Mit der EU-DSGVO wird das Konzept des One Stop Shop eingeführt. Im Klartext bedeutet das: Bei grenzüberschreitender Verarbeitung ist die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Was das sonst noch an Vorteilen oder Nachteilen mit sich bringt klärt wiederum ein Whitepaper des BayLDA.
NUR EIN(!) ANSPRECHPARTNER
Der wohl wichtigste Vorteil des One Stop Shop (OSS), der sich daraus für Unternehmen ergibt, ist dass sie wegen ein und derselben Verarbeitung nicht mit mehreren Datenschutzaufsichtsbehörden parallel kommunizieren müssen. Dieser eine Ansprechpartner ist die federführende Aufsichtsbehörde – also grundsätzlich die, die für die Hauptniederlassung des Verantwortlichen / Auftragverarbeiters zuständig ist. Die Hauptniederlassung wiederum ist gemäß Art. 4 Nr. 16 DSGVO normalerweise der Ort der Hauptverwaltung in der EU. Die Ausnahmen werden im Whitepaper ebenfalls erläutert.
GRENZÜBERSCHREITEND
Der OSS kommt aber nur bei grenzüberschreitender Verarbeitung zum Tragen. Gemäß Art. 4 Nr. 23 DSGVO liegt dann eine grenzüberschreitende Verarbeitung vor, wenn….
- die Verarbeitung im Rahmen der Tätigkeit von Niederlassungen des Verantwortlichen / Auftragsverarbeiters in mehr als einem
Mitgliedstaat passiert; oder - die Verarbeitung im Rahmen der Tätigkeit einer einzelnen Niederlassung eines Verantwortlichen / Auftragsverarbeiters in der
EU passiert, die jedoch erhebliche Auswirkungen auf Betroffene in mehr als einem Mitgliedstaat hat oder haben kann.
VERFAHREN DES ONE STOP SHOP
Die federführende Behörde entscheidet aber nicht alleine. Alle betroffenen Aufsichtsbehörden haben an der Entscheidungsfindung teil. Die betroffenen Aufsichtsbehörden sind all jene an deren Standorten der Verantwortliche oder Auftragsverarbeiter Niederlassungen hat, all diejenigen an denen die Betroffenen einen Wohnsitz haben und auf die die Verarbeitung erhebliche Auswirkungen haben kann und schließlich auch diejenigen bei denen Beschwerden dazu eingegangen sind.
„Für die Entscheidungsfindung im OSS enthält Art. 60 DS-GVO Vorgaben und Fristen. Betroffene Aufsichtsbehörden können gegen Entscheidungsentwürfe der federführenden Behörde Einspruch einlegen. Bei Nichteinigung wird die Sache dem Europäischen Datenschutzausschuss zur verbindlichen Entscheidung vorgelegt.“