EDSA und DSGVO: Das Ende des One-Shop-Stop-Prinzips wie wir es kennen?
von , veröffentlicht am 16.02.2024Der Europäische Datenschutzausschuss EDSA entfacht mit einer neuen Opinion einigen Wirbel:
Worum geht es?
Es geht um einen Grundpfeiler der DSGVO, das One-Shop-Stop Prinzip (OSS) – gerade für Unternehmen mit Zentralen außerhalb der EU: Der OSS-Mechanismus dient dazu, eine zentrale Anlaufstelle festzulegen, die es Unternehmen, die in mehr als einem EU-Mitgliedstaat tätig sind, ermöglicht, nur mit einer einzigen federführenden Aufsichtsbehörde zu interagieren – je nachdem wo die Hauptniederlassung ist. Ohne den OSS-Mechanismus könnte jede Datenschutzbehörde (DPA) möglicherweise unabhängig handeln.
Art. 4 Nr. 16 DSGVO führt zur "Hauptniederlassung" aus:
„a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen;“
Was meint der EDSA?
Der EDSA bekräftigt in seiner jüngsten Opinion seine Autorität und warnt Unternehmen mit Hauptsitz außerhalb der EU davor, strategisch die günstigste Gerichtsbarkeit zu wählen. Zitat daraus (übersetzt - S. 13): „Der „Ort der Hauptverwaltung" eines Verantwortlichen in der EU kann nur dann als Hauptniederlassung im Sinne von Artikel 4 Nr. 16 Buchstabe a DSGVO angesehen werden, wenn dort die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden und dort die Befugnis besteht, diese Entscheidungen umzusetzen.“
Was sind die Folgen?
Damit der OSS-Mechanismus zur Anwendung kommt, muss die Hauptniederlassung des für die Verarbeitung Verantwortlichen innerhalb der EU Entscheidungen über die Zwecke und Mittel der Verarbeitung treffen. Wenn diese Entscheidungen sowie die Befugnis zu ihrer Umsetzung außerhalb der EU z.B. in der Konzernzentrale in den USA getroffen werden, findet der OSS ergo keine Anwendung. Dies stellt Nicht-EU-Unternehmen, z.B. große Tech-Unternehmen mit Zentralen in Kalifornien und Tochtergesellschaften in Irland, vor erhebliche Herausforderungen, nämlich Entscheidungsbefugnisse über die Datenverarbeitung an ihre europäische Hauptniederlassung zu delegieren.
Infolgedessen steigt die Wahrscheinlichkeit von Untersuchungen und Durchsetzungsmaßnahmen durch die verschiedenen nationalen Datenschutzbehörden sowie von mehr Rechtsstreitigkeiten über Art. 4 Nr. 16 DSGVO.
Aber wie sehen Sie das?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenDie Opinion zielt auf die irische Regulierungsbehörde ab, die aus Sicht der anderen Datenschutzbehörde zu schlafmützig auftritt. Wer glaubt, das US und chinesiche Konzerne ihren europäischen Filialen nun mehr Rechte iSd DSGVO einräumen, der irrt. Neue Gerichtsverfahren werden die Folge sein, das sehe ich auch so.