a) Niederlassungsprinzip (Art. 4 Nr. 23 lit. a)
482
Nach Art. 4 Nr. 23 lit. a DSGVO muss der Verantwortliche oder der Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen sein. Zudem muss die jeweils in Frage stehende Datenverarbeitung „im Rahmen der Tätigkeiten“ dieser in mehreren Mitgliedstaaten belegenen Niederlassungen erfolgen.
483
Wie im Rahmen von Art. 3 Abs. 1 DSGVO wird dabei ein sehr weites Verständnis anzulegen sein. Insofern wird es einerseits genügen, dass eine Niederlassung den mit der in Frage stehenden Datenverarbeitung verfolgten Geschäftszweck einer anderen Niederlassung fördert, ohne die Verarbeitung dabei selber (mit-)auszuführen.852 Darüber hinaus ist es nicht erforderlich, dass die Niederlassungen die Daten der gleichen betroffenen Personen verarbeiten. Andererseits genügt es bereits, wenn die Niederlassungen dieselben Datenkategorien zum gleichen Zweck und nach einem ähnlichen Verfahren verarbeiten,853 etwa wenn mehrere Niederlassungen ein Datenverarbeitungsverfahren auf Anweisung einer Hauptniederlassung durchführen. Art. 4 Nr. 23 lit. a DSGVO setzt dabei keine Übermittlung von personenbezogenen Daten zwischen den Niederlassungen voraus.854
484
Demgegenüber liegt keine grenzüberschreitende Verarbeitung i.S.v. Art. 4 Nr. 23 lit. a DSGVO bei der Datenweitergabe zwischen zwei Verantwortlichen oder einem Verantwortlichen und einem Auftragsverarbeiter vor, es sei denn, dass jedenfalls einer der beteiligten Akteure über mehrere Niederlassungen in verschiedenen Mitgliedstaaten verfügt, im Rahmen deren Tätigkeit diese Verarbeitung erfolgt oder sich ein grenzüberschreitender Bezug aus Art. 4 Nr. 23 lit. b DSGVO ergibt.855
485
Im Falle von gemeinsam Verantwortlichen (Art. 26 DSGVO) dürfte bereits dann eine grenzüberschreitende Verarbeitung vorliegen, auch wenn die beteiligten Niederlassungen zu verschiedenen Verantwortlichen gehören.856
b) Marktortprinzip (Art. 4 Nr. 23 lit. b)
486
Alternativ kann nach Art. 4 Nr. 23 lit. b DSGVO auch eine einzelne Niederlassung in einem Mitgliedstaat eine grenzüberschreitende Verarbeitung begründen. Für den Fall, dass die Verarbeitung personenbezogener Daten in nur einem Mitgliedstaat erfolgt, muss die Verarbeitung aber zusätzlich erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben oder haben können. Diesbezüglich kann auf die obigen Ausführungen zu Art. 4 Nr. 22 lit. b DSGVO verwiesen werden.857
487
Eine durch einen außerhalb der EU ansässigen Verantwortlichen oder Auftragsverarbeiter durchgeführte Datenverarbeitung fällt – auch wenn sie erhebliche Auswirkungen auf Betroffene innerhalb der EU hat – nur dann in den Anwendungsbereich von Art. 4 Nr. 23 DSGVO, sofern die jeweilige datenverarbeitende Stelle im Drittland zumindest über eine Niederlassung innerhalb der EU verfügt, im Rahmen deren Tätigkeit die jeweilige Verarbeitung erfolgt.858
XXV. Maßgeblicher und begründeter Einspruch (Nr. 24)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
488
Die Definition des maßgeblichen und begründeten Einspruchs ist im Rahmen der Zusammenarbeit zwischen den Aufsichtsbehörden sowie des Streitbeilegungsverfahrens (vgl. Art. 60 Abs. 4 und 6, Art. 65 Abs. 1 lit. a DSGVO) von Relevanz. Sie beschreibt die formalen Voraussetzungen, unter denen sich eine betroffene Aufsichtsbehörde gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde zur Wehr setzen kann.
