lässt sich die Zusammenarbeit mit Datenschutzaufsichtsbehörden deutlich vereinfachen, indem sich datenverarbeitende Unternehmen nur nach den nationalen Gepflogenheiten der jeweiligen federführenden Behörde orientieren müssen.
433
Die Möglichkeiten der Bestimmung einer Hauptniederlassung stellt auch die Art.-29-Datenschutzgruppe in den Vordergrund, statuiert jedoch gleichermaßen, dass eine solche Zuweisung auch gelebt werden muss. Das heißt, dass Entscheidungskompetenzen nicht lediglich auf dem Papier existieren dürfen. Insofern obliegt den Unternehmen eine entsprechende Nachweispflicht.794 Vor diesem Hintergrund sollten Unternehmen auf eine entsprechende Dokumentierung sowohl der Verantwortlichkeiten als auch der letztlich getroffenen Entscheidungen achten.
XVIII. Vertreter (Nr. 17)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
434
Verantwortliche und Auftragsverarbeiter ohne eine Niederlassung in der Union können nach Maßgabe von Art. 27 DSGVO verpflichtet sein, einen in der EU ansässigen Vertreter zu bestellen, sofern sie nach Art. 3 Abs. 2 DSGVO in den extraterritorialen Anwendungsbereich der DSGVO fallen.
435
Durch dessen Bestellung rückt der Vertreter mit Blick auf die Regelung von Art. 27 Abs. 5 DSGVO weder in die Rolle des Verantwortlichen noch des Auftragsverarbeiters. Vice versa werden weder Verantwortlicher noch Auftragsverarbeiter durch die Bestellung eines Vertreters von ihren datenschutzrechtlichen Pflichten befreit.795 Der Vertreter vertritt den Verantwortlichen bzw. Auftragsverarbeiter „in Bezug“ auf die ihnen jeweils nach der DSGVO obliegenden Pflichten und fungiert als Ansprechpartner für die Aufsichtsbehörden796 und die von der Datenverarbeitung betroffenen Personen.797
436
Der Vertreter findet zudem in weiteren Regelungen der DSGVO Erwähnung. Zum einen wird er vereinzelt mit eigenen, originären gesetzlichen Pflichten versehen. So hat er gemäß Art. 30 Abs. 1 DSGVO das Verarbeitungsverzeichnis zu führen und soll nach Art. 31 DSGVO mit den zuständigen Aufsichtsbehörden hinsichtlich solcher Maßnahmen zusammenarbeiten, die die Einhaltung der Regelungen der DSGVO sicherstellen. Außerdem kann die Aufsichtsbehörde den Vertreter nach Art. 58 Abs. 1 lit. a DSGVO dazu verpflichten, Auskünfte zu erteilen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Zum anderen sind Verantwortliche gemäß Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO dazu verpflichtet, die betroffenen Personen über den von ihnen bestellten Vertreter zu informieren.798
2. Merkmale des Vertreters
437
Nach Art. 4 Nr. 17 DSGVO kann der Vertreter sowohl eine natürliche als auch eine juristische Person sein. In Ermangelung gegenteiliger Ausführungen in der DSGVO ist davon auszugehen, dass ein Vertreter für mehrere Verantwortliche bzw. Auftragsverarbeiter tätig werden kann, solange er in der Lage ist, seinen Aufgaben gewissenhaft und ordnungsgemäß nachzukommen.799
438
Voraussetzung ist nach Art. 27 Abs. 3 DSGVO allerdings, dass der Vertreter in einem Mitgliedstaat niedergelassen sein muss, in dem sich jedenfalls eine von der Verarbeitung (seitens des vertretenen Verantwortlichen bzw. Auftragsverarbeiters) betroffene Person befindet. Weitere fachliche oder persönliche Voraussetzungen stellt die DSGVO (im Gegensatz zum Datenschutzbeauftragten, vgl. Art. 37 Abs. 5 DSGVO) an die Person des Vertreters jedoch nicht.
