Читать книгу DS-GVO/BDSG - David Klein - Страница 199

329

Eine grenzüberschreitende Verarbeitung ist nach Art. 4 Nr. 23 lit. a eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist.

330

Nach Art. 4 Nr. 23 lit. b ist eine grenzüberschreitende Verarbeitung eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeit einer einzelnen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.

331

Damit können nach Art. 4 Nr. 23 zwei Anwendungsfälle eine grenzüberschreitende Verarbeitung begründen: Zum einen liegt eine grenzüberschreitende Verarbeitung vor, wenn die Verarbeitung in mehr als einem Mitgliedstaat stattfindet. Zum anderen ist dies auch der Fall, wenn die Verarbeitung zwar nur im Rahmen einer einzelnen Niederlassung stattfindet, diese aber erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben kann.[710] Insofern kann die grenzüberschreitende Verarbeitung sowohl vom Verantwortlichen bzw. Auftragsverarbeiter ausgehen als auch vom Empfänger.[711]

332

Mit dem Begriff der grenzüberschreitenden Verarbeitung wird damit ein EU-interner Datenverkehr erfasst. Gleichwohl begründet nicht jede Auslandberührung den Charakter einer Verarbeitung als grenzüberschreitend. Vielmehr ist die Berührung mehrerer Mitgliedstaaten bei der Datenverarbeitung gemeint.[712]

333

Die Vorschrift des Art. 4 Nr. 23 ist insbesondere für die Bestimmung und Funktion der federführenden Aufsichtsbehörde nach Art. 56[713] wichtig. Denn die Bestimmung der federführenden Aufsichtsbehörde ist (nur) dann relevant, wenn eine grenzüberschreitende Verarbeitung vorliegt.[714] Nach Art. 56 Abs. 1 ist federführende Aufsichtsbehörde in diesem Fall die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters. Durch die Bezugnahme des Art. 56 auf Art. 55[715] und Art. 60[716] ist Art. 4 Nr. 23 daher auch in diesem Kontext bedeutsam.

334

Art. 4 Nr. 23 hat darüber hinaus Auswirkungen auf das One-Stop-Shop-Prinzip: Denn sowohl Art. 4 Nr. 23 lit. a als auch lit. b setzen tatbestandlich die Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union voraus. Zwar gilt die DS-GVO unter den Voraussetzungen von Art. 3 Abs. 2[717] auch für Verantwortliche oder Auftragsverarbeiter außerhalb der Union. Diese unterfallen aber dem Privileg des One-Stop-Shop-Prinzips nur, sofern sie eine Niederlassung in der Union haben. Andernfalls unterliegen sie den Kontrollverfahren der nationalen Aufsichtsbehörden für Verarbeitungen, die Art. 3 Abs. 2 unterliegen. Folglich greift das Privileg nur für Unternehmen, die eine europäische Niederlassung besitzen.[718]