Perspektiven

Top Ten der DSGVO, #10: Der One-Stop-Shop-Ansatz

Die Auswirkungen des One-Stop-Shop-Ansatzes

Die DSGVO beauftragt die Aufsichtsbehörden, die Datenschutzgesetze EU-weit durchzusetzen und Leitlinien zu ihrer Anwendung vorzugeben. Dieser Artikel zeigt, wie der One-Stop-Shop-Ansatz eine konsistente Umsetzung und Durchsetzung des Datenschutzrechts erleichtern wird, und welche Auswirkungen dies auf Organisationen und Verbraucher hat.

Autoren: Annika Sponselee & Rodney Mhungu

Der One-Stop-Shop-Ansatz

Für Organisationen, die in mehreren EU-Ländern aktiv sind, bietet die DSGVO eine zentrale Anlaufstelle zur Durchsetzung der Richtlinien in Form eines Systems von Zusammenarbeits- und Kohärenzverfahren, die als «One-Stop-Shop-Ansatz» bezeichnet werden. Falls Ihre Organisation Daten grenzüberschreitend verarbeitet, sollten Sie gemäss DSGVO, primär mit derjenigen Aufsichtsbehörde zusammenzuarbeiten, die ihren Sitz im selben Mitgliedstaat hat wie Ihre Hauptniederlassung (normalerweise Ihr Firmensitz in der EU) um Compliance zu erreichen. Diese Behörde wird zur «federführenden Aufsichtsbehörde» für alle Ihre zukünftigen Datenschutzfragen.

In Fällen, in denen einzelne betroffene Personen in einem anderen Mitgliedstaat von Ihrer Datenverarbeitung personenbezogener Daten erheblich betroffen sind, kann die lokale Aufsichtsbehörde den Fall entweder Ihrer federführenden Aufsichtsbehörde übergeben oder diesen zusammen mit der lokalen Behörde vor Ort abwickeln. Dies hängt davon ab, welche Vorgehensweise in Bezug auf ein Rechtsmittel für den Kläger am geeignetsten ist. Trotz diesem One-Stop-Shop-Ansatzes ist jedoch jede Aufsichtsbehörde in der EU für lokale Beschwerden oder Verstösse gegen die DSGVO zuständig.

Im Wesentlichen soll durch den One-Stop-Shop-Ansatz sichergestellt werden, dass Organisationen und natürliche Personen den Schutz grenzüberschreitender Daten von ihrem (Wohn-)Sitz aus handhaben können und solche Fragen innerhalb der EU einheitlich behandelt werden.

Die Auswirkungen des One-Stop-Shop-Ansatzes auf Verbraucher

Gemäss dem Hauptziel der DSGVO, nämlich Verbraucher effektiver zu schützen, ist der One-Stop-Shop-Ansatz eine der vielen Funktionen der DSGVO, die darauf abzielen, betroffenen Personen die Ausübung ihrer Rechte in Bezug auf ihre personenbezogenen Daten zu erleichtern. Betroffene Personen können von ihrer lokalen Aufsichtsbehörde Informationen über die Ausübung ihrer Rechte gemäss der DSGVO anfordern, die unter anderem Anfragen zur grenzüberschreitenden Verarbeitung durch multinationale Organisationen beinhalten. Die lokale Aufsichtsbehörde ist beauftragt, Beschwerden zu prüfen und den Kläger innerhalb einer angemessenen Frist über Fortschritt und Ergebnis der Untersuchung zu informieren, insbesondere wenn weitere Nachforschungen oder eine Koordination mit einer anderen Aufsichtsbehörde vonnöten sind. So kann sich ein Verbraucher (eine betroffene Person) auf seine/ihre lokale Aufsichtsbehörde stützen, um seine/ihre Rechte gemäss der DSGVO zu wahren, unabhängig davon in welchem EU-Land die jeweilige Organisation ihren Sitz hat.