489
Ein maßgeblicher und begründeter Einspruch kann daher ausschließlich von einer betroffenen Aufsichtsbehörde i.S.v. Art. 4 Nr. 22 DSGVO erhoben werden und kann sich lediglich gegen Beschlussentwürfe einer federführenden Aufsichtsbehörde richten.
490
Die federführende Aufsichtsbehörde kann sich dem maßgeblichen und begründeten Einspruch anschließen. Tut sie dies nicht oder ist sie der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, leitet sie gemäß Art. 60 Abs. 4 DSGVO ein Kohärenzverfahren ein. Der Europäische Datenschutzausschuss erlässt daraufhin gemäß Art. 65 Abs. 1 lit. a DSGVO einen für sowohl die federführende als auch alle betroffenen Aufsichtsbehörden verbindlichen Beschluss über alle Fragen, die Gegenstand des maßgeblichen und begründeten Einspruchs sind.
2. Merkmale eines maßgeblichen und begründeten Einspruchs
491
Nach der Definition von Art. 4 Nr. 24 DSGVO kann ein Einspruch in zwei Konstellationen maßgeblich sein: Zum einen kann die betroffene Aufsichtsbehörde vortragen, dass die federführende Aufsichtsbehörde zu Unrecht von einem Verstoß gegen die DSGVO seitens des jeweiligen Verantwortlichen oder Auftragsverarbeiters ausgeht oder einen tatsächlich vorliegenden Verstoß fälschlicherweise verneint. Zum anderen kann sich ein maßgeblicher und begründeter Einspruch dagegen richten, dass eine seitens der federführenden Aufsichtsbehörde beabsichtigte Maßnahme gegen den Verantwortlichen oder den Auftragsverarbeiter nicht im Einklang mit der DSGVO steht; dies kann etwa der Fall sein, wenn die federführende Aufsichtsbehörde trotz eines festgestellten Verstoßes gegen die DSGVO nicht beabsichtigt, gegen den jeweiligen Verantwortlichen oder Auftragsverarbeiter einzuschreiten oder jedenfalls nach Ansicht einer betroffenen Aufsichtsbehörde eine zu milde oder aber auch zu strenge Maßnahme ergreifen will.
492
Der Einspruch ist begründet, wenn er die Tragweite der Risiken des Beschlussentwurfs klar erkennen lässt, die für die Grundrechte und Grundfreiheiten der Betroffenen und gegebenenfalls für den freien Verkehr personenbezogener Daten bestehen.
493
Darüber hinaus schweigt die DSGVO zu den weiteren erforderlichen Inhalten eines solchen Einspruchs oder dessen erforderlichen Maßes an Konkretisierung. Ausweislich ErwG 124 Satz 4 obliegt es dem Europäischen Datenschutzausschuss, durch Leitlinien weiter herauszuarbeiten, welche Anforderungen an einen maßgeblichen und begründeten Einspruch zu stellen sind.
494
Ob die vorgebrachten Gründe auch materiellrechtlich zutreffend sind, ist für die Erfüllung der Tatbestandsvoraussetzungen der Begriffsbestimmung unerheblich.859 Die inhaltliche Entscheidung darüber, ob der Einspruch letztlich durchgreift oder nicht, obliegt vielmehr dem Europäischen Datenschutzausschuss im Rahmen des Streitbeilegungsverfahrens nach Art. 65 Abs. 1 lit. a DSGVO; die Vorlage eines maßgeblichen und begründeten Einspruchs stellt dabei lediglich eine Verfahrensvoraussetzung dar.
XXVI. Dienst der Informationsgesellschaft (Nr. 25)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
495
Im Rahmen der DSGVO findet der Begriff des Dienstes der Informationsgesellschaft prominenteste Erwähnung im Rahmen von Art. 8 DSGVO, der besondere Voraussetzungen an die