Welcher Aufsichtsbehörde unterliegt Ihre Organisation unter der DSGVO?

Es scheint eine einfache Aufgabe zu sein, herauszufinden, welche Aufsichtsbehörde welchen der 28 EU-Mitgliedstaaten (27 nach dem Brexit) zu beaufsichtigen vermag. Das ist doch ganz einfach die Behörde in Ihrem Land bzw. Unternehmen oder nicht? Nun, es ist doch um einiges komplizierter. In diesem Blogpost informieren wir Sie über die Behördenlandschaft nach dem Inkrafttreten der Datenschutz-Grundverordnung oder DSGVO am 25. Mai 2018.

Auf dem ersten Blick erscheinen zwei europäische Organe dafür relevant zu sein. Das erste ist der EDSB, der Europäische Datenschutzbeauftragte, welcher der Supervisor über die europäischen institutionellen Datenverarbeitungsvorgänge ist und bleibt. Wenn Sie nichts mit einer der EU-Institutionen oder -Organe zu tun haben ist es sehr unwahrscheinlich, dass Sie unter den Zuständigkeitsbereich des EDSB fallen, obwohl er einige kooperative und koordinative Arbeitsbereiche hat.

Die zweite Institution wird durch den Europäischen Datenschutzausschuss EDSA (Art.68) gebildet, der Nachfolger der Artikel-29-Datenschutzgruppe, die die einheitliche Anwendung der ‘alten’ Datenschutzrichtlinie (95/46) promotet hat. Am 25. Mai wird der EDSA die Datenschutzgruppe ersetzen mit dem Ziel, die DSGVO gleichmäßig quer durch die EU anzuwenden. Der EDSB stellt das Sekretariat des EDSA bereit und unterstützt diesen auch in analytischer, verwaltungstechnischer und logistischer Hinsicht.

Die Mitgliedstaaten behalten ihre vorhandenen Aufsichtsbehörden, die unter der DSGVO als federführende Aufsichtsbehörden agieren können. Die Entscheidung, welche Aufsichtsbehörde zur federführenden Aufsichtsbehörde wird erfolgt durch Bestimmung der einzigen Niederlassung oder der Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters, der den grenzüberschreitenden Verarbeitungsvorgang durchführt. (Art. 56 Par. 1 DSGVO). Die federführende Aufsichtsbehörde stellt für den Auftragsverarbeiter bzw. Verantwortlichen angesichts seiner Aktivitäten mit grenzüberschreitenden Datenverarbeitungsvorgängen den einzigen Ansprechpartner dar.

Von dieser Vorgehensweise ausgeschlossen sind Organisationen, die auf Basis der Rechtsgründe für die Verarbeitung Artikel 6(c) und (e) der DSGVO agieren, um entweder den gesetzlichen Auflagen zu entsprechen oder eine ihnen im öffentlichen Interesse übertragene Aufgabe erfüllen zu können (Art. 55 Par. 3 DSGVO).

Betrifft eine Beschwerde einen Verarbeitungsprozess in einem Mitgliedstaat, während die Hauptniederlassung und der Verantwortliche sich in einem anderen Land befinden, dann fällt die Zuständigkeit auf die Aufsichtsbehörde des Mitgliedstaats (Art. 56 Par. 2 DSGVO). Diese Aufsichtsbehörde informiert die federführende Aufsichtsbehörde, die wiederum darüber entscheiden kann, ob sie die Führung übernimmt. Sind sich die Aufsichtsbehörden inklusive der federführenden Aufsichtsbehörde uneinig, dann trifft der EDSA die letzte Entscheidung (Art. 65 DSGVO).

Einen Leitfaden zur Bestimmung der Zuständigkeit von Aufsichtsbehörden für Ihre Verarbeitungsvorgänge finden Sie im Leitfaden der Artikel-29-Datenschutz-Gruppe. Es ist wichtig für Ihre Organisation zu wissen, dass Forum Shopping nicht erlaubt ist und Aufsichtsbehörden die Möglichkeit wahrnehmen, ihre Rechtsprechung aufgrund von objektiven Kriterien aufzubauen.

 

Laurens Mommers
COO PrivacyPerfect