Читать книгу Datenschutzgrundverordnung für Dummies - Christian Szidzek - Страница 55

Was aber gilt, wenn mehrere selbstständige Organisationen oder Unternehmen mit jeweils eigener Rechtsperson in einer Konzernstruktur zusammengeschlossen sind?

Nehmen wir zum Beispiel einmal an, Ihr Konzern besteht zunächst aus einer Konzernmutter in Form einer Aktiengesellschaft (AG) beziehungsweise dem entsprechenden US-amerikanischen Pendant, also einer Corporation, mit Sitz in den USA. Diese Konzernmutter ist wiederum als herrschendes Unternehmen mit jeweils mehr als 50 Prozent an weiteren Unternehmen beteiligt, zum Beispiel verschiedenen Gesellschaften mit beschränkter Haftung (GmbH). Die eine GmbH sitzt in Singapur, eine andere in der Schweiz und eine klitzekleine GmbH sitzt in … sagen wir Spanien. Muss sich jetzt wegen dieser klitzekleinen GmbH mit Sitz in Spanien auch die Konzernmutter in den USA an die DSGVO halten? Lösung gleich unten.

Bereits vor Inkrafttreten der DSGVO musste sich der Europäische Gerichtshof (EuGH) mit der Frage befassen, wann bei Konzernstrukturen von Niederlassungen auszugehen sei. Es handelt sich dabei um die sogenannte Google-Spain-Entscheidung vom Mai 2014 (Rechtssache C-131/12). Es ging dabei um die Frage, ob das europäische Datenschutzrecht auch für das damals in den USA ansässige Mutterunternehmen Google Inc. anwendbar sei, obwohl das Mutter-Unternehmen in Europa lediglich Gesellschafter des selbstständigen Tochterunternehmens Google Spain SL war, aber selbst weder Büros noch andere eigene Zweigstellen in der EU unterhielt. Dass das Tochterunternehmen Google Spain SL vom europäischen Datenschutz erfasst war, stand außer Frage, denn das Unternehmen hatte seinen Sitz ja in Spanien und fiel damit über das Niederlassungsprinzip ganz automatisch unter das europäische Datenschutzrecht. Aber was war mit dem Mutterunternehmen in den USA? Konnte die rechtlich selbstständige Google Spain SL als Niederlassung von Google Inc. verstanden werden, mit der Folge, dass das europäische Datenschutzrecht auch für Google Inc. Geltung beanspruchen könne? Der EuGH hat das seinerzeit bejaht, weshalb Datenschützer davon ausgehen, dass er dies auch künftig nicht anders sehen wird. Der EuGH entschied, dass es für die Annahme einer Niederlassung in der EU ausreiche, dass die selbstständige Tochtergesellschaft in Spanien als feste Einrichtung eine Tätigkeit ausübe. Außerdem seien die Tätigkeiten der beiden Unternehmen untrennbar miteinander verbunden. Zwar fördere Google Spain SL als Vertriebsunternehmen Google Inc. in den USA nur wirtschaftlich. Ohne die Suchmaschinen-Dienstleistung von Google Inc. gäbe es jedoch kein Geschäft für Google Spain SL. Dies genüge, um die Muttergesellschaft in den USA mit der Pflicht zur Anwendung des europäischen Datenschutzrechts zu infizieren. Aber dabei bleibt es nicht. In weiteren Urteilen, wie zum Beispiel Weltimmo vom 01.10.2015 und Amazon vom 28.07.2016, stellte der EuGH klar, dass selbst ein einzelner Vertreter eines außereuropäischen Unternehmens – vorausgesetzt, es gebe einen gewissen Grad an Beständigkeit und eine effektive Ausübung der wirtschaftlichen Tätigkeit – als Niederlassung im datenschutzrechtlichen Sinn zu verstehen sei. Die Infizierung mit europäischem Datenschutzrecht findet also immer statt, wenn irgendeine Einrichtung in der EU, sei es ein Unternehmen oder eine Einzelperson, für das Mutterunternehmen einigermaßen beständig und effektiv wirtschaftlich tätig wird.

Lösung des Beispiels von oben: Die klitzekleine Niederlassung Ihres Mutterunternehmens in Spanien führt nach der bisherigen Rechtsprechung des EuGH dazu, dass sich auch die Muttergesellschaft an die Vorgaben der DSGVO halten muss, vorausgesetzt, die Tätigkeiten der Muttergesellschaft und der Niederlassung in der EU sind untrennbar miteinander verbunden.