Da die aktuelle Datenschutzregelung derartige lokale Beschwerden bereits erleichtert, hat der Beschwerdeprozess gemäss DSGVO unter Umständen keine Auswirkungen darauf, wie der Verbraucher seine Rechte ausüben kann. Verbraucher müssen ihre Beschwerden heute an die lokale Behörde herantragen. Dies wird sich auch unter der DSGVO nicht ändern. Die stärkste  Auswirkung der DSGVO auf Verbraucher wird vermutlich darin liegen, dass Beschwerden in Zukunft effizienter abgewickelt werden als heute.

Die Auswirkungen des One-Stop-Shop-Ansatzes auf Ihre Organisation

Die Koordinierung von Fällen grenzüberschreitender Datenverarbeitung wird vermutlich einen grossen Verwaltungsaufwand mit sich bringen. Der Löwenanteil dieser Last wird sich jedoch weg von den betroffenen Personen und Auftragsverarbeitern personenbezogener Daten und hin zu den Regulierungsbehörden verlagern. Unter der aktuellen Regelung wird die Kooperation seitens der Datenschutzbehörden (der funktionalen Entsprechung von Aufsichtsbehörden gemäss DSGVO) von Politikern stark unterstützt, doch sind im EU-Recht keine klaren Verfahren dafür vorgesehen. Daher müssen sich multinationale Organisationen, die Datenschutzgesetze in mehreren Ländern einzuhalten haben, sich mit den unterschiedlichen Verfahren in den einzelnen Mitgliedstaaten vertraut machen. Nach der vollständigen Implementierung der DSGVO per 25. Mai 2018 werden die Aufsichtsbehörden jedoch formell zur Zusammenarbeit verpflichtet sein, um ihre Informations- und Durchsetzungsverfahren aufeinander abzustimmen. Das dürfte bedeuten, dass sich EU-weit tätige Organisationen bis 2018 hauptsächlich auf die Informations- und Durchsetzungsverfahren ihrer federführenden Aufsichtsbehörde anstatt auf die Verfahren vieler EU-Aufsichtsbehörden stützen können.

Sofern Sie eine überzeugende Strategie für die Verarbeitung personenbezogener Daten entwickeln, dürfte diese, aufgrund des nun einheitlich, klar formulierten EU-Datenschutzrechts, die gewünschten Ziele in grösserem Mass erreichen. Da Ihre Strategie unter Berücksichtigung aller im Hauptsitz festgestellten Risiken entwickelt wurde, kann sie in jeder Ihrer Niederlassungen angewendet werden. Desweiteren können Erfahrungen in der  Datenverarbeitung jeder Niederlassung nun auch mit der gesamten Organisation für Lernzwecke geteilt werden, indem diese wieder Ihrem Hauptsitz zugeführt werden. 

Nutzen Sie Ihre federführende Aufsichtsbehörde, um Ihre Datenschutzstrategie zu skalieren

Nach vollständiger Implementierung der DSGVO sollte der One-Stop-Shop-Ansatz den Verbrauchern helfen, ihre Rechte betreffend des Schutzes personenbezogener Daten effizienter auszuüben, gleichzeitig sollte es Ihrer Organisation ebenfalls erleichtern, diese Rechte und Ihre Datenschutzrisiken auf EU-Ebene zu verstehen.

Daher sollten Sie den One-Stop-Shop-Ansatz und die Vorgaben Ihrer federführenden Aufsichtsbehörde gezielt dazu nutzen, die Einhaltung der DSGVO zu erleichtern. Dies wird Ihre Organisation in die Lage versetzen, eng mit Ihrer federführenden Aufsichtsbehörde zusammenzuarbeiten, um eine Datenschutzstrategie zu entwickeln, die auf einer klaren Gruppe von Datenschutzrisiken beruht. Im nächsten Schritt geht es darum, diese Strategie in allen Ihren Niederlassungen (innerhalb der EU) zu implementieren und von den lokalen Erfahrungen jeder Niederlassung zu lernen, um die Auswirkungen Ihrer Datenschutzstrategie in Ihrer gesamten Organisation konsequent zu messen und zu verstehen.