458
Diese Begriffsdefinition stellt eine Neuerung dar, als dass die DSRl keine entsprechende Definition beinhaltete. Allerdings war das Konzept der verbindlichen internen Datenschutzvorschriften auch unter der EG-DSRl schon (ohne entsprechende Begriffsdefinition) anerkannt, sodass internationale Datentransfers unter den in Art. 26 Abs. 2 DSRl statuierten Voraussetzungen auf der sogenannten zweiten Stufe822 durch verbindliche interne Datenschutzvorschriften legitimiert werden konnten.823
459
In der DSGVO wird der Begriff vor allem in Art. 47 DSGVO, der die Vorgaben zum Inhalt von verbindlichen internen Datenschutzvorschriften und die Voraussetzungen für ihre Genehmigung durch die Aufsichtsbehörden beinhaltet, in Art. 46 Abs. 2 lit. b DSGVO, der festlegt, dass verbindliche interne Datenschutzvorschriften gem. Art. 47 DSGVO geeignete Garantien für internationale Datentransfers sind und somit internationale Datentransfers auf der sogenannten zweiten Stufe rechtfertigen können, sowie in den dazugehörigen ErwG 107, 108 und 110 verwendet. Außerdem wird der Begriff in Art. 57 Abs. 1 lit. s, 58 Abs. 3 lit. j und 70 Abs. 1 lit. c und lit. i DSGVO benutzt, in denen die Aufgaben und Befugnisse der Aufsichtsbehörden sowie die Aufgaben des Europäischen Datenschutzausschusses geregelt werden, so auch im Hinblick auf verbindliche interne Datenschutzvorschriften. Eine weitere Erwähnung findet der Begriff in ErwG 168, der Art. 92 DSGVO im Hinblick auf den Erlass von Durchführungsrechtsakten durch die EU-Kommission u.a. im Hinblick auf verbindliche interne Datenschutzvorschriften konkretisiert.824
2. Verbindliche interne Datenschutzvorschriften und internationale Datentransfers
460
Der Sinn und Zweck verbindlicher interner Datenschutzvorschriften besteht vor allem darin, dass sie den Transfer personenbezogener Daten in ein Land außerhalb des EWR ohne angemessenes Datenschutzniveau auf der sogenannten zweiten Stufe rechtfertigen können (Art. 44, Art. 46 Abs. 1, Abs. 2 lit. b, Art. 47 DSGVO). Hierzu müssen die Datenschutzvorschriften die in Art. 47 DSGVO statuierten Voraussetzungen erfüllen und von der zuständigen Aufsichtsbehörde genehmigt werden (siehe Art. 47 Rn. 12). In diesem Fall etablieren die verbindlichen internen Datenschutzvorschriften bei den beteiligten Unternehmen ein der DSGVO vergleichbares Schutzniveau für personenbezogene Daten auf vertraglicher Ebene, um das im Empfängerstaat ggf. niedrigere gesetzliche Datenschutzniveau „auszugleichen“. Unter dieser Voraussetzung erscheint es dann auch