News

Europäischer Daten­schutz­aus­schuss: Neue Leitlinien zur feder­führenden Aufsichts­behörde

14.11.2022

Der Europäische Datenschutzausschuss (EDSA) hat kürzlich neue Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde zur öffentlichen Konsultation veröffentlicht.

In seinen neuen Leitlinien vollzieht der EDSA eine zwar lediglich punktuelle aber dennoch für die Praxis bedeutsame Kehrtwende bei der Anwendbarkeit des Konzepts der federführenden Aufsichtsbehörde für gemeinsam Verantwortliche. Unternehmen, die personenbezogene Daten in gemeinsamer Verantwortung mit anderen Unternehmen verarbeiten, sollten Vereinbarungen zur gemeinsamen Verantwortlichkeit, interne Richtlinien zum Datenschutz und Datenschutzinformationen einer sorgfältigen Revision unterziehen, ob sie den neuen behördlichen Vorgaben Rechnung tragen:

Hintergrund: Konzept der federführenden Aufsichtsbehörde nach der DS-GVO und bereits etablierte Leitlinien der Artikel-29-Datenschutzgruppe

Für grenzüberschreitende Datenverarbeitungstätigkeiten eines Unternehmens ist nach der DS-GVO die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Unternehmens als sog. „federführende Aufsichtsbehörde“ zuständig. Die federführende Aufsichtsbehörde ist nach dem sog. „One-Stop-Shop“-Prinzip der einzige Ansprechpartner des jeweiligen Unternehmens für grenzüberschreitende Datenverarbeitungen.

Die Bestimmung der federführenden Aufsichtsbehörde ist zunächst einmal für die Zusammenarbeit der Aufsichtsbehörden untereinander relevant, beispielsweise bei der Behandlung von Beschwerden betroffener Personen sowie bei behördlichen Untersuchungen, Durchsetzungsmaßnahmen und Sanktionen gegenüber Unternehmen.

In der Praxis hat die Bestimmung der federführenden Aufsichtsbehörde jedoch auch für Unternehmen gewichtige Bedeutung, beispielsweise bei der formellen oder informellen Konsultation der Aufsichtsbehörde zu grenzüberschreitenden Datenverarbeitungen oder bei der Meldung von grenzüberschreitenden Datenschutzverletzungen. Typischerweise finden sich Angaben zur federführend zuständigen Aufsichtsbehörde daher auch in internen Richtlinien zum Umgang mit Datenschutzvorfällen. Auch für die Gestaltung von Datenschutzinformationen, in denen Unternehmen häufig die für sie zuständige Aufsichtsbehörde angeben, kann die Bestimmung der federführenden Aufsichtsbehörde relevant sein.

Bereits vor Wirksamwerden der DS-GVO hatte die damalige Artikel-29-Datenschutzgruppe am 13. September 2016 Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters verabschiedet. Als Nachfolger der Artikel-29-Datenschutzgruppe hatte der EDSA diese Leitlinien am 25. Mai 2018 formell bestätigt.

Punktuelle Kehrtwende zur Anwendbarkeit des Konzepts der federführenden Aufsichtsbehörde für gemeinsam Verantwortliche

Abgesehen von redaktionellen Änderungen hat der EDSA in seinen neuen Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde die bereits etablierten Leitlinien der Artikel-29-Datenschutzgruppe inhaltlich weitestgehend unverändert übernommen. In einem Punkt vollzieht der EDSA jedoch eine für die Praxis bedeutsame Kehrtwende:

In ihren alten Leitlinien vertraten die Aufsichtsbehörden den Standpunkt, dass gemeinsam Verantwortliche für grenzüberschreitende Verarbeitungstätigkeiten eine gemeinsame Hauptniederlassung und damit eine federführende Aufsichtsbehörde bestimmen sollten, um vom „One-Stop-Shop“-Prinzip zu profitieren.

Diese Empfehlung revidiert der EDSA in seinen neuen Leitlinien nun durch eine Klarstellung: Das Konzept der Hauptniederlassung und damit auch der federführenden Aufsichtsbehörde sei nur auf einzelne Verantwortliche, nicht auf gemeinsam Verantwortliche anwendbar. Eine etwaige Hauptniederlassung und damit die federführende Behörde könne nur für jeden gemeinsam Verantwortlichen individuell bestimmt werden. Die Hauptniederlassung eines gemeinsam Verantwortlichen könne nicht als Hauptniederlassung aller gemeinsam Verantwortlichen betrachtet werden. Etwaige Vereinbarungen zur Bestimmung einer federführenden Behörde in Verträgen über die gemeinsame Verantwortlichkeit sind demzufolge also wirkungslos.

Öffentliches Konsultationsverfahren und Revisionsbedarf für Unternehmen

Der EDSA holt zu seinen neuen Leitlinien noch bis zum 2. Dezember 2022 Feedback im öffentlichen Konsultationsverfahren ein, wobei der EDSA ausdrücklich darauf hinweist, dass sich die Konsultation nicht auf die gesamten Leitlinien, sondern ausschließlich auf den inhaltlich aktualisierten Abschnitt zur Bestimmung der federführenden Behörde bei gemeinsam Verantwortlichen bezieht. Zwar ist nicht auszuschließen, dass der EDSA auf Grundlage des Feedbacks im Konsultationsverfahren noch Änderungen seiner Leitlinien vornimmt. Üblicherweise sind diese Änderungen aber lediglich redaktioneller Natur. Mit wesentlichen inhaltlichen Änderungen ist nicht zu rechnen.

Unternehmen, die personenbezogene Daten in gemeinsamer Verantwortung mit anderen Unternehmen verarbeiten, sollten daher schon jetzt die Änderungen des EDSA berücksichtigen, zumal die veröffentlichte Fassung der Leitlinien die gemeinsame Linie der europäischen Aufsichtsbehörden wiedergibt. Wir empfehlen insbesondere, die nun vom EDSA veröffentlichten Leitlinien zum Anlass zu nehmen, Vereinbarungen zur gemeinsamen Verantwortlichkeit, interne Richtlinien zum Datenschutz und Datenschutzinformationen einer sorgfältigen Revision zu unterziehen, ob sie den neuen behördlichen Vorgaben zur federführenden Aufsichtsbehörde bei gemeinsam Verantwortlichen Rechnung tragen.