425
Vor dem Hintergrund, dass die Hauptniederlassung danach zu bestimmen ist, wer über Zwecke und Mittel der Datenverarbeitung entscheidet, kann es sich dabei auch jeweils um den datenschutzrechtlich Verantwortlichen i.S.v. Art. 4 Nr. 7 DSGVO handeln.779 So richtet sich die Bestimmung des Verantwortlichen nach den gleichen Kriterien.780 Dies wird im Falle von rechtlich unselbstständigen Niederlassungen in aller Regel jedenfalls unproblematisch gegeben sein; Entsprechendes gilt, sofern (rechtlich selbstständige) Niederlassungen ihre Verantwortlichenstellung an die Hauptniederlassung delegieren.781 In Unternehmensgruppen (mithin insbesondere im Verhältnis zu rechtlichen selbstständigen Niederlassungen) wird dies jedoch oftmals nicht in einer derartigen Ausprägung vorliegen. Vielmehr entspricht es dem Regelfall in der Praxis, dass zwar in der Konzernspitze (oder auch einer anderen Niederlassung) übergeordnete Entscheidungen hinsichtlich der Verarbeitung von personenbezogenen Daten (zu bestimmten Zwecken und möglicherweise anhand bestimmter Mittel) getroffen werden, diese Einflussnahme jedoch keinen solchen Grad erreicht, der dazu führt, dass die ausführenden Tochtergesellschaften ihre Stellung als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO verlieren würden. Auch in solchen Fällen agiert die entscheidende Niederlassung hingegen als Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO (nicht jedoch als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO). Insofern genügt es, dass Letztere die relevanten (übergreifenden) unternehmenspolitischen Entscheidungen im Hinblick auf die Datenverarbeitung durch ihre Tochtergesellschaften trifft sowie befugt ist, „[...] diese Entscheidungen [im Bedarfsfall] umsetzen zu lassen“.782
b) Designation durch Verantwortlichen/Grenzfälle
426
Verantwortliche bestimmen ihre Hauptniederlassungen und damit die für sie zuständige federführende Behörde eigenständig.783 Insbesondere in dezentral aufgestellten Unternehmen bzw. Unternehmensgruppen kann es sich als schwierig erweisen, die Hauptniederlassung zu bestimmen oder nachzuvollziehen, wo Entscheidungen über die Zwecke und Mittel einer Datenverarbeitung getroffen werden. Diese Klassifizierung muss in jedem Fall den tatsächlichen Verhältnissen entsprechen und darf nicht bloß auf dem Papier existieren. Insofern muss die designierte Hauptniederlassung auch über die Zwecke und Mittel des jeweils in Frage stehenden Datenverarbeitungsverfahrens bestimmen können.784
427
Aufsichtsbehörden können die Benennung als Hauptniederlassung daher grundsätzlich in Frage stellen.785 Vor diesem Hintergrund sollten Verantwortliche daher stets diesbezüglich aussagefähig sein und eine entsprechende Dokumentation ihrer Hauptniederlassung(-en) vorweisen können. Sofern es zwischen betroffenen Aufsichtsbehörden zu Kompetenzstreitigkeiten kommen sollte, kann das Streitbeilegungsverfahren nach Art. 65 Abs. 1 lit. b DSGVO initiiert werden. Kernfrage eines solchen Verfahrens ist dabei, welche der Niederlassungen als Hauptniederlassung i.S.v. Art. 4 Nr. 16 zu klassifizieren ist;786 auf dieser tatsächlichen Feststellung aufbauend kann sodann die zuständige federführende Behörde bestimmt werden.
