DSGVO - BDSG - TTDSG

f) Mischdatensätze

417

Nach hier vertretener Auffassung können die zuvor im Hinblick auf Daten, die (nur) mittelbare Gesundheitsinformationen enthalten, dargestellten Wertungen auch auf sogenannte „Mischdatensätze“ übertragen werden, also auf Datensätze, die neben Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO und ggf. anderen besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO auch noch nicht-sensible personenbezogene Daten beinhalten.770 Damit fällt die Verarbeitung solcher Mischdatensätze nach hier vertretener Ansicht nur dann in den Anwendungsbereich des Art. 9 DSGVO, wenn der jeweilige Datensatz gerade auf die in ihm enthaltenen besonderen Kategorien personenbezogener Daten hin verarbeitet, z.B. ausgewertet, wird.771 So besteht nach hier vertretener Auffassung auch bei Mischdatensätzen nur in diesem Fall ein Diskriminierungspotenzial, welches die erhöhten Anforderungen an die Verarbeitung von besonderen Kategorien personenbezogener Daten, insb. nach Art. 9 Abs. 2 DSGVO, zu rechtfertigen vermag. Oftmals werden in Mischdatensätzen aber ohnehin nur „mittelbare Gesundheitsdaten“ enthalten sein, z.B. wenn bei einer Videoüberwachung ein Brillenträger von der Überwachung erfasst wird, deren Verarbeitung nach hier vertretener Auffassung sowieso nur unter den unter Rn. 414f. genannten Bedingungen in den Anwendungsbereich von Art. 9 DSGVO fällt.772

XVII. Hauptniederlassung (Nr. 16)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

418

Die DSGVO führt das Konzept der „federführenden Behörde“ ein, um die Zusammenarbeit zwischen Verantwortlichen (bzw. Auftragsverarbeitern) und Datenschutzaufsichtsbehörden zu erleichtern, indem für grenzüberschreitende Datenverarbeitungen im Hinblick auf die aufsichtsbehördliche Zuständigkeit das sog. „One-Stop-Shop“-Verfahren etabliert wird. Im Idealfall müssen sich multinational aufgestellte Unternehmen nur mit einer, nämlich der „federführenden Behörde“ auseinandersetzen und nicht mit sämtlichen nationalen Aufsichtsbehörden der Mitgliedstaaten, in denen sie personenbezogene Daten verarbeiten.773

419

Dies ist dann der Fall, sofern sie über eine „Hauptniederlassung“ i.S.d. Art. 4 Nr. 16 DSGVO verfügen. Die national für die Hauptniederlassung eines Unternehmens zuständige Aufsichtsbehörde ist dann als „federführende Behörde“ unionsweit grundsätzlich alleinig zuständig (vgl. Art. 56 Abs. 2 DSGVO).774

420

Das Konzept der Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO kommt jedoch nur bei Vorlage einer grenzüberschreitenden Verarbeitung i.S.v. Art. 4 Nr. 23 DSGVO zum Tragen.

2. Begriff der Niederlassung

421

Der Begriff der Niederlassung wird in der DSGVO nicht legaldefiniert. ErwG 22 der DSGVO statuiert gleichwohl, dass eine Niederlassung sich dadurch auszeichnet, dass sie „eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraussetzt“.775

422

Für den Begriff der Niederlassung ist dabei gleichgültig, ob es sich dabei um eine bloße Zweigstelle des Verantwortlichen oder um eine (rechtlich unabhängige) Tochtergesellschaft handelt. Von dem gleichen Verständnis des Niederlassungsbegriffs geht letztlich auch der EuGH aus.776 Sowohl ErwG 22 als auch die Aussagen des EuGH beziehen sich zwar jeweils auf den Kontext der Anwendbarkeit europäischen Datenschutzrechts. Nicht ersichtlich ist jedoch, dass dem Begriff der Niederlassung im vorliegenden Zusammenhang ein anderes Verständnis innewohnt. Demgemäß kann das Konzept der Hauptniederlassung nicht nur im Verhältnis zu unselbstständigen Niederlassungen, sondern auch innerhalb von Konzernstrukturen oder anderweitigen Unternehmensgruppen Anwendung finden.777

3. Bestimmung der Hauptniederlassung im Falle eines Verantwortlichen
a) Bestimmungsregeln/zu berücksichtigende Faktoren

423

Gemäß Art. 4 Nr. 16 lit. a DSGVO i.V.m. ErwG 36 bestimmt sich die Hauptniederlassung eines Verantwortlichen (mit mehreren Niederlassungen innerhalb der EU) danach, an welchem Standort die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Hierbei wird vermutet, dass es sich dabei in der Regel um den Ort der Hauptverwaltung des Verantwortlichen bzw. innerhalb von Unternehmensgruppen um „die Hauptniederlassung des herrschenden Unternehmens“778 handelt. Sofern und soweit eine andere Niederlassung des Verantwortlichen in der Union diese Entscheidungen trifft und diese Niederlassung befugt ist, diese Entscheidungen umsetzen zu lassen, gilt diese Niederlassung als Hauptniederlassung.

