Gesundheitsinformation hin verarbeitet werden, ein besonderes Diskriminierungspotenzial besteht, welches die Anwendbarkeit der besonders strikten Verarbeitungsvoraussetzungen für besondere Kategorien personenbezogener Daten rechtfertigt und erfordert. Sofern die Daten nicht im Hinblick auf diese Inhalte verarbeitet werden, sie also nur zufällig Gesundheitsinformationen enthalten, besteht hingegen kein erhöhtes Schutzbedürfnis.760 In diesem Fall „beziehen“ sich die Gesundheitsinformationen dann auch nicht auf die Gesundheit der betroffenen Person und aus ihnen gehen dann auch keine Informationen über den Gesundheitszustand der betroffenen Person hervor. Daraus folgt: Werden Daten, die nur mittelbare Gesundheitsinformationen beinhalten, nicht im Hinblick auf die „dahinterstehende“ Gesundheitsinformation verarbeitet, sind sie auch nicht als Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO anzusehen. Somit entscheidet in solchen Fällen also nicht nur der Inhalt der verarbeiteten Daten, sondern auch der jeweilige Verwendungszusammenhang dieser Daten darüber, ob sie als Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO zu qualifizieren sind oder nicht.761
415
Dabei ist der maßgebliche Verwendungszusammenhang aus objektiver Sicht zu bestimmen.762 Abzulehnen ist nach hier vertretener Ansicht die teilweise in der Rechtsprechung und in der datenschutzrechtlichen Literatur vertretene Auffassung, nach der die subjektive Auswertungsabsicht als entscheidendes Abgrenzungskriterium angesehen wird.763 So sollen nach dieser Auffassung Daten, die mittelbare Gesundheitsinformationen enthalten, nur dann als Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO anzusehen sein, wenn die (subjektive) Absicht besteht, diese sensiblen Informationen auszuwerten – wohingegen diese Daten keine Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO sein sollen, wenn keine derartige Auswertungsabsicht besteht.764 Diese Auffassung würde nach hier vertretener Ansicht aber zu (nicht hinnehmbarer) Rechtsunsicherheit führen, weil eine subjektive Auswertungsabsicht in vielen Fällen kaum zu ermitteln ist, weshalb sie in der Konsequenz dem solchen Daten innewohnenden Diskriminierungspotenzial nach hier vertretener Ansicht nicht ausreichend Rechnung trägt.765 Allerdings kann die (bestehende oder fehlende) subjektive Auswertungsabsicht – sofern diese bekannt ist – bei der Ermittlung des objektiven Verwendungszusammenhangs zu berücksichtigen sein.766
416
Auch der Europäische Datenschutzausschuss und die deutschen Datenschutzaufsichtsbehörden vertreten insoweit wohl eine restriktive Auslegung des Begriffs „Gesundheitsdaten“.767 Unklar bleibt allerdings, ob der Europäische Datenschutzausschuss die subjektive Auswertungsabsicht als Abgrenzungskriterium ansieht oder – wie hier vertreten – den objektiven Verwendungszusammenhang. So kann die maßgebliche Aussage des Europäischen Datenschutzausschusses („Wird das Videomaterial jedoch verarbeitet, um besondere Datenkategorien abzuleiten, ist Artikel 9 anzuwenden“)768 in beide Richtungen interpretiert werden. Eventuell kann aber aus den vom EDSA in dem Zusammenhang gegebenen Beispielen geschlussfolgert werden, dass der objektive Verwendungszusammenhang auch nach Auffassung des EDSA das entscheidende Abgrenzungskriterium und die subjektive Auswertungsabsicht nur ein Indiz dafür ist.769
f) Mischdatensätze
417