c) Einzelnes Verarbeitungsverfahren als Anknüpfungspunkt
428
Innerhalb multinational aufgestellter Unternehmen bzw. Konzernstrukturen wird es kaum anzutreffen sein, dass sämtliche (grenzüberschreitende) Datenverarbeitungen zentral gesteuert werden. So kann es durchaus sein, dass zentralisiert wahrgenommene Aufgaben wie HR und Buchhaltung in der Hauptverwaltung für ein gesamtes Unternehmen wahrgenommen werden, während einzelne Niederlassungen lokale Datenverarbeitungsverfahren eigenständig (und eigenverantwortlich) durchführen. Vor diesem Hintergrund muss die Hauptniederlassung grundsätzlich für jedes einzelne Datenverarbeitungsverfahren gesondert bestimmt werden.787
429
Mit anderen Worten führt dies dazu, dass die Hauptverwaltung eines Unternehmens nicht automatisch für sämtliche unternehmensweiten Datenverarbeitungen im Unternehmen als Hauptniederlassung anzusehen ist, sondern nur in Bezug auf solche Datenverarbeitungen, deren Zwecke und Mittel sie auch bestimmt. Soweit eine andere Niederlassung des Unternehmens diese Entscheidungen bezüglich eines bestimmten Datenverarbeitungsvorgangs trifft, ist die Hauptverwaltung im Hinblick auf diese Verarbeitung nicht als Hauptniederlassung anzusehen. Soweit diese Niederlassung auch über Datenverarbeitungen von anderen Niederlassungen bestimmt, agiert diese als Hauptniederlassung für diese Verfahren. Daher ist es durchaus möglich, dass es für unterschiedliche Bereiche der Datenverarbeitung unterschiedliche Entscheidungszentren und damit auch unterschiedliche Hauptniederlassungen geben kann.788
d) Bestimmung der Zwecke und Mittel durch außerhalb der EU ansässige Stelle
430
Eine Hauptniederlassung im Sinne des Gesetzes kann jedoch nur dann vorliegen, wenn eine innerhalb der EU ansässige Niederlassung über die Zwecke und Mittel einer Datenverarbeitung entscheidet. Sofern diese Entscheidungen gänzlich außerhalb der EU getroffen werden, findet das „One-Stop-Shop“-Verfahren keine Anwendung; der im Drittland ansässige Verantwortliche muss sich demnach potenziell mit sämtlichen nationalen Aufsichtsbehörden auseinandersetzen.789 Dies gilt insbesondere auch im Fall des Art. 3 Abs. 2 DSGVO, mithin in Fällen, in denen europäisches Datenschutzrecht auf Verantwortliche in Drittländern unabhängig davon Anwendung findet, ob diese über eine Niederlassung in der EU verfügen. Sofern der Verantwortliche über eine oder mehrere Niederlassungen in der EU verfügt, die jedoch nicht über Zwecke und Mittel hinsichtlich der Verarbeitung personenbezogener Daten bestimmen, kann eine dieser Niederlassungen im Hinblick auf ein bestimmtes Verarbeitungsverfahren als Hauptniederlassung bestimmt werden. Dies setzt jedoch voraus, dass dieser Niederlassung die Entscheidungsgewalt sowie die Haftung im Hinblick auf das jeweilige Verarbeitungsverfahren übertragen werden.790
4. Bestimmung der Hauptniederlassung im Falle eines Auftragsverarbeiters
431
Ebenfalls multinational aufgestellte Auftragsverarbeiter können sich auf die Hauptniederlassungs-Regelung berufen. Art. 4 Nr. 16 lit. b DSGVO bestimmt dabei, dass der Sitz der Hauptverwaltung des Auftragsverarbeiters in der EU stets auch als dessen Hauptniederlassung anzusehen ist.791 Wenn die Hauptverwaltung des Auftragsverarbeiters sich außerhalb der EU befindet, gilt die Niederlassung (innerhalb der EU) als Hauptniederlassung, in der die Verarbeitungstätigkeiten hauptsächlich stattfinden. Auch diese Formulierung legt nahe, dass auch im Falle von Auftragsverarbeitern jede im Auftrag durchgeführte Datenverarbeitung gesondert zu betrachten sein wird. Maßgeblich ist, wo der räumliche Schwerpunkt der Steuerung der Datenverarbeitung liegt.792
5. Organisatorische Gestaltungsmöglichkeiten
432
Die Verteilung von Entscheidungskompetenzen bezüglich des Umgangs mit personenbezogenen Daten innerhalb eines Unternehmens oder einer Unternehmensgruppe wird damit zur organisatorischen Gestaltungsaufgabe.793 Durch eine bewusste Zuweisung bzw. Konzentrierung