LITMIR.BIZ

Скачать книгу

diesem Hintergrund weist die Definition der betroffenen Aufsichtsbehörde einen engen Zusammenhang mit den Begriffen der „grenzüberschreitenden Datenverarbeitung“ nach Art. 4 Nr. 23 DSGVO sowie der „Hauptniederlassung“ nach Art. 4 Nr. 16 DSGVO auf; die Verbindung zur Begriffsbestimmung der „Aufsichtsbehörde“ nach Art. 4 Nr. 21 DSGVO ergibt sich naturgemäß. Im Rahmen der Zusammenarbeit mit der federführenden Aufsichtsbehörde sowie eines Kohärenz- bzw. Streitbeilegungsverfahrens entfaltet zudem die Begriffsbestimmung des „maßgeblichen und begründeten Einspruchs“ nach Art. 4 Nr. 24 DSGVO Relevanz.

2. Merkmale einer betroffenen Aufsichtsbehörde

      470

      Die Betroffenheit einer Aufsichtsbehörde kann sich aus einem oder mehreren der in Art. 4 Nr. 22 DSGVO abschließend genannten Gründe ergeben. Im Einzelnen:

a) Niederlassung im Mitgliedstaat (Art. 4 Nr. 22 lit. a)

      471

Eine Aufsichtsbehörde ist zunächst dann als „betroffen“ zu qualifizieren, wenn der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung im Hoheitsgebiet des Mitgliedstaates der Aufsichtsbehörde aufweist. Der weit gefasste Wortlaut der Norm wird insbesondere unter Berücksichtigung des weiten Verständnisses des Niederlassungsbegriffs834 jedoch in mehrfacher Hinsicht einzuschränken sein. Insofern kann das bloße Vorhandensein einer (an sich unbeteiligten) Niederlassung in einem Mitgliedstaat nicht uneingeschränkt zur Betroffenheit der jeweiligen nationalen Aufsichtsbehörde führen.

      472

Hierbei ist zunächst zu beachten, dass die Bestimmung der betroffenen Aufsichtsbehörde sich systematisch auf eine spezifische grenzüberschreitende Datenverarbeitung i.S.v. Art. 4 Nr. 23 DSGVO bezieht, für die eine Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO existiert, die wiederum die Zuständigkeit der jeweils federführenden Aufsichtsbehörde begründet.835 Wie zuvor ausgeführt, ist die Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO dabei je Datenverarbeitungsverfahren gesondert zu bestimmen.836 Vor diesem Hintergrund wird sich die Referenz auf „der Verantwortliche oder der Auftragsverarbeiter“ in Art. 4 Nr. 22 lit. a DSGVO systematisch auf die für die jeweilige grenzüberschreitende Datenverarbeitung anzusehende Hauptniederlassung beziehen. Insofern kann es sich im Rahmen von Art. 4 Nr. 22 lit. a DSGVO zunächst lediglich um Niederlassungen dieses bestimmten, für die jeweils vorliegende grenzüberschreitende Verarbeitung Verantwortlichen oder Auftragsverarbeiters handeln.

      473

Der systematische Zusammenhang zu Art. 4 Nr. 23 und Art. 4 Nr. 16 DSGVO spricht ferner dafür, dass lediglich solche Niederlassungen zur Betroffenheit der jeweiligen nationalen Aufsichtsbehörden führen können, die auch an der jeweiligen grenzüberschreitenden Verarbeitung entweder unmittelbar beteiligt sind, oder im Rahmen deren Tätigkeiten die Verarbeitung erfolgt (vgl. Art. 3 Abs. 1 sowie Art. 4 Nr. 23 DSGVO).837

      474

Ferner ist einschränkend zu beachten, dass lediglich die jeweils fachlich sowie (im Falle mehrerer nationaler Landesbehörden) jeweils geografisch zuständigen Aufsichtsbehörden als betroffen anzusehen sein werden.838

b) Erhebliche Auswirkungen auf Einwohner im Mitgliedstaat (Art. 4 Nr. 22 lit. b)

