Datenschutz

Europäischer Datenschutzbeauftragter: One-Stop-Shop am Ende

01.05.2021

IITR Information[IITR – 01.05.21] Der Europäische Datenschutzbeauftragte, Herr Wojciech Wiewiórowski, hat in einer Diskussionsveranstaltung der IAPP ausgeführt, dass er das One-Stop-Shop-Verfahren für gescheitert hält und an dieser Stelle dringenden Reformbedarf sieht. Das One-Stop-Shop-Verfahren der EU-Datenschutzgrundverordnung legt fest, dass bei grenzüberschreitender Datenverarbeitung eine federführende Aufsichtsbehörde an der Hauptniederlassung des Unternehmens alleiniger Ansprechpartner ist.

Rolle des Europäischen Datenschutzbeauftragten

Der Europäische Datenschutzbeauftragte ist die Aufsichtsbehörde der Organe der Europäischen Union, wobei diese selbst nicht der EU-Datenschutzgrundverordnung unterliegen. Dennoch spielt der Europäische Datenschutzbeauftragte eine gewichtige Rolle auch im politischen Diskurs der Ausgestaltung datenschutzrechtlicher Regelungen. So baut auch der Europäische Datenschutzausschuss (als in Auslegungsfragen der DSGVO für die Aufsichtsbehörden entscheidungsbefugtes Organ) personell auf dem Europäischen Datenschutzbeauftragten auf.

Was ist das One-Stop-Shop-Verfahren?

Das One-Stop-Shop-Verfahren wurde in der DSGVO implementiert, um grenzüberschreitend tätigen Unternehmen in der Europäischen Union eine einheitliche Kommunikation mit den Aufsichtsbehörden zu bieten und so eine Harmonisierung der aufsichtsrechtlichen Tätigkeiten innerhalb der Europäischen Union zu gewährleisten. So sollte das Ziel verfolgt werden, einen mit der DSGVO vereinheitlichen Rechtsrahmen auch einheitlich auszulegen.

So besagt Art. 56 DSGVO:

(1) [Es] (…) ist die Aufsichtsbehörde der Hauptniederlassung (…) des Verantwortlichen (…) die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen (…) durchgeführte grenzüberschreitende Verarbeitung. (…)

(6) Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen (…) für Fragen der von diesem Verantwortlichen (…) durchgeführten grenzüberschreitenden Verarbeitung.

Für Unternehmen mit verschiedenen Anknüpfungspunkten in der Europäischen Union wird also die Aufsichtsbehörde der Hauptniederlassung als einziger Ansprechpartner tätig.

Streitbeilegung durch Europäischen Datenschutzausschuss

Sollten die federführende Aufsichtsbehörde und die im übrigen potentiell befassten Aufsichtsbehörden unterschiedlicher Auffassung in der Handhabe eines Falles sein, kann der Europäische Datenschutzausschuss nach Art. 65 DSGVO einen verbindlichen Beschluss zur Streitbelegung fassen.

Art. 65 DSGVO führt dazu unter anderem aus:

Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss:

a) wenn eine betroffene Aufsichtsbehörde (…) einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde eingelegt hat und sich die federführende Aufsichtsbehörde dem Einspruch nicht angeschlossen hat (…). (…)

b) wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist (…).

Entscheidungsfindung komplex und langwierig

Dieses Verfahren ist in der Praxis allerdings derart komplex und langwierig, dass die Aufsichtsbehörden hier in der Vergangenheit zu keinen zeitnahen verbindlichen Entscheidungen finden konnten (zum Verfahren selbst vertiefend aus 2016: Datenschutz und das One-Stop-Shop-Verfahren: einfach nach außen, kompliziert nach innen).

Wörtlich sagte der Europäische Datenschutzbeauftragte Herr Wiewiórowski (Quelle: Aufnahme der Veranstaltung ansehen):

“I’m afraid that one-stop-shop binding decisions taken by the (European Data Protection Board) may become orphans in the end.”

Rolle der irischen Aufsichtsbehörde

Diese Äußerungen sind im Lichte des aktuellen Streits der Aufsichtsbehörden insb. im Hinblick auf die Rolle der irischen Aufsichtsbehörde zu sehen. Irland ist Sitz der meisten europäischen Tochterfirmen US-amerikanischer IT-Firmen wie zum Beispiel Facebook. Die Aufsichtsbehörden werfen der irischen Behörde ein zu langsames Vorgehen vor. Die irische Aufsichtsbehörde rechtfertigt die lange Verfahrensdauer unter Verweis auf prozeduralen Anforderungen des irischen Rechts. Die Rolle der irischen Aufsichtsbehörde war jüngst auch Gegenstand der Befassung von Ausschüssen sowohl des europäischen Parlaments als auch des irischen Justizministeriums.

Hamburg leitet Dringlichkeitsverfahren unter Umgehung der irischen Aufsicht gegen Facebook ein

So hat jüngst die Datenschutz-Aufsichtsbehörde in Hamburg ein Dringlichkeitsverfahren gegen Facebook (im Hinblick auf die von Facebook geplante Nutzung von WhatsApp-Daten) eingeleitet.

Ein solches Dringlichkeitsverfahren nach Art. 66 DSGVO ist unter Umgehung der an sich federführenden Aufsichtsbehörde mit folgenden Anforderungen möglich:

Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren (…) sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. (…)

Politisches Ziel: Einheitliche Datenschutz-Aufsichtsbehörde in der EU?

Herr Wiewiórowski spezifierte nicht weiter, wie das System aus seiner Sicht konkret geändert werden sollte, um die benannten Probleme zu adressieren. Er führte aber aus, dass von einer Durchsetzung der datenschutzrechtlichen Anforderungen gerade auch gegenüber den großen Tech-Firmen und nicht nur den lokalen mittelständischen Unternehmen in Europa letztlich die Akzeptanz und Existenzberechtigung der DSGVO abhänge.

In gleicher Weise argumentiert auch der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Herr Professor Ulrich Kelber, der bereits zu seinem Amtsantritt die Schaffung einer einheitlichen europäischen Datenschutz-Aufsichtsbehörde gefordert hatte.

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

2 Kommentare zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot