Zum Hauptinhalt

Was geschieht, wenn mein Unternehmen Daten in verschiedenen EU-Mitgliedstaaten verarbeitet?

Antwort

Die Datenschutz-Grundverordnung gilt in der gesamten EU – sie sieht einheitliche Datenschutzvorschriften für alle EU-Mitgliedstaaten vor. Das erspart es Ihrem Unternehmen/Ihrer Organisation, zahlreiche verschiedene Vorschriften beachten zu müssen. In einigen Bereichen können die EU-Mitgliedstaaten die Anwendung der Vorschriften der Datenschutz-Grundverordnung näher bestimmen (zum Beispiel arbeitsrechtliche Bestimmungen, öffentliche Gesundheit, Bestimmungen zur Vereinbarkeit von freier Meinungsäußerung und Datenschutz). Mit der Datenschutz-Grundverordnung wird auch das sogenannte „Verfahren der Zusammenarbeit und Kohärenz“ eingeführt, das die Zusammenarbeit der Datenschutzbehörden bei der grenzüberschreitenden Verarbeitung gewährleistet.

Wenn Ihr Unternehmen/Ihre Organisation in verschiedenen Ländern Daten verarbeitet, ist die zuständige Datenschutzbehörde – die als federführende Behörde im Umgang mit anderen betroffenen Datenschutzbehörden in der EU fungiert – die Datenschutzbehörde des EU-Mitgliedstaates, in dem Sie Ihre Hauptniederlassung haben. Die Hauptniederlassung sollte der Ort der Hauptverwaltung des Unternehmens/der Organisation in der EU sein, es sei denn, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung getroffen und diese Niederlassung hat die Befugnisse zur Umsetzung dieser Entscheidungen.

Wenn Ihr Unternehmen/Ihre Organisation Daten zur Erfüllung einer Verpflichtung nach dem nationalen Recht eines EU-Mitgliedstaates verarbeitet, ist ausschließlich die Datenschutzbehörde dieses EU-Mitgliedstaates zuständig.

Beispiel

Die Hauptniederlassung (das heißt die Hauptverwaltung) eines Textilunternehmens ist in Italien. Es verfügt über Niederlassungen in Nachbarländern, zum Beispiel in Malta, Griechenland, Frankreich und Österreich. In diesen Nachbarländern richten die Niederlassungen Datenbanken zur Verarbeitung der personenbezogenen Daten ihrer Kunden zu Werbezwecken ein. Die Entscheidungen, „wie“, „wann“ und „warum“ diese Kunden zu kontaktieren sind, werden jedoch in der Hauptverwaltung in Italien getroffen. In diesem Fall wird daher davon ausgegangen, dass die Entscheidungen zur Verarbeitung personenbezogener Daten zu Werbezwecken in Italien getroffen werden. Die italienische Datenschutzbehörde ist für Ihr Unternehmen/Ihre Organisation die federführende Behörde.

Referenzen

Example

A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.