Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Zusammenarbeit der Aufsichtsbehörden in Deutschland und Europa nach der DSGVO

Für Verantwortliche mit europäischer Niederlassung ist bei grenzüberschreitenden Datenverarbeitungen die federführende Aufsichtsbehörde im Mitgliedstaat der europäischen Hauptniederlassung alleiniger Ansprechpartner (One-Stop-Shop-Prinzip). Die betroffenen europäischen Aufsichtsbehörden arbeiten untereinander für eine einheitliche Rechtsanwendung zusammen (Kooperationsverfahren). Gegenüber dem Verantwortlichen tritt ausschließlich die federführende Aufsichtsbehörde in Erscheinung.

es geben sich zwei Hände und im Vordergrund sind digitale Zeichen dargestellt
Quelle: ©VideoFlow - stock.adobe.com

Als „Betroffene Aufsichtsbehörden“ werden Datenschutzbehörden bezeichnet, in deren Zuständigkeitsbereich sich Niederlassungen des Verantwortlichen befinden. Des Weiteren trifft diese Bezeichnung auf Aufsichtsbehörden zu, bei denen Betroffene Beschwerde eingereicht haben oder in deren örtlicher Zuständigkeit Personen ihren Wohnsitz haben, auf die die Datenverarbeitung erhebliche Auswirkung haben kann. Federführende Aufsichtsbehörde ist diejenige betroffene Aufsichtsbehörde, innerhalb deren Zuständigkeitsbereich der Verantwortliche seine europäische Hauptniederlassung hat. Zu Beginn eines jeden Kooperationsverfahrens klären die Aufsichtsbehörden untereinander, wer federführende und wer betroffene Aufsichtsbehörde ist.

An dem Kooperationsverfahren nehmen in Deutschland die Datenschutzaufsichtsbehörden des Bundes und der Länder teil. Bei Bedarf werden sie von der ZASt unterstützt; etwa bei der Bestimmung der zuständigen deutschen Aufsichtsbehörde(n) oder der Klärung der innerstaatlichen Zuständigkeit.

Es folgt die eigentliche inhaltliche Fallbearbeitung, zu der sich federführende und betroffene Aufsichtsbehörden fortwährend austauschen. Anschließend legt die federführende Aufsichtsbehörde einen Beschlussentwurf vor, wie sie das Verfahren gegenüber dem Verantwortlichen abzuschließen gedenkt (durch Einstellung oder Erlass von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO).

Wird auf europäischer Ebene im Kooperationsverfahren kein Konsens zur Frage der Federführung oder zu dem Beschlussentwurf erreicht, ist das Kohärenzverfahren (Art. 63 ff. DSGVO) und hier konkret das Streitbeilegungsverfahren (Art. 65 DSGVO) durchzuführen. Der praktisch häufigste Fall ist der, dass eine betroffene Aufsichtsbehörde Einspruch gegen den Beschlussentwurf einlegt und die federführende Aufsichtsbehörde sich diesem nicht anschließt.. In diesem Fall entscheidet der Europäische Datenschutzausschuss (EDSA), in dem die europäischen Aufsichtsbehörden mit je einer Stimme pro Mitgliedstaat sowie der Europäische Datenschutzbeauftragte stimmberechtigt sind.

Im EDSA wird Deutschland durch den Gemeinsamen Vertreter oder seinen Stellvertreter repräsentiert. Liegt zu einem Abstimmungsgegenstand ein gemeinsamer Standpunkt der Aufsichtsbehörden des Bundes und der Ländern gemäß § 18 BDSG vor, muss dieser den Verhandlungen im EDSA zu Grunde gelegt werden.

Zur Ermittlung des gemeinsamen Standpunktes kooperieren die Aufsichtsbehörden des Bundes und der Länder miteinander mit dem Ziel einer einvernehmlichen Positionierung. Gelingt dies nicht, kommt es in einem abgestuften Verfahren zur Entscheidungsfindung (§ 18 Abs. 2 BDSG). Die deutsche Position wird dabei letztlich durch eine Mehrheitsentscheidung festgelegt. Dieser Prozess der innerstaatlichen Willensbildung wird von der ZASt koordiniert.

Nach der Stimmabgabe im EDSA trifft dieser einen verbindlichen Beschluss. Soweit die Einsprüche Erfolg haben, wird der federführenden Aufsichtsbehörde aufgegeben, den Beschlussentwurf entsprechend anzupassen.

Das Verfahren endet damit, dass die federführende Aufsichtsbehörde den eigenen, ggf. angepassten Beschluss gegenüber dem Verantwortlichen erlässt. Lag dem Verfahren eine Beschwerde zugrunde und war diese ganz oder teilweise erfolglos, so erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, den Beschluss gegenüber dem Beschwerdeführer. Der Beschwerdeführer wird damit in die Lage versetzt, die Entscheidung vor den Gerichten des Mitgliedstaats, in dem er Beschwerde erhoben hat überprüfen zu lassen.

Über die Klärung von Einzelfragen im Streitbeilegungsverfahren hinaus, sorgt der EDSA auch in anderen Fällen des Kohärenzverfahrens für eine einheitliche Anwendung der DSGVO. Dies erfolgt durch Abgabe von Stellungnahmen, etwa in Fällen von mitgliedstaatsübergreifender Bedeutung (Art. 64 DSGVO) oder im Anschluss an befristete einstweilige Maßnahmen von Aufsichtsbehörden (Art. 66 DSGVO).