424

ErwG 36 Satz 2 gibt eine Hilfestellung bei der Ermittlung der Hauptniederlassung, sofern das Kriterium des Sitzes der Hauptverwaltung nicht zur Anwendung kommt. Die Bestimmung der Hauptniederlassung soll nach objektiven Kriterien erfolgen. Dabei ist insbesondere die „effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden“, als Faktor heranzuziehen. Nicht maßgeblich ist hingegen, ob die Verarbeitung selbst auch an diesem Ort stattfindet. Auch „das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten“ sind zur Bestimmung der Hauptniederlassung weder begründend noch entscheidend.

425

Vor dem Hintergrund, dass die Hauptniederlassung danach zu bestimmen ist, wer über Zwecke und Mittel der Datenverarbeitung entscheidet, kann es sich dabei auch jeweils um den datenschutzrechtlich Verantwortlichen i.S.v. Art. 4 Nr. 7 DSGVO handeln.779 So richtet sich die Bestimmung des Verantwortlichen nach den gleichen Kriterien.780 Dies wird im Falle von rechtlich unselbstständigen Niederlassungen in aller Regel jedenfalls unproblematisch gegeben sein; Entsprechendes gilt, sofern (rechtlich selbstständige) Niederlassungen ihre Verantwortlichenstellung an die Hauptniederlassung delegieren.781 In Unternehmensgruppen (mithin insbesondere im Verhältnis zu rechtlichen selbstständigen Niederlassungen) wird dies jedoch oftmals nicht in einer derartigen Ausprägung vorliegen. Vielmehr entspricht es dem Regelfall in der Praxis, dass zwar in der Konzernspitze (oder auch einer anderen Niederlassung) übergeordnete Entscheidungen hinsichtlich der Verarbeitung von personenbezogenen Daten (zu bestimmten Zwecken und möglicherweise anhand bestimmter Mittel) getroffen werden, diese Einflussnahme jedoch keinen solchen Grad erreicht, der dazu führt, dass die ausführenden Tochtergesellschaften ihre Stellung als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO verlieren würden. Auch in solchen Fällen agiert die entscheidende Niederlassung hingegen als Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO (nicht jedoch als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO). Insofern genügt es, dass Letztere die relevanten (übergreifenden) unternehmenspolitischen Entscheidungen im Hinblick auf die Datenverarbeitung durch ihre Tochtergesellschaften trifft sowie befugt ist, „[...] diese Entscheidungen [im Bedarfsfall] umsetzen zu lassen“.782

b) Designation durch Verantwortlichen/Grenzfälle

426

Verantwortliche bestimmen ihre Hauptniederlassungen und damit die für sie zuständige federführende Behörde eigenständig.783 Insbesondere in dezentral aufgestellten Unternehmen bzw. Unternehmensgruppen kann es sich als schwierig erweisen, die Hauptniederlassung zu bestimmen oder nachzuvollziehen, wo Entscheidungen über die Zwecke und Mittel einer Datenverarbeitung getroffen werden. Diese Klassifizierung muss in jedem Fall den tatsächlichen Verhältnissen entsprechen und darf nicht bloß auf dem Papier existieren. Insofern muss die designierte Hauptniederlassung auch über die Zwecke und Mittel des jeweils in Frage stehenden Datenverarbeitungsverfahrens bestimmen können.784

427

Aufsichtsbehörden können die Benennung als Hauptniederlassung daher grundsätzlich in Frage stellen.785 Vor diesem Hintergrund sollten Verantwortliche daher stets diesbezüglich aussagefähig sein und eine entsprechende Dokumentation ihrer Hauptniederlassung(-en) vorweisen können. Sofern es zwischen betroffenen Aufsichtsbehörden zu Kompetenzstreitigkeiten kommen sollte, kann das Streitbeilegungsverfahren nach Art. 65 Abs. 1 lit. b DSGVO initiiert werden. Kernfrage eines solchen Verfahrens ist dabei, welche der Niederlassungen als Hauptniederlassung i.S.v. Art. 4 Nr. 16 zu klassifizieren ist;786 auf dieser tatsächlichen Feststellung aufbauend kann sodann die zuständige federführende Behörde bestimmt werden.

