Eigentlich sollte es mit der DSGVO ziemlich einfach sein, die zuständige Aufsicht zu finden: Federführend ist die Aufsichtsbehörde, die für das Gebiet zuständig ist, in der die verantwortliche Stelle oder der Auftragsverarbeiter die Haupt- oder einzige Niederlassung hat. In der Praxis gibt es aber doch einige Konstellationen, in denen das nicht ganz so klar ist. Schon 2016 hat die Artikel-29-Datenschutzgruppe daher »Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters« beschlossen (WP 244, geltende Fassung rev. 01 vom 5. April 2017).
Diese Leitlinien sollen nun überarbeitet werden. Der Europäische Datenschutzausschuss, der Nachfolger der Art.-29-Gruppe, hat daher einen Entwurf für überarbeitete Leitlinien zur Konsultation gestellt. Die Konsultation läuft noch bis zum 2. Dezember. Speziell geht es dabei um die Regeln zur gemeinsamen Verantwortlichkeit – eine Frage, die auch im kirchlichen Datenschutzrecht immer wieder Rätsel aufgibt. Der Entwurf erwähnt zwar weiterhin die spezifischen Aufsichten nicht – die neuen Regeln machen aber kirchlichen Verantwortlichen in »gemischtgesetzlichen« gemeinsamen Verantwortlichkeiten das Leben doch einfacher.
Abkehr von der gemeinsamen Hauptniederlassung
Unverändert im Vergleich zu den geltenden Guidelines bleiben die grundsätzlichen Erwägungen: »The approach implied in the GDPR is that the central administration in the EU is the place where decisions about the purposes and means of the processing of personal data are taken, and this place has the power to have such decisions implemented.«
Die Hinweise zur gemeinsamen Verantwortlichkeit – und nur diese – sollen dagegen deutlich überarbeitet werden. In den geltenden Leitlinien wird festgestellt, dass die DSGVO sich nicht spezifisch mit der Benennung einer federführenden Aufsichtsbehörde bei gemeinsamer Verantwortlichkeit befasst. Gemeinsamen Verantwortlichen wird aktuelle noch geraten festzulegen, »welche entscheidungsbefugte Niederlassung eines gemeinsam Verantwortlichen die Befugnis haben soll, für alle gemeinsam Verantwortlichen Entscheidungen über die Datenverarbeitung umzusetzen«. Die so festgelegte Niederlassung wird dann als Hauptniederlassung der gemeinsamen Verantwortlichkeit behandelt.
Das soll nun nicht mehr so gesehen werden: Der Begriff der Hauptniederlassung beziehe sich nur auf Fälle eines einzigen Verantwortlichen und könne nicht auf gemeinsame Verantwortlichkeit ausgedehnt werden, heißt es im Entwurf: »In other words, the main establishment of a controller cannot be considered as the main establishment of the joint controllers for the processing carried out under their joint control. Therefore, joint controllers cannot designate (among the establishments where decisions on the purposes and means of the processing are taken) a common main establishment for both joint controllers.«
In der im Anhang angefügten Checkliste wird dann deutlich, was das bedeutet: Anstatt wie zuvor eine Niederlassung als Hauptniederlassung in der Vereinbarung über gemeinsame Verantwortlichkeit und damit eine federführende Aufsichtsbehörde festzulegen, sind nun für alle beteiligten Verantwortlichen die Hauptniederlassungen aufzuführen. Diese unterliegen dann der jeweiligen Aufsicht: »The supervisory authority of the country where the place of central administration is located is the lead supervisory authority of the respective joint controller.«
Auswirkungen auf den kirchlichen Datenschutz
Die bisherige Position, dass sich die gemeinsamen Verantwortlichen auf eine Hauptniederlassung einigen, war insofern praktisch, da sie die Möglichkeit von forum shopping eröffnete. Bei Beteiligung von Verantwortlichen aus dem kirchlichen und aus dem staatlichen Bereich erzeugt das Probleme: Welches Recht muss die Aufsicht anwenden? Nur ihr eigenes, also eine staatliche Aufsicht die DSGVO, eine kirchliche das jeweilige kirchliche Gesetz? Oder anhand der Vereinbarung zur gemeinsamen Verantwortlichkeit je nach Aufgabenverteilung ein anderes, mit der Konsequenz, dass eine staatliche Aufsicht kirchliches Recht anwenden muss und umgekehrt? Kann es sein, dass je nach Vereinbarung die Zuständigkeit entweder einer staatlichen oder einer kirchlichen Aufsicht ausgehebelt wird?
Die neue Auffassung, dass gerade kein forum shopping möglich ist, sondern alle Verantwortlichen jeweils ihrer zuständigen Aufsicht unterliegen, sorgt hier für mehr Rechtsklarheit. Zwar dürften dann immer noch Fälle auftreten, in denen anhand der Vereinbarung geklärt werden muss, wer für was zuständig ist – sobald das aber klar ist, ist auch klar, dass eine Aufsicht nur das Recht ihres Rechtskreises anwenden muss, und dass keine Flucht aus dem je spezifischen Aufsichtsregime möglich ist.
Fazit
Der Vorschlag des EDSA für die Überarbeitung der Richtlinien nimmt Verantwortlichen zwar Instrumente der Rechtsgestaltung durch die Wahl einer einzigen verantwortlichen Hauptniederlassung aus den Händen. Das kann für die Verantwortlichen mehr Arbeit (oder zumindest eine Umstellung) bedeuten. Im Ergebnis ist das aber positiv – gerade für gemischtgesetzliche gemeinsame Verantwortlichkeiten: Zum einen aus praktischen Erwägungen, weil dann klar ist, dass die unterschiedlichen Rechtskreise zwar zusammenarbeiten können, dabei aber die Zuständigkeiten klar getrennt werden. Zum anderen aus grundsätzlichen religionsverfassungsrechtlichen Erwägungen: Auch in einer gemeinsamen Verantwortlichkeit wird so nicht die Selbstverwaltung der Religionsgemeinschaften unterlaufen.
An der Konsultation habe ich mich mit dem Vorschlag, die spezifischen Aufsichten explizit zu erwähnen, beteiligt.