Meldepflicht etwaiger Datenschutzverstöße i.S.d. Art. 33 DSGVO in Deutschland vor.

4. Geldbußen bei Nichtbeachtung der Meldepflicht

Gem. Art. 83 Abs. 4 lit. a DSGVO ist bei einem Verstoß gegen die Meldepflicht, wozu auch eine Meldung an die falsche Aufsichtsbehörde bei grenzüberschreitender Verarbeitung personenbezogener Daten fällt, mit erhöhten Bußgeldern zu rechnen. ErwGr (150) S. 3 DSGVO stellt dabei klar, dass wenn „… Geldbußen Unternehmen auferlegt [werden], sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden“. D.h. das nach ständiger Rechtsprechung des EuGH der Konzern als Unternehmen behandelt werden kann und somit gem. Art. 83 Abs. 4 lit. a DSGVO der weltweite Konzernumsatz als Grundlage für die Bemessung der Geldbuße herangezogen wird.

Somit wird deutlich, dass Unternehmen mit Anwendung der DSGVO nicht nur im Falle einer Datenpanne schneller und umfassender handeln müssen als bisher, sondern insbesondere bei grenzüberschreitender Verarbeitung personenbezogener Daten sich auch an die dem Sachverhalt nach zuständige Aufsichtsbehörde wenden müssen.

 

III. Fazit

Für die bei einer Meldepflicht zuständige Aufsichtsbehörde bei grenzüberschreitender Verarbeitung personenbezogener Daten kann zusammenfassend festgestellt werden, dass:

  • es bei der Meldepflicht an die zuständige Aufsichtsbehörde auf den Sitz des Daten verarbeitenden Unternehmens ankommt und
  • es bei der Meldepflicht an die zuständige Aufsichtsbehörde nicht auf den Sitz der Betroffenen ankommt

Darüber hinaus sind es, wie eingangs angedeutet, nicht nur die erhöhten datenschutzrechtlichen Anforderungen an die Meldepflichten, die Unternehmen beachten müssen. Vielmehr erstreckt sich der Anpassungsbedarf über eine Vielzahl von Prozessen, die es gilt DSGVO-konform auszugestalten und anzupassen. 

10. April 2017