c) Einzelnes Verarbeitungsverfahren als Anknüpfungspunkt

428

Innerhalb multinational aufgestellter Unternehmen bzw. Konzernstrukturen wird es kaum anzutreffen sein, dass sämtliche (grenzüberschreitende) Datenverarbeitungen zentral gesteuert werden. So kann es durchaus sein, dass zentralisiert wahrgenommene Aufgaben wie HR und Buchhaltung in der Hauptverwaltung für ein gesamtes Unternehmen wahrgenommen werden, während einzelne Niederlassungen lokale Datenverarbeitungsverfahren eigenständig (und eigenverantwortlich) durchführen. Vor diesem Hintergrund muss die Hauptniederlassung grundsätzlich für jedes einzelne Datenverarbeitungsverfahren gesondert bestimmt werden.787

429

Mit anderen Worten führt dies dazu, dass die Hauptverwaltung eines Unternehmens nicht automatisch für sämtliche unternehmensweiten Datenverarbeitungen im Unternehmen als Hauptniederlassung anzusehen ist, sondern nur in Bezug auf solche Datenverarbeitungen, deren Zwecke und Mittel sie auch bestimmt. Soweit eine andere Niederlassung des Unternehmens diese Entscheidungen bezüglich eines bestimmten Datenverarbeitungsvorgangs trifft, ist die Hauptverwaltung im Hinblick auf diese Verarbeitung nicht als Hauptniederlassung anzusehen. Soweit diese Niederlassung auch über Datenverarbeitungen von anderen Niederlassungen bestimmt, agiert diese als Hauptniederlassung für diese Verfahren. Daher ist es durchaus möglich, dass es für unterschiedliche Bereiche der Datenverarbeitung unterschiedliche Entscheidungszentren und damit auch unterschiedliche Hauptniederlassungen geben kann.788

d) Bestimmung der Zwecke und Mittel durch außerhalb der EU ansässige Stelle

430

Eine Hauptniederlassung im Sinne des Gesetzes kann jedoch nur dann vorliegen, wenn eine innerhalb der EU ansässige Niederlassung über die Zwecke und Mittel einer Datenverarbeitung entscheidet. Sofern diese Entscheidungen gänzlich außerhalb der EU getroffen werden, findet das „One-Stop-Shop“-Verfahren keine Anwendung; der im Drittland ansässige Verantwortliche muss sich demnach potenziell mit sämtlichen nationalen Aufsichtsbehörden auseinandersetzen.789 Dies gilt insbesondere auch im Fall des Art. 3 Abs. 2 DSGVO, mithin in Fällen, in denen europäisches Datenschutzrecht auf Verantwortliche in Drittländern unabhängig davon Anwendung findet, ob diese über eine Niederlassung in der EU verfügen. Sofern der Verantwortliche über eine oder mehrere Niederlassungen in der EU verfügt, die jedoch nicht über Zwecke und Mittel hinsichtlich der Verarbeitung personenbezogener Daten bestimmen, kann eine dieser Niederlassungen im Hinblick auf ein bestimmtes Verarbeitungsverfahren als Hauptniederlassung bestimmt werden. Dies setzt jedoch voraus, dass dieser Niederlassung die Entscheidungsgewalt sowie die Haftung im Hinblick auf das jeweilige Verarbeitungsverfahren übertragen werden.790

4. Bestimmung der Hauptniederlassung im Falle eines Auftragsverarbeiters

431

Ebenfalls multinational aufgestellte Auftragsverarbeiter können sich auf die Hauptniederlassungs-Regelung berufen. Art. 4 Nr. 16 lit. b DSGVO bestimmt dabei, dass der Sitz der Hauptverwaltung des Auftragsverarbeiters in der EU stets auch als dessen Hauptniederlassung anzusehen ist.791 Wenn die Hauptverwaltung des Auftragsverarbeiters sich außerhalb der EU befindet, gilt die Niederlassung (innerhalb der EU) als Hauptniederlassung, in der die Verarbeitungstätigkeiten hauptsächlich stattfinden. Auch diese Formulierung legt nahe, dass auch im Falle von Auftragsverarbeitern jede im Auftrag durchgeführte Datenverarbeitung gesondert zu betrachten sein wird. Maßgeblich ist, wo der räumliche Schwerpunkt der Steuerung der Datenverarbeitung liegt.792

