Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 275

482

Nach Art. 4 Nr. 23 lit. a DSGVO muss der Verantwortliche oder der Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen sein. Zudem muss die jeweils in Frage stehende Datenverarbeitung „im Rahmen der Tätigkeiten“ dieser in mehreren Mitgliedstaaten belegenen Niederlassungen erfolgen.

483

Wie im Rahmen von Art. 3 Abs. 1 DSGVO wird dabei ein sehr weites Verständnis anzulegen sein. Insofern wird es einerseits genügen, dass eine Niederlassung den mit der in Frage stehenden Datenverarbeitung verfolgten Geschäftszweck einer anderen Niederlassung fördert, ohne die Verarbeitung dabei selber (mit-)auszuführen.852 Darüber hinaus ist es nicht erforderlich, dass die Niederlassungen die Daten der gleichen betroffenen Personen verarbeiten. Andererseits genügt es bereits, wenn die Niederlassungen dieselben Datenkategorien zum gleichen Zweck und nach einem ähnlichen Verfahren verarbeiten,853 etwa wenn mehrere Niederlassungen ein Datenverarbeitungsverfahren auf Anweisung einer Hauptniederlassung durchführen. Art. 4 Nr. 23 lit. a DSGVO setzt dabei keine Übermittlung von personenbezogenen Daten zwischen den Niederlassungen voraus.854

484

Demgegenüber liegt keine grenzüberschreitende Verarbeitung i.S.v. Art. 4 Nr. 23 lit. a DSGVO bei der Datenweitergabe zwischen zwei Verantwortlichen oder einem Verantwortlichen und einem Auftragsverarbeiter vor, es sei denn, dass jedenfalls einer der beteiligten Akteure über mehrere Niederlassungen in verschiedenen Mitgliedstaaten verfügt, im Rahmen deren Tätigkeit diese Verarbeitung erfolgt oder sich ein grenzüberschreitender Bezug aus Art. 4 Nr. 23 lit. b DSGVO ergibt.855

485

Im Falle von gemeinsam Verantwortlichen (Art. 26 DSGVO) dürfte bereits dann eine grenzüberschreitende Verarbeitung vorliegen, auch wenn die beteiligten Niederlassungen zu verschiedenen Verantwortlichen gehören.856