Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, welche Datenschutzbehörde national und international für Unternehmen zuständig ist.

Die Datenschutzgrundverordnung führt den sog. „One-Stop-Shop-Mechanismus“ (also das Prinzip, dass für ein Unternehmen nur noch eine Datenschutzbehörde zuständig ist) ein, zumindest ist dies das erklärte Ziel der Verordnung. In der Umsetzung ist der „One-Stop-Shop“ allerdings stark verwässert worden.
Zwar gilt zunächst der Grundsatz, dass für ein Unternehmen, welches Niederlassungen in mehreren EU-Mitgliedstaaten hat, formell nur die Aufsichtsbehörde am Hauptsitz des Unternehmens zuständig ist (sog. „federführende Aufsichtsbehörde“). Allerdings gelten zahlreiche Einschränkungen. Erstens können sich Betroffene auch weiterhin mit Beschwerden an die Datenschutzaufsichtsbehörde an ihrem jeweiligen Wohnsitz wenden. Diese werden somit involviert und ihre (gegebenenfalls abweichende) Meinung einbringen. Zu noch mehr Komplikationen dürfte in der Praxis die Verpflichtung der federführenden Aufsichtsbehörde führen, andere nationale Datenschutzbehörden einzuschalten, wenn natürliche Personen aus ihren Ländern betroffen sind. Immer dann wird ein Abstimmungsmechanismus zwischen den Aufsichtsbehörden erforderlich werden. Die federführende Aufsichtsbehörde soll lediglich Hauptansprechpartner sein und für die Durchsetzung des Datenschutzrechts gegenüber dem Verantwortlichen zuständig sein. Wenn immer mehrere Aufsichtsbehörden betroffen sind, werden diese im Rahmen eines neu eingeführten Kooperationsmechanismus jedoch in das Verfahren einbezogen. Die federführende Behörde muss im Rahmen ihres Beschlusses der Stellungnahme der betroffenen Aufsichtsbehörden „gebührend Rechnung“ tragen. Was dies in der Praxis genau heißt und wie sich dieses System bewähren wird, bleibt abzuwarten. Es besteht aber zu befürchten, dass hier erhebliche Bürokratie erzeugt wird und die erhofften Vorteile des One-Stop-Mechanismus nicht oder nur eingeschränkt erreicht werden.
Soweit der Verantwortliche keine Niederlassung in der EU hat, die Datenschutzgrundverordnung aber dennoch anwendbar ist (in sog. „Marktortfällen“), greift der zuvor genannte Abstimmungsmechanismus aber nicht. Insoweit soll jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaats zuständig sein und für die entsprechende Rechtsdurchsetzung sorgen (es kann hierbei also durchaus zu abweichenden/divergierenden Entscheidungen kommen).
Im öffentlichen Bereich erhalten die Datenschutzbehörden neue Befugnisse und werden unter anderem ermächtigt, gegenüber anderen Behörden tätig zu werden und Anordnungen zu erlassen (dies ist in dieser Form ein Novum im deutschen Verwaltungsrecht).