5. Organisatorische Gestaltungsmöglichkeiten

432

Die Verteilung von Entscheidungskompetenzen bezüglich des Umgangs mit personenbezogenen Daten innerhalb eines Unternehmens oder einer Unternehmensgruppe wird damit zur organisatorischen Gestaltungsaufgabe.793 Durch eine bewusste Zuweisung bzw. Konzentrierung der datenschutzrechtlichen Verantwortlichkeit bzw. datenverarbeitenden Aktivitäten bei der Hauptverwaltung lässt sich die Zusammenarbeit mit Datenschutzaufsichtsbehörden deutlich vereinfachen, indem sich datenverarbeitende Unternehmen nur nach den nationalen Gepflogenheiten der jeweiligen federführenden Behörde orientieren müssen.

433

Die Möglichkeiten der Bestimmung einer Hauptniederlassung stellt auch die Art.-29-Datenschutzgruppe in den Vordergrund, statuiert jedoch gleichermaßen, dass eine solche Zuweisung auch gelebt werden muss. Das heißt, dass Entscheidungskompetenzen nicht lediglich auf dem Papier existieren dürfen. Insofern obliegt den Unternehmen eine entsprechende Nachweispflicht.794 Vor diesem Hintergrund sollten Unternehmen auf eine entsprechende Dokumentierung sowohl der Verantwortlichkeiten als auch der letztlich getroffenen Entscheidungen achten.

XVIII. Vertreter (Nr. 17)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

434

Verantwortliche und Auftragsverarbeiter ohne eine Niederlassung in der Union können nach Maßgabe von Art. 27 DSGVO verpflichtet sein, einen in der EU ansässigen Vertreter zu bestellen, sofern sie nach Art. 3 Abs. 2 DSGVO in den extraterritorialen Anwendungsbereich der DSGVO fallen.

435

Durch dessen Bestellung rückt der Vertreter mit Blick auf die Regelung von Art. 27 Abs. 5 DSGVO weder in die Rolle des Verantwortlichen noch des Auftragsverarbeiters. Vice versa werden weder Verantwortlicher noch Auftragsverarbeiter durch die Bestellung eines Vertreters von ihren datenschutzrechtlichen Pflichten befreit.795 Der Vertreter vertritt den Verantwortlichen bzw. Auftragsverarbeiter „in Bezug“ auf die ihnen jeweils nach der DSGVO obliegenden Pflichten und fungiert als Ansprechpartner für die Aufsichtsbehörden796 und die von der Datenverarbeitung betroffenen Personen.797

436

Der Vertreter findet zudem in weiteren Regelungen der DSGVO Erwähnung. Zum einen wird er vereinzelt mit eigenen, originären gesetzlichen Pflichten versehen. So hat er gemäß Art. 30 Abs. 1 DSGVO das Verarbeitungsverzeichnis zu führen und soll nach Art. 31 DSGVO mit den zuständigen Aufsichtsbehörden hinsichtlich solcher Maßnahmen zusammenarbeiten, die die Einhaltung der Regelungen der DSGVO sicherstellen. Außerdem kann die Aufsichtsbehörde den Vertreter nach Art. 58 Abs. 1 lit. a DSGVO dazu verpflichten, Auskünfte zu erteilen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Zum anderen sind Verantwortliche gemäß Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO dazu verpflichtet, die betroffenen Personen über den von ihnen bestellten Vertreter zu informieren.798

2. Merkmale des Vertreters

437

Nach Art. 4 Nr. 17 DSGVO kann der Vertreter sowohl eine natürliche als auch eine juristische Person sein. In Ermangelung gegenteiliger Ausführungen in der DSGVO ist davon auszugehen, dass ein Vertreter für mehrere Verantwortliche bzw. Auftragsverarbeiter tätig werden kann, solange er in der Lage ist, seinen Aufgaben gewissenhaft und ordnungsgemäß nachzukommen.799

438

Voraussetzung ist nach Art. 27 Abs. 3 DSGVO allerdings, dass der Vertreter in einem Mitgliedstaat niedergelassen sein muss, in dem sich jedenfalls eine von der Verarbeitung (seitens des vertretenen Verantwortlichen bzw. Auftragsverarbeiters) betroffene Person befindet. Weitere fachliche oder persönliche Voraussetzungen stellt die DSGVO (im Gegensatz zum Datenschutzbeauftragten, vgl. Art. 37 Abs. 5 DSGVO) an die Person des Vertreters jedoch nicht.

