GSB 7.1 Standardlösung

Navigation und Service

Zusammenarbeit der Aufsichtsbehörden in Deutschland und Europa nach der DSGVO

Für Verantwortliche mit europäischer Niederlassung ist bei grenzüberschreitenden Datenverarbeitungen die federführende Aufsichtsbehörde im Mitgliedstaat der europäischen Hauptniederlassung alleiniger Ansprechpartner (One-Stop-Shop-Prinzip). Die betroffenen europäischen Aufsichtsbehörden arbeiten untereinander für eine einheitliche Rechtsanwendung zusammen (Kooperationsverfahren). Gegenüber dem Verantwortlichen tritt ausschließlich die federführende Aufsichtsbehörde in Erscheinung.

es ist das Händegeben abgebildet und im Vordergrund sind digitale Symbole dargestellt
Adobe Stock Quelle: Adobe Stock

Als „Betroffene Aufsichtsbehörden“ werden Datenschutzbehörden bezeichnet, in deren Zuständigkeitsbereich sich Niederlassungen des Verantwortlichen befinden. Des Weiteren trifft diese Bezeichnung auf Aufsichtsbehörden zu, bei denen Betroffene Beschwerde eingereicht haben oder in deren örtlicher Zuständigkeit Personen ihren Wohnsitz haben, auf die die Datenverarbeitung erhebliche Auswirkung haben kann. Federführende Aufsichtsbehörde ist diejenige betroffene Aufsichtsbehörde, innerhalb deren Zuständigkeitsbereich der Verantwortliche seine europäische Hauptniederlassung hat.

An dem Kooperationsverfahren nehmen in Deutschland die Datenschutzaufsichtsbehörden des Bundes und der Länder teil. Bei Bedarf werden sie von der ZASt unterstützt; etwa bei der Bestimmung der zuständigen deutschen Aufsichtsbehörde(n) oder der Klärung der innerstaatlichen Zuständigkeit.

Wird auf europäischer Ebene im Kooperationsverfahren kein Konsens erreicht, ist das Kohärenzverfahren (Art. 63 ff. DSGVO) und hier konkret das Streitbeilegungsverfahren (Art. 65 DSGVO) durchzuführen. Dieses wird eingeleitet, wenn eine betroffene Aufsichtsbehörde Einspruch gegen den Beschlussentwurf der federführenden Aufsichtsbehörde einlegt und diese sich dem Einspruch nicht anschließt. In diesem Fall entscheidet der Europäische Datenschutzausschuss (EDSA), in dem die europäischen Aufsichtsbehörden mit je einer Stimme pro Mitgliedstaat sowie der Europäische Datenschutzbeauftragte stimmberechtigt sind.

Im EDSA wird Deutschland durch den Gemeinsamen Vertreter oder seinen Stellvertreter repräsentiert, die bei der Stimmabgabe an einen von Bund und Ländern erarbeiteten gemeinsamen Standpunkt gebunden sind.

Zur Ermittlung des gemeinsamen Standpunktes kooperieren die Aufsichtsbehörden des Bundes und der Länder miteinander mit dem Ziel einer einvernehmlichen Positionierung. Gelingt dies nicht, kommt es zu einem abgestuften Verfahren zur Entscheidungsfindung (§ 18 BDSG). Die deutsche Position wird dabei letztlich durch eine Mehrheitsentscheidung festgelegt. Dieser Prozess der innerstaatlichen Willensbildung wird von der ZASt koordiniert.

Nach der Stimmabgabe im EDSA trifft dieser einen verbindlichen Beschluss. Soweit die Einsprüche Erfolg haben, wird der federführenden Aufsichtsbehörde aufgegeben, den Beschlussentwurf entsprechend anzupassen.

In Umsetzung des EDSA-Beschlusses erlässt die federführende Aufsichtsbehörde den eigenen, ggf. angepassten Beschluss gegenüber dem Verantwortlichen. Lag dem Verfahren eine Beschwerde zugrunde und war diese ganz oder teilweise erfolglos, so erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, den Beschluss gegenüber dem Beschwerdeführer. Der Beschwerdeführer wird damit in die Lage versetzt, die Entscheidung vor den Gerichten des Mitgliedstaats der Beschwerdeerhebung überprüfen zu lassen.

Über die Klärung von Einzelfragen im Streitbeilegungsverfahren hinaus, sorgt der EDSA auch in anderen Fällen des Kohärenzverfahrens für eine einheitliche Anwendung der DSGVO. Dies erfolgt durch Abgabe von Stellungnahmen, etwa in Fällen von mitgliedstaatsübergreifender Bedeutung (Art. 64 DSGVO) oder im Anschluss an befristete einstweilige Maßnahmen von Aufsichtsbehörden (Art. 66 DSGVO).