DSGVO - BDSG - TTDSG

3. Erweiterter Unternehmensbegriff bei der Bußgeldbemessung

445

Nach ErwG 150 Satz 3 soll im Rahmen von Art. 83 DSGVO ein im Verhältnis zu Art. 4 Nr. 18 DSGVO erweiterter Unternehmensbegriff gelten.808 Art. 83 Abs. 4–6 DSGVO bestimmt insoweit, dass bei der Bußgeldbemessung gegenüber Unternehmen auch deren weltweiter Jahresumsatz als Bemessungsgrundlage (neben der gedeckelten Maximalhöhe von 10 bzw. 20 Mio. EUR) herangezogen werden kann.

446

Der Begriff des Unternehmens soll in diesem Fall kartellrechtlich im Sinne des Art. 101 und Art. 102 AEUV verstanden werden. Insofern steht nicht ein formales, sondern vielmehr ein wettbewerbsrechtlich funktionales Begriffsverständnis im Vordergrund.809 Anknüpfungspunkt für die Bezeichnung als Unternehmen ist insoweit nicht das Rechtssubjekt (wie in Art. 4 Nr. 18 DSGVO); vielmehr ist jede Einheit ungeachtet ihrer Rechtsform umfasst, die eine wirtschaftliche Tätigkeit ausübt.810 Demgemäß können auch Unternehmensgruppen i.S.v. Art. 4 Nr. 19 DSGVO oder ganze Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, unter den in Art. 83 DSGVO niedergelegten Unternehmensbegriff fallen.

447

Dieses differenzierte Begriffsverständnis findet insoweit deutlicheren Niederschlag in der englischsprachigen Fassung der DSGVO: Dort ist „Unternehmen“ im Rahmen von Art. 4 Nr. 18 DSGVO mit „enterprise“ und im Rahmen von Art. 83 Abs. 4–6 DSGVO hingegen mit „undertaking“ übersetzt.811 Neben gesetzessystematischen Bedenken stößt sich dieses erweiterte Begriffsverständnis jedenfalls in der deutschen Sprachfassung ferner an dem eher eindeutigen Wortlaut der Norm.812 In Konsequenz können sich dadurch auch Ungewissheiten sowie Unverhältnismäßigkeiten bei der Bestimmung des Bezugspunkts der Bußgeldbemessung bei individuellen Verstößen eines einzelnen Rechtssubjekts ergeben, welches jedoch Teil einer Unternehmensgruppe ist.813

XX. Unternehmensgruppe (Nr. 19)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

448

Die DSGVO greift auf den Begriff der „Unternehmensgruppe“ in verschiedenen Zusammenhängen zurück. Der Begriff ist insoweit von dem nicht in der DSGVO definierten, jedoch vereinzelt Erwähnung findenden Begriff der „Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben“ abzugrenzen, wobei die DSGVO beide Begriffe teilweise gleichberechtigt behandelt. Zur vorgelagerten Bestimmung des Vorliegens eines „Unternehmens“ ist die Definition in Art. 4 Nr. 18 DSGVO zu beachten.

449

Die wohl prominenteste Erwähnung erfolgt im Rahmen von Art. 47 DSGVO. Insofern besteht sowohl für Unternehmensgruppen als auch Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, die Möglichkeit, verbindliche interne Datenschutzvorschriften zur Absicherung von gruppeninternen Datentransfers in Drittländer (sog. Binding Corporate Rules) zu erarbeiten und mit der zuständigen Aufsichtsbehörde abzustimmen.

450

Demgegenüber darf lediglich eine Unternehmensgruppe unter den Voraussetzungen des Art. 37 Abs. 2 DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen.

451

Die DSGVO berücksichtigt ferner den Umstand, dass die Realität der arbeitsteiligen Organisation von Unternehmensgruppen bzw. die Zusammenarbeit einzelner Gruppenteile einen gruppenweiten Transfer von personenbezogenen Daten erforderlich macht. Insofern nennt ErwG 48 die Übermittlung von personenbezogenen Daten zu internen Verwaltungszwecken als ein mögliches berechtigtes Interesse i.S.v. Art. 6 Abs. 1 lit. f DSGVO und somit als möglichen Erlaubnistatbestand für die Verarbeitung von personenbezogenen Daten.814 Ausdrücklich bezieht sich der Wortlaut von ErwG 48 dabei jedoch nur auf Unternehmensgruppen i.S.v. Art. 4 Nr. 19 DSGVO (sowie „Gruppen von Einrichtungen“).

452

Nach Maßgabe von ErwG 36 Satz 8 entfaltet die Vorlage einer Unternehmensgruppe i.S.v. Art. 4 Nr. 19 DSGVO insoweit auch indizielle Wirkung bei der Bestimmung der Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO.815

453

Bei der Umsetzung von nationalen Sonderregelungen zur Verarbeitung von Beschäftigtendaten durch die Mitgliedstaaten statuiert Art. 88 Abs. 2 DSGVO, dass diese nationalen Sonderregelungen über „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf [...] die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben [...]“ aufweisen müssen.

2. Merkmale einer Unternehmensgruppe

454

Eine Unternehmensgruppe wird definiert als eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Der Begriff des herrschenden Unternehmens ist ausweislich ErwG 37 wohl weit zu verstehen: Entscheidend ist, ob das Unternehmen auf die übrigen Unternehmen einen beherrschenden Einfluss ausüben kann. Die Möglichkeit der Einflussnahme soll zum einen gesellschaftsrechtlich begründet sein können, etwa aufgrund von Eigentumsverhältnissen oder finanzieller Beteiligung. Zum anderen soll sich ein entsprechender Einfluss auch aus vertraglichen oder rein faktischen Umständen ergeben können, etwa sofern einem Unternehmen die Befugnis zum Richtlinienerlass zugestanden wird.816 ErwG 37 Satz 1 nennt zudem ausdrücklich die Befugnis, Datenschutzvorschriften in den beherrschten Unternehmen umzusetzen. Nach deutschem Verständnis sollte eine Unternehmensgruppe typischerweise in den in § 15 AktG aufgeführten Konstellationen vorliegen.817

455

Fraglich ist, ob eine Unternehmensgruppe i.S.d. Norm auch abseits einer gesellschaftsrechtlich bedingten Beherrschung vorliegen kann. Insofern dürfte nicht ausreichend sein, sofern Unternehmen lediglich in Bezug auf vereinzelte Datenverarbeitungsverfahren in der Art zusammenarbeiten, dass eines der teilnehmenden Unternehmen eine „beherrschende“ Stellung einnimmt. Ansonsten würde jede Auftragsverarbeitung nach Art. 28 DSGVO oder Datenverarbeitung in gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO potenziell bereits eine Unternehmensgruppe zwischen den beteiligten Akteuren begründen können.818 Vielmehr wird jedenfalls vorauszusetzen sein, dass die beherrschende Stellung nicht nur auf bestimmte (datenverarbeitende) Teilbereiche beschränkt ist, sondern sich vielmehr über sämtliche betriebs- und geschäftsbezogene Aktivitäten des jeweils beherrschten Unternehmens erstrecken muss.819 Dieses eher enge Verständnis wird insoweit auch durch den Umstand getragen, dass die DSGVO mit der Begriffsbestimmung der „Unternehmensgruppe“ nicht das Ziel verfolgt, bestimmte Verhaltensweisen zu unterbinden.820 Vielmehr sieht die DSGVO in erster Linie Privilegierungen für Unternehmensgruppen vor, was eher eine enge Auslegung vermuten lässt.

3. Abgrenzung zur Gruppe von Unternehmen

456

Abzugrenzen ist der Begriff der Unternehmensgruppe zu einer Gruppe von Unternehmen. Für Letztgenannte ist kennzeichnend, dass die Unternehmen zwar eine gemeinsame Wirtschaftstätigkeit ausüben, dabei jedoch im Gegensatz zu einer Unternehmensgruppe selbstständig fungieren und gerade nicht durch eine entsprechende, hierarchische Struktur gekennzeichnet sind.821

XXI. Verbindliche interne Datenschutzvorschriften (Nr. 20)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

457

„Verbindliche interne Datenschutzvorschriften“ – besser bekannt unter ihrer englischen Bezeichnung „binding corporate rules“ – sind gem. Art. 4 Nr. 20 DSGVO Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern.

458

Diese Begriffsdefinition stellt eine Neuerung dar, als dass die DSRl keine entsprechende Definition beinhaltete. Allerdings war das Konzept der verbindlichen internen Datenschutzvorschriften auch unter der EG-DSRl schon (ohne entsprechende Begriffsdefinition) anerkannt, sodass internationale Datentransfers unter den in Art. 26 Abs. 2 DSRl statuierten Voraussetzungen auf der sogenannten zweiten Stufe822 durch verbindliche interne Datenschutzvorschriften legitimiert werden konnten.823

459

In der DSGVO wird der Begriff vor allem in Art. 47 DSGVO, der die Vorgaben zum Inhalt von verbindlichen internen Datenschutzvorschriften und die Voraussetzungen für ihre Genehmigung durch die Aufsichtsbehörden beinhaltet, in Art. 46 Abs. 2 lit. b DSGVO, der festlegt, dass verbindliche interne Datenschutzvorschriften gem. Art. 47 DSGVO geeignete Garantien für internationale Datentransfers sind und somit internationale Datentransfers auf der sogenannten zweiten Stufe rechtfertigen können, sowie in den dazugehörigen ErwG 107, 108 und 110 verwendet. Außerdem wird der Begriff in Art. 57 Abs. 1 lit. s, 58 Abs. 3 lit. j und 70 Abs. 1 lit. c und lit. i DSGVO benutzt, in denen die Aufgaben und Befugnisse der Aufsichtsbehörden sowie die Aufgaben des Europäischen Datenschutzausschusses geregelt werden, so auch im Hinblick auf verbindliche interne Datenschutzvorschriften. Eine weitere Erwähnung findet der Begriff in ErwG 168, der Art. 92 DSGVO im Hinblick auf den Erlass von Durchführungsrechtsakten durch die EU-Kommission u.a. im Hinblick auf verbindliche interne Datenschutzvorschriften konkretisiert.824

2. Verbindliche interne Datenschutzvorschriften und internationale Datentransfers

460

Der Sinn und Zweck verbindlicher interner Datenschutzvorschriften besteht vor allem darin, dass sie den Transfer personenbezogener Daten in ein Land außerhalb des EWR ohne angemessenes Datenschutzniveau auf der sogenannten zweiten Stufe rechtfertigen können (Art. 44, Art. 46 Abs. 1, Abs. 2 lit. b, Art. 47 DSGVO). Hierzu müssen die Datenschutzvorschriften die in Art. 47 DSGVO statuierten Voraussetzungen erfüllen und von der zuständigen Aufsichtsbehörde genehmigt werden (siehe Art. 47 Rn. 12). In diesem Fall etablieren die verbindlichen internen Datenschutzvorschriften bei den beteiligten Unternehmen ein der DSGVO vergleichbares Schutzniveau für personenbezogene Daten auf vertraglicher Ebene, um das im Empfängerstaat ggf. niedrigere gesetzliche Datenschutzniveau „auszugleichen“. Unter dieser Voraussetzung erscheint es dann auch gerechtfertigt, dass personenbezogene Daten an die beteiligten Unternehmen übermittelt werden dürfen, vorausgesetzt, dass die Anforderungen an eine „normale“ Übermittlung auf der sogenannten ersten Stufe, also wie zwischen Unternehmen innerhalb des EWR, erfüllt sind.

461

Abgeschlossen werden können verbindliche interne Datenschutzvorschriften gem. Art. 47 Abs. 1 lit. a DSGVO und ErwG 110 von jeder Unternehmensgruppe i.S.d. Art. 4 Nr. 19 DSGVO, also insbesondere von Konzernen (siehe oben Rn. 449), oder von jeder Gruppe von Unternehmen i.S.d. Art. 4 Nr. 18 DSGVO, die eine gemeinsame Wirtschaftstätigkeit ausüben. Unter dieser Voraussetzung können also auch Unternehmensverbünde, die in keinem Abhängigkeitsverhältnis zueinander stehen, verbindliche interne Datenschutzvorschriften abschließen (siehe ausführlich Art. 47 Rn. 2f.).825 Dabei spielt es keine Rolle, ob es sich bei den einzelnen Unternehmen um Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO oder um Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO handelt.826

462

Sind die verbindlichen internen Datenschutzvorschriften abgeschlossen, können sie internationale Datenübermittlungen aus der EU an Organisationen derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, auf der sogenannten zweiten Stufe rechtfertigen (ErwG 110). Sollen hingegen personenbezogene Daten von einem Unternehmen an ein anderes Unternehmen außerhalb des EWR übermittelt werden, das nicht Mitglied derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen ist, die eine gemeinsame Wirtschaftstätigkeit ausüben, vermögen die verbindlichen internen Datenschutzvorschriften die Übermittlung auf der zweiten Stufe nicht zu rechtfertigen. Hierfür muss vielmehr auf eine andere in Art. 44ff. DSGVO genannte Möglichkeit zur Rechtfertigung von internationalen Datentransfers zurückgegriffen werden.

XXII. Aufsichtsbehörde (Nr. 21)

463

Eine „Aufsichtsbehörde“ ist eine von einem Mitgliedstaat gemäß Art. 51 DSGVO eingerichtete unabhängige Stelle. Gemäß Art. 51 Abs. 1 DSGVO ist primäre Aufgabe der Aufsichtsbehörden, die Einhaltung der DSGVO zu überwachen.

464

Nähere Bestimmungen zu ihrem Aufbau und ihren Aufgaben und Befugnissen regelt Kapitel VI der DSGVO: Art. 51 bis 54 DSGVO statuieren insoweit die Pflicht der Mitgliedstaaten zur Einrichtung von Aufsichtsbehörden sowie die dabei zu beachtenden Vorgaben. Art. 52 DSGVO stellt dabei deren vorzusehende Unabhängigkeit heraus und konkretisiert damit einen der fundamentalen, in den primärrechtlichen Regelungen des Art. 8 Abs. 3 GRCh der EU und Art. 16 Abs. 2 Satz 2 AEUV verankerten Grundsätze des europäischen Datenschutzrechts.827 Art. 55 bis 59 DSGVO regeln die grundsätzliche Zuständigkeitsverteilung unter den eingerichteten Aufsichtsbehörden (Art. 55, 56 DSGVO)828 und statuieren deren Pflichten und Befugnisse (Art. 57–59 DSGVO).829 Regelungen zu der Zusammenarbeit der Aufsichtsbehörden untereinander auf europäischer Ebene finden sich in Kapitel VII der Verordnung (Art. 60ff. DSGVO).830

465

Gemäß Art. 51 Abs. 1 DSGVO besteht die Möglichkeit, dass die Mitgliedstaaten mehrere Aufsichtsbehörden errichten können. Eine solche sowohl geografische als auch funktionale Aufspaltung sieht beispielsweise das deutsche System mit seinen Landesdatenschutzbehörden der 16 Bundesländer und die/der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) vor, deren jeweilige Zuständigkeit sich aus den §§ 9 sowie 40ff. BDSG ergibt.831 Daneben existieren noch die Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten und die Datenschutzbeauftragten der evangelischen und katholischen Kirche.832

XXIII. Betroffene Aufsichtsbehörde (Nr. 22)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

466

Der Begriff der betroffenen Aufsichtsbehörde wurde mit der DSGVO neu eingeführt und ist relevant für das Verfahren bei der Zusammenarbeit der Aufsichtsbehörden nach den Art. 60ff. DSGVO.

467

Die Betroffenheit einer Aufsichtsbehörde i.S.v. Art. 4 Nr. 22 DSGVO ist relevant, wenn eine grenzüberschreitende Datenverarbeitung i.S.v. Art. 4 Nr. 23 DSGVO vorliegt und für diese Datenverarbeitung eine andere Aufsichtsbehörde im Rahmen des sog. „One-Stop-Shop“-Verfahrens als „federführende Aufsichtsbehörde“ gemäß Art. 56 Abs. 1 und 6 DSGVO (ausschließlich) zuständig ist. Dies ist in Konstellationen möglich, in denen für die jeweils gegenständliche, grenzüberschreitende Datenverarbeitung eine Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO ausgemacht werden kann; die jeweils für die Hauptniederlassung örtlich zuständige Aufsichtsbehörde ist dann als „federführende Aufsichtsbehörde“ für diese grenzüberschreitende Datenverarbeitung anzusehen und daher ausschließlich zuständig.833

468

Art. 4 Nr. 22 DSGVO bestimmt dabei, in welchen Fällen eine andere (außer der federführenden) Aufsichtsbehörde von einer solchen grenzüberschreitenden Datenverarbeitung als „betroffen“ zu qualifizieren ist und demnach in das jeweilige aufsichtsbehördliche Verfahren zu involvieren sein kann (vgl. etwa Art. 60 Abs. 1–3 DSGVO), sowie welche Rechte und Mittel ihr im Rahmen der Zusammenarbeit mit der federführenden Aufsichtsbehörde (vgl. etwa Art. 60 Abs. 4 DSGVO) und einem sich etwaig anschließenden Kohärenz- bzw. Streitbeilegungsverfahren zustehen (vgl. Art. 65 Abs. 1 DSGVO).

469

Vor diesem Hintergrund weist die Definition der betroffenen Aufsichtsbehörde einen engen Zusammenhang mit den Begriffen der „grenzüberschreitenden Datenverarbeitung“ nach Art. 4 Nr. 23 DSGVO sowie der „Hauptniederlassung“ nach Art. 4 Nr. 16 DSGVO auf; die Verbindung zur Begriffsbestimmung der „Aufsichtsbehörde“ nach Art. 4 Nr. 21 DSGVO ergibt sich naturgemäß. Im Rahmen der Zusammenarbeit mit der federführenden Aufsichtsbehörde sowie eines Kohärenz- bzw. Streitbeilegungsverfahrens entfaltet zudem die Begriffsbestimmung des „maßgeblichen und begründeten Einspruchs“ nach Art. 4 Nr. 24 DSGVO Relevanz.