439

Die Bestellung des Vertreters hat nach Art. 4 Nr. 17 DSGVO i.V.m. Art. 27 Abs. 1 DSGVO und ErwG 80 schriftlich und ausdrücklich zu erfolgen; die rein faktische Übernahme der Vertretung genügt daher nicht. Die Bestellung muss zudem so erfolgen, dass der Vertreter die ihm obliegende, gesetzlich vorgesehene Funktion als Anlaufstelle für betroffene Personen und Aufsichtsbehörden erfüllen kann. Demgemäß muss der Vertreter zumindest als Empfangsvertreter bestellt werden und entsprechend autorisiert sein, Erklärungen im Namen des Vertretenen abzugeben.800

XIX. Unternehmen (Nr. 18)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

440

Der Begriff des „Unternehmens“ wird in der DSGVO nur an vereinzelten Stellen unmittelbar aufgegriffen. So enthebt Art. 30 Abs. 5 DSGVO gewisse Unternehmen etwa von der Pflicht zur Führung eines Verzeichnisses für Verarbeitungstätigkeiten. Die Klassifizierung als Unternehmen ist ferner für die Bestimmung der möglichen Berechnungsgrundlagen von Bußgeldern nach Art. 83 Abs. 4–6 DSGVO erheblich; hierbei ist jedoch zu beachten, dass nach dem Willen des Verordnungsgebers im Rahmen von Art. 83 DSGVO ein der Definition von Art. 4 Nr. 18 DSGVO hinausgehendes Verständnis des Unternehmensbegriffs gelten soll. Weitere Bedeutung erlangt die Definition des Unternehmens im Zusammenhang mit den Begriffen der „Unternehmensgruppe“ nach Art. 4 Nr. 19 DSGVO sowie der nicht in der DSGVO definierten „Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben“ (vgl. etwa Art. 47 DSGVO).

441

Die DSGVO spricht an weiteren Stellen von „Kleinstunternehmen“ sowie „kleinen und mittleren Unternehmen“, ohne diese gesondert zu definieren. ErwG 13 statuiert jedoch, dass die entsprechende Definition in Art. 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission maßgebend ist, wonach sich die Klassifizierung sowohl nach Mitarbeiterzahl als auch Umsatz bestimmt.801 Gleichwohl knüpft die DSGVO an diese Begriffe bzw. eine entsprechende Klassifizierung eines Unternehmens auch keine gesonderten Rechtsfolgen; vielmehr verfolgt die DSGVO die Maxime, auf die besonderen Bedürfnisse von solchen Unternehmen einzugehen bzw. hinzuweisen (vgl. Art. 40, 42 DSGVO).802

2. Merkmale der Definition

442

Art. 4 Nr. 18 DSGVO sieht ein weites Verständnis des Unternehmensbegriffs vor. Insofern sind sowohl natürliche und juristische Personen als auch Personengesellschaften und Vereinigungen umfasst. Hierzu zählen auch Kapitalgesellschaften, Vereine und Einzelkaufleute. Ebenso können juristische Personen des öffentlichen Rechts unter den Unternehmensbegriff fallen.803 Um mitgliedstaatliche Unterschiede entsprechend zu würdigen, ist zumindest vorauszusetzen, dass das jeweilige Subjekt am Rechtsverkehr teilnehmen und im gerichtlichen Verfahren als Partei auftreten sowie Adressat aufsichtsbehördlicher Maßnahmen sein kann.804

443

Maßgeblich für die Qualifizierung als Unternehmen ist, dass die Person bzw. Vereinigung regelmäßig einer wirtschaftlichen Tätigkeit nachgeht. Nach unionsrechtlichem Verständnis wird darunter das Anbieten von Gütern oder (Dienst-)Leistungen am Markt zu verstehen sein müssen, ohne dass eine Gewinnerzielungsabsicht erforderlich ist.805 Irrelevant sind die Branche (weshalb auch Freiberufler erfasst sind) und die Größe des Unternehmens.806 Insofern fallen auch Kleinstunternehmen sowie kleine und mittlere Unternehmen in den Anwendungsbereich von Art. 4 Nr. 18 DSGVO.

444

Unter Berücksichtigung des sachlichen Anwendungsbereichs der DSGVO nach Art. 2 Abs. 2 lit. c DSGVO steht einer Klassifizierung als Unternehmen zudem nicht entgegen, wenn die ausgeführte Tätigkeit nicht nur wirtschaftlich ist, sondern in gleicher Weise auch einen privaten Nutzen hat.807