Eine der am meisten diskutierten Bestimmungen der EU Datenschutz-Grundverordnung ist das Konzept des One-Stop-Shops. Vereinfacht ausgedrückt bedeutet dies, dass ein Unternehmen, das in mehreren Ländern tätig ist, sich für eine Aufsichtsbehörde (in einem Land) entscheiden kann, indem es eine federführende Aufsichtsbehörde wählt, anstatt sich in jedem Land der Geschäftstätigkeit mit einer Aufsichtsbehörde zu befassen. Lesen Sie weiter um Folgendes zu erfahren:
- Wer kann eine federführende Aufsichtsbehörde ernennen?
- Welche sind die Anforderungen bei der Auswahl einer federführenden Aufsichtsbehörde?
- Was sollten Sie von der Auswahl einer federführenden Aufsichtsbehörde erwarten?
Wer kann eine federführende Aufsichtsbehörde ernennen?
Ein Verantwortlicher oder Auftragsverarbeiter, der in mehreren Ländern tätig ist, kann sich dafür entscheiden, eine einzige Aufsichtsbehörde als federführende Aufsichtsbehörde zu bestimmen. Nach der Ernennung wird die federführende Aufsichtsbehörde der Hauptansprechpartner für Fragen der Einhaltung der DSGVO wie die Registrierung eines Datenschutzbeauftragten, Meldungen über Datenschutzverletzungen usw.
Welche sind die Anforderungen bei der Auswahl der federführenden Aufsichtsbehörde?
Um das Risiko für Organisationen bei der Wahl der Aufsichtsbehörde zu mindern, heißt es in den Leitlinien der Artikel-29-Datenschutzgruppe eindeutig, dass die federführende Aufsichtsbehörde in dem Land gewählt werden muss, in dem das Unternehmen seine Hauptniederlassung in der EU hat. Dies bedeutet, dass sie sich in dem Standort befinden muss, in dem Entscheidungen in Bezug auf grenzüberschreitende Tätigkeiten getroffen werden.
Es ist anzumerken, dass die federführende Aufsichtsbehörde von einem Unternehmen nur im Rahmen von Tätigkeiten innerhalb der EU gewählt wird; d. h. dass ein Unternehmen nicht verpflichtet ist, eine federführende Aufsichtsbehörde für Tätigkeiten außerhalb der EU zu wählen.
Es sollte auch darauf hingewiesen werden, dass jedes Unternehmen, das personenbezogene Daten von in der EU ansässigen Personen verarbeitet, in den Anwendungsbereich der DSGVO fällt. Dies erleichtert die Sache wesentlich, da ein einziges Büro oder ein Tochterunternehmen in der EU jetzt eine federführende Aufsichtsbehörde in dem Land der Geschäftstätigkeit wählen und die Interaktion mit mehreren Aufsichtsbehörden vermieden werden kann.
Eine der Herausforderungen des Konzeptes der Ernennung einer federführenden Aufsichtsbehörde kann für ein Unternehmen bestehen, das komplett offshore arbeitet, etwa in den USA oder Australien, aber die personenbezogenen Daten von EU-Bürgern verarbeitet. Wenn ein solches Unternehmen kein EU-Büro hätte, wäre es eine Herausforderung, eine Aufsichtsbehörde in einem Mitgliedstaat als federführende Aufsichtsbehörde zu wählen. Es bleibt abzuwarten, wie sich eine solche Situation entwickeln wird.
Was sollten Sie von der Auswahl einer federführenden Aufsichtsbehörde erwarten?
Wenn ein Unternehmen eine federführende Aufsichtsbehörde auswählt, ist es möglich, dass eine betroffene Person eine Beschwerde bei einer Aufsichtsbehörde einlegt, die nicht als federführende Aufsichtsbehörde gewählt wurde. Unter diesen Umständen setzt diese Aufsichtsbehörde die federführende Aufsichtsbehörde davon unverzüglich in Kenntnis. Innerhalb von drei Wochen entscheidet die federführende Aufsichtsbehörde, wer diese Beschwerde bearbeitet. Grundsätzlich kann entschieden werden, dass die Aufsichtsbehörde diese Beschwerde bearbeitet. Wie dem auch sei arbeiten die federführende Aufsichtsbehörde als auch die Aufsichtsbehörde gemäß den Anforderungen der DSGVO zusammen; dies bedeutet, dass der Entscheidungsentwurf geteilt wird.
Schlussfolgerung
Die Ernennung einer federführenden Aufsichtsbehörde kann Ihrem Unternehmen erhebliche Verwaltungskosten einsparen und den Aufwand verringern, wenn Ihr Unternehmen an mehreren Standorten tätig ist. Sie sollten dies jedoch nicht als eine Möglichkeit sehen, eine einfachere Aufsichtsbehörde zu wählen (wenn Sie der Ansicht sind, dass solch eine besteht), weil die Wahl angefochten werden könnte. Und wenn sie in Frage gestellt wird, fällt es einzig und allein dem Verantwortlichen oder Auftragsverarbeiter zu, die Wahl der federführenden Aufsichtsbehörde zu rechtfertigen.
Klicken Sie hier, um zur kostenlosen Online-Schulung GDPR Foundations Course zu gelangen und mehr über Aufsichtsbehörden zu erfahren.