2. Merkmale einer betroffenen Aufsichtsbehörde

470

Die Betroffenheit einer Aufsichtsbehörde kann sich aus einem oder mehreren der in Art. 4 Nr. 22 DSGVO abschließend genannten Gründe ergeben. Im Einzelnen:

a) Niederlassung im Mitgliedstaat (Art. 4 Nr. 22 lit. a)

471

Eine Aufsichtsbehörde ist zunächst dann als „betroffen“ zu qualifizieren, wenn der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung im Hoheitsgebiet des Mitgliedstaates der Aufsichtsbehörde aufweist. Der weit gefasste Wortlaut der Norm wird insbesondere unter Berücksichtigung des weiten Verständnisses des Niederlassungsbegriffs834 jedoch in mehrfacher Hinsicht einzuschränken sein. Insofern kann das bloße Vorhandensein einer (an sich unbeteiligten) Niederlassung in einem Mitgliedstaat nicht uneingeschränkt zur Betroffenheit der jeweiligen nationalen Aufsichtsbehörde führen.

472

Hierbei ist zunächst zu beachten, dass die Bestimmung der betroffenen Aufsichtsbehörde sich systematisch auf eine spezifische grenzüberschreitende Datenverarbeitung i.S.v. Art. 4 Nr. 23 DSGVO bezieht, für die eine Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO existiert, die wiederum die Zuständigkeit der jeweils federführenden Aufsichtsbehörde begründet.835 Wie zuvor ausgeführt, ist die Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO dabei je Datenverarbeitungsverfahren gesondert zu bestimmen.836 Vor diesem Hintergrund wird sich die Referenz auf „der Verantwortliche oder der Auftragsverarbeiter“ in Art. 4 Nr. 22 lit. a DSGVO systematisch auf die für die jeweilige grenzüberschreitende Datenverarbeitung anzusehende Hauptniederlassung beziehen. Insofern kann es sich im Rahmen von Art. 4 Nr. 22 lit. a DSGVO zunächst lediglich um Niederlassungen dieses bestimmten, für die jeweils vorliegende grenzüberschreitende Verarbeitung Verantwortlichen oder Auftragsverarbeiters handeln.

473

Der systematische Zusammenhang zu Art. 4 Nr. 23 und Art. 4 Nr. 16 DSGVO spricht ferner dafür, dass lediglich solche Niederlassungen zur Betroffenheit der jeweiligen nationalen Aufsichtsbehörden führen können, die auch an der jeweiligen grenzüberschreitenden Verarbeitung entweder unmittelbar beteiligt sind, oder im Rahmen deren Tätigkeiten die Verarbeitung erfolgt (vgl. Art. 3 Abs. 1 sowie Art. 4 Nr. 23 DSGVO).837

474

Ferner ist einschränkend zu beachten, dass lediglich die jeweils fachlich sowie (im Falle mehrerer nationaler Landesbehörden) jeweils geografisch zuständigen Aufsichtsbehörden als betroffen anzusehen sein werden.838

b) Erhebliche Auswirkungen auf Einwohner im Mitgliedstaat (Art. 4 Nr. 22 lit. b)

475

Die Betroffenheit einer Aufsichtsbehörde kann sich auch daraus ergeben, dass die Verarbeitung personenbezogener Daten erhebliche Auswirkungen auf Einwohner des jeweiligen Mitgliedstaates hat oder haben kann. Maßgeblich ist hierbei der Wohnsitz der betroffenen Person; nicht erforderlich ist, dass die betroffene Person auch die Staatsangehörigkeit des Mitgliedstaates besitzt.839 Aufgrund des eindeutigen Wortlauts muss der Begriff der erheblichen Auswirkungen dabei über eine bloße Betroffenheit einer Person hinausgehen.840 Es muss sich insofern um eine besonders intensive, belastende oder mit besonders gravierenden Folgen für die betroffene Person verbundene Datenverarbeitung handeln.841 Zur Bewertung der Erheblichkeit einer Auswirkung bietet es sich an, auf die in den ErwG 75 und 76 erwähnten Faktoren zurückzugreifen.842 Zu beachten ist, dass nicht bereits jedwede Möglichkeit einer erheblichen Auswirkung tatbestandsbegründend ist. Vielmehr muss im konkreten Einzelfall mehr für eine erhebliche Auswirkung sprechen als dagegen.843

476

Ausweislich ErwG 124 Satz 4 obliegt es dem Europäischen Datenschutzausschuss, Kriterien herauszuarbeiten, die bei der Feststellung zu berücksichtigen sind, ob die fragliche Verarbeitung erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat.