Home / Aktuelles & Termine / it.sec blog

Einleitung

Eigentlich sollte es ganz einfach sein: Durch das sogenannte One-Stop-Shop-Prinzip gibt es immer eine Aufsichtsbehörde, die sich federführend um Datenschutzbelange kümmert. Dadurch soll erreicht werden, dass einerseits die Verbraucher nicht mehr von einer Aufsichtsbehörde an die nächste verwiesen werden, andererseits sind besonders für international agierende Unternehmen nur noch eine Aufsichtsbehörde zuständig. So zumindest die Theorie.
Datenschutzverletzungen sind den jeweils zuständigen Aufsichtsbehörden zu melden. Dabei ist die Aufsichtsbehörde zuständig, in deren Bereich die Datenschutzverletzung stattgefunden hat. Insbesondere im Fall der grenzüberschreitenden Datenverarbeitung kann es jedoch mitunter schwierig sein, die zuständige Aufsichtsbehörde zu identifizieren.

Grenzüberschreitende Datenverarbeitung mit mehr als einem Mitgliedsstaat

Im Falle der grenzüberschreitenden Datenverarbeitung an der mehr als ein Mitgliedsstaat beteiligt ist, ist die Datenschutzbehörde zuständig, in der der Hauptsitz des Unternehmens ist.Wissenswert ist in diesem Zusammenhang, dass die Art. 29-Gruppe eine Leitlinie (WP 244) dazu veröffentlicht hat, wonach maßgeblich sein soll, wo (in welchem Land) die Entscheidung über die Verarbeitung getroffen wird. Im Zweifel soll das Unternehmen selbst ermitteln (dürfen), wo seine Hauptniederlassung ist und welche Aufsichtsbehörde damit als federführende Behörde fungiert. Diese Entscheidung kann jedoch von der jeweiligen Aufsichtsbehörde überprüft und ggfs. abgeändert werden. Die letztliche Entscheidung trifft die Europäische Aufsichtsbehörde.

Grenzüberschreitende Datenverarbeitung mit Hauptsitz außerhalb der EU

Für den Fall, dass der Hauptsitz außerhalb der EU ist und dort auch alle Entscheidungen getroffen werden sieht die DSGVO allerdings keine Lösung vor (Vergl. unter Ziff. 2.2 WP244).

Handlungsempfehlung

Als Handlungsempfehlung sollten Sie daher bei grenzüberschreitender Datenverarbeitung prüfen, in welchem Land die jeweiligen Entscheidungen getroffen werden. Es kann durchaus sein, dass z.B. in Kundenfragen eine andere Aufsichtsbehörde zuständig sein kann als in Beschäftigtenfragen. Im Zweifel sollte die Datenschutzverletzung sicherheitshalber sowohl in dem Land gemeldet werden, in dem die Verletzung stattgefunden hat als auch in dem Land, in dem die diesbezüglichen Entscheidungen zu der Verarbeitung getroffen wurde.

Wir können davon ausgehen, dass die Aufsichtsbehörden sich untereinander unterstützen, sie sind ohnehin verpflichtet, sich gegenseitig Amtshilfe zu leisten.

Céline Lürmann

Rechtsanwältin

Consultant für Datenschutz

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abwehr terroristischer Straftaten ADCERT AfD Airbnb Amnesty Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschwerde besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Englisch Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU-Bürger EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Großbritannien H & M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Kommunikation Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Krankenkasse Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesdatenschutzbeauftragten Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Machtposition Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber SHA1 sicher Sicherheit Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG TOM Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig Urteil US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webseite Webseiten Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Weltanschauung Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zeiterfassung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29