Nach hier vertretener Auffassung können die zuvor im Hinblick auf Daten, die (nur) mittelbare Gesundheitsinformationen enthalten, dargestellten Wertungen auch auf sogenannte „Mischdatensätze“ übertragen werden, also auf Datensätze, die neben Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO und ggf. anderen besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO auch noch nicht-sensible personenbezogene Daten beinhalten.770 Damit fällt die Verarbeitung solcher Mischdatensätze nach hier vertretener Ansicht nur dann in den Anwendungsbereich des Art. 9 DSGVO, wenn der jeweilige Datensatz gerade auf die in ihm enthaltenen besonderen Kategorien personenbezogener Daten hin verarbeitet, z.B. ausgewertet, wird.771 So besteht nach hier vertretener Auffassung auch bei Mischdatensätzen nur in diesem Fall ein Diskriminierungspotenzial, welches die erhöhten Anforderungen an die Verarbeitung von besonderen Kategorien personenbezogener Daten, insb. nach Art. 9 Abs. 2 DSGVO, zu rechtfertigen vermag. Oftmals werden in Mischdatensätzen aber ohnehin nur „mittelbare Gesundheitsdaten“ enthalten sein, z.B. wenn bei einer Videoüberwachung ein Brillenträger von der Überwachung erfasst wird, deren Verarbeitung nach hier vertretener Auffassung sowieso nur unter den unter Rn. 414f. genannten Bedingungen in den Anwendungsbereich von Art. 9 DSGVO fällt.772
XVII. Hauptniederlassung (Nr. 16)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
418
Die DSGVO führt das Konzept der „federführenden Behörde“ ein, um die Zusammenarbeit zwischen Verantwortlichen (bzw. Auftragsverarbeitern) und Datenschutzaufsichtsbehörden zu erleichtern, indem für grenzüberschreitende Datenverarbeitungen im Hinblick auf die aufsichtsbehördliche Zuständigkeit das sog. „One-Stop-Shop“-Verfahren etabliert wird. Im Idealfall müssen sich multinational aufgestellte Unternehmen nur mit einer, nämlich der „federführenden Behörde“ auseinandersetzen und nicht mit sämtlichen nationalen Aufsichtsbehörden der Mitgliedstaaten, in denen sie personenbezogene Daten verarbeiten.773
419
Dies ist dann der Fall, sofern sie über eine „Hauptniederlassung“ i.S.d. Art. 4 Nr. 16 DSGVO verfügen. Die national für die Hauptniederlassung eines Unternehmens zuständige Aufsichtsbehörde ist dann als „federführende Behörde“ unionsweit grundsätzlich alleinig zuständig (vgl. Art. 56 Abs. 2 DSGVO).774
420
Das Konzept der Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO kommt jedoch nur bei Vorlage einer grenzüberschreitenden Verarbeitung i.S.v. Art. 4 Nr. 23 DSGVO zum Tragen.
2. Begriff der Niederlassung
421
Der Begriff der Niederlassung wird in der DSGVO nicht legaldefiniert. ErwG 22 der DSGVO statuiert gleichwohl, dass eine Niederlassung sich dadurch auszeichnet, dass sie „eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraussetzt“.775
422
Für den Begriff der Niederlassung ist dabei gleichgültig, ob es sich dabei um eine bloße Zweigstelle des Verantwortlichen oder um eine (rechtlich unabhängige) Tochtergesellschaft handelt. Von dem gleichen Verständnis des Niederlassungsbegriffs geht letztlich auch der EuGH aus.776 Sowohl ErwG 22 als auch die Aussagen des EuGH beziehen sich zwar jeweils auf den Kontext der Anwendbarkeit europäischen Datenschutzrechts. Nicht ersichtlich ist jedoch, dass dem Begriff der Niederlassung im vorliegenden Zusammenhang ein anderes Verständnis innewohnt. Demgemäß kann das Konzept der Hauptniederlassung nicht nur im Verhältnis zu unselbstständigen Niederlassungen, sondern auch innerhalb von Konzernstrukturen oder anderweitigen Unternehmensgruppen Anwendung finden.777
3. Bestimmung der Hauptniederlassung im Falle eines Verantwortlichen
a) Bestimmungsregeln/zu berücksichtigende Faktoren
423
Gemäß Art. 4 Nr. 16 lit. a DSGVO i.V.m. ErwG 36 bestimmt sich die Hauptniederlassung eines Verantwortlichen (mit mehreren Niederlassungen innerhalb der EU) danach, an welchem Standort die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Hierbei wird vermutet, dass es sich dabei in der Regel um den Ort der Hauptverwaltung des Verantwortlichen bzw. innerhalb von Unternehmensgruppen um „die Hauptniederlassung des herrschenden Unternehmens“778 handelt. Sofern und soweit eine andere Niederlassung des Verantwortlichen in der Union diese Entscheidungen trifft und diese Niederlassung befugt ist, diese Entscheidungen umsetzen zu lassen, gilt diese Niederlassung als Hauptniederlassung.