439
Die Bestellung des Vertreters hat nach Art. 4 Nr. 17 DSGVO i.V.m. Art. 27 Abs. 1 DSGVO und ErwG 80 schriftlich und ausdrücklich zu erfolgen; die rein faktische Übernahme der Vertretung genügt daher nicht. Die Bestellung muss zudem so erfolgen, dass der Vertreter die ihm obliegende, gesetzlich vorgesehene Funktion als Anlaufstelle für betroffene Personen und Aufsichtsbehörden erfüllen kann. Demgemäß muss der Vertreter zumindest als Empfangsvertreter bestellt werden und entsprechend autorisiert sein, Erklärungen im Namen des Vertretenen abzugeben.800
XIX. Unternehmen (Nr. 18)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
440
Der Begriff des „Unternehmens“ wird in der DSGVO nur an vereinzelten Stellen unmittelbar aufgegriffen. So enthebt Art. 30 Abs. 5 DSGVO gewisse Unternehmen etwa von der Pflicht zur Führung eines Verzeichnisses für Verarbeitungstätigkeiten. Die Klassifizierung als Unternehmen ist ferner für die Bestimmung der möglichen Berechnungsgrundlagen von Bußgeldern nach Art. 83 Abs. 4–6 DSGVO erheblich; hierbei ist jedoch zu beachten, dass nach dem Willen des Verordnungsgebers im Rahmen von Art. 83 DSGVO ein der Definition von Art. 4 Nr. 18 DSGVO hinausgehendes Verständnis des Unternehmensbegriffs gelten soll. Weitere Bedeutung erlangt die Definition des Unternehmens im Zusammenhang mit den Begriffen der „Unternehmensgruppe“ nach Art. 4 Nr. 19 DSGVO sowie der nicht in der DSGVO definierten „Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben“ (vgl. etwa Art. 47 DSGVO).
441
Die DSGVO spricht an weiteren Stellen von „Kleinstunternehmen“ sowie „kleinen und mittleren Unternehmen“, ohne diese gesondert zu definieren. ErwG 13 statuiert jedoch, dass die entsprechende Definition in Art. 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission maßgebend ist, wonach sich die Klassifizierung sowohl nach Mitarbeiterzahl als auch Umsatz bestimmt.801 Gleichwohl knüpft die DSGVO an diese Begriffe bzw. eine entsprechende Klassifizierung eines Unternehmens auch keine gesonderten Rechtsfolgen; vielmehr verfolgt die DSGVO die Maxime, auf die besonderen Bedürfnisse von solchen Unternehmen einzugehen bzw. hinzuweisen (vgl. Art. 40, 42 DSGVO).802
2. Merkmale der Definition
442
Art. 4 Nr. 18 DSGVO sieht ein weites Verständnis des Unternehmensbegriffs vor. Insofern sind sowohl natürliche und juristische Personen als auch Personengesellschaften und Vereinigungen umfasst. Hierzu zählen auch Kapitalgesellschaften, Vereine und Einzelkaufleute. Ebenso können juristische Personen des öffentlichen Rechts unter den Unternehmensbegriff fallen.803 Um mitgliedstaatliche Unterschiede entsprechend zu würdigen, ist zumindest vorauszusetzen, dass das jeweilige Subjekt am Rechtsverkehr teilnehmen und im gerichtlichen Verfahren als Partei auftreten sowie Adressat aufsichtsbehördlicher Maßnahmen sein kann.804
443
Maßgeblich für die Qualifizierung als Unternehmen ist, dass die Person bzw. Vereinigung regelmäßig einer wirtschaftlichen Tätigkeit nachgeht. Nach unionsrechtlichem Verständnis wird darunter das Anbieten von Gütern oder (Dienst-)Leistungen am Markt zu verstehen sein müssen, ohne dass eine Gewinnerzielungsabsicht erforderlich ist.805 Irrelevant sind die Branche (weshalb auch Freiberufler erfasst sind) und die Größe des Unternehmens.806 Insofern fallen auch Kleinstunternehmen sowie kleine und mittlere Unternehmen in den Anwendungsbereich von Art. 4 Nr. 18 DSGVO.
444
Unter Berücksichtigung des sachlichen Anwendungsbereichs der DSGVO nach Art. 2 Abs. 2 lit. c DSGVO steht einer Klassifizierung als Unternehmen zudem nicht entgegen, wenn die ausgeführte Tätigkeit nicht nur wirtschaftlich ist, sondern in gleicher Weise auch einen privaten Nutzen hat.807
3. Erweiterter Unternehmensbegriff bei der Bußgeldbemessung
445
Nach ErwG 150 Satz 3 soll im Rahmen von Art. 83 DSGVO ein im Verhältnis zu Art. 4 Nr.