      475

Die Betroffenheit einer Aufsichtsbehörde kann sich auch daraus ergeben, dass die Verarbeitung personenbezogener Daten erhebliche Auswirkungen auf Einwohner des jeweiligen Mitgliedstaates hat oder haben kann. Maßgeblich ist hierbei der Wohnsitz der betroffenen Person; nicht erforderlich ist, dass die betroffene Person auch die Staatsangehörigkeit des Mitgliedstaates besitzt.839 Aufgrund des eindeutigen Wortlauts muss der Begriff der erheblichen Auswirkungen dabei über eine bloße Betroffenheit einer Person hinausgehen.840 Es muss sich insofern um eine besonders intensive, belastende oder mit besonders gravierenden Folgen für die betroffene Person verbundene Datenverarbeitung handeln.841 Zur Bewertung der Erheblichkeit einer Auswirkung bietet es sich an, auf die in den ErwG 75 und 76 erwähnten Faktoren zurückzugreifen.842 Zu beachten ist, dass nicht bereits jedwede Möglichkeit einer erheblichen Auswirkung tatbestandsbegründend ist. Vielmehr muss im konkreten Einzelfall mehr für eine erhebliche Auswirkung sprechen als dagegen.843

      476

      Ausweislich ErwG 124 Satz 4 obliegt es dem Europäischen Datenschutzausschuss, Kriterien herauszuarbeiten, die bei der Feststellung zu berücksichtigen sind, ob die fragliche Verarbeitung erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat.

c) Einreichung einer Beschwerde durch Betroffenen (Art. 4 Nr. 22 lit. c)

      477

Ferner kann auch die Einreichung einer Beschwerde (über die jeweilige grenzüberschreitende Datenverarbeitung) bei einer Aufsichtsbehörde diese als „Betroffene“ qualifizieren. Unter einer Beschwerde dürfte eine solche nach Art. 57 Abs. 1 lit. f DSGVO zu verstehen sein, wonach nicht nur betroffene Personen, sondern auch Organisationen i.S.v. Art. 80 DSGVO als Beschwerdeführer in Frage kommen.844

      478

Demzufolge ist es nicht ausreichend, dass eine von der Datenverarbeitung betroffene Person in den sachlichen und örtlichen Zuständigkeitsbereich einer Aufsichtsbehörde fällt.845 Vielmehr bedarf es der formalen Voraussetzung der Einreichung einer Beschwerde.846 Dieses Ergebnis wird insoweit durch die Wertung von Art. 4 Nr. 22 lit. b DSGVO untermauert, indem gerade eine erhebliche Auswirkung auf die Betroffenen vorausgesetzt wird.847 Irrelevant sollte dabei die Begründetheit der Beschwerde sein.848 Insofern kristallisiert sich oftmals erst nach Abschluss eines langwierigen, aufsichtsbehördlichen Verfahrens (und einer sich unter Umständen anschließenden gerichtlichen Klärung) heraus, ob ein Datenschutzverstoß vorliegt und die Beschwerde somit begründet war. Um angemessen an diesem Verfahren beteiligt zu werden, muss sich die Betroffenheit der jeweiligen Aufsichtsbehörde demnach bereits vor Abschluss des eigentlichen Verfahrens ergeben.849

      479

Die Reichweite des Beschwerderechts betroffener Personen richtet sich nach Art. 77 DSGVO, wonach sich betroffene Personen grundsätzlich an jede Aufsichtsbehörde innerhalb der EU wenden können und gerade nicht auf die für sie national zuständige Aufsichtsbehörde beschränkt sind.850 Hieraus folgt, dass sich die Betroffenheit einer Aufsichtsbehörde nach Art. 4 Nr. 22 lit. c DSGVO theoretisch auch dann ergeben kann, wenn der jeweilige Verantwortliche bzw. Auftragsverarbeiter über keine Niederlassung in dem Mitgliedstaat verfügt (vgl. lit. a) oder in dem Mitgliedstaat keine Personen von der grenzüberschreitenden Datenverarbeitung betroffen, geschweige denn erheblich belastet sind (vgl. lit. b).851 In der Praxis werden sich betroffene Personen jedoch regelmäßig an ihre jeweilige nationale Aufsichtsbehörde wenden.

       XXIV. Grenzüberschreitende Verarbeitung (Nr. 23)

       1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

      480

      Die Definition der grenzüberschreitenden Verarbeitung ist zentral für die Anwendung des sog. One-Stop-Shop-Verfahrens und die damit einhergehende Bestimmung der federführenden Aufsichtsbehörde sowie die weitere Zusammenarbeit der Aufsichtsbehörden nach den Art. 60ff. DSGVO. Der Begriff weist somit Zusammenhänge mit den Definitionen der Hauptniederlassung gemäß Art. 4 Nr. 16 DSGVO sowie der betroffenen Aufsichtsbehörde gemäß Art. 4 Nr. 22 DSGVO auf.

2. Merkmale einer grenzüberschreitenden Verarbeitung

      481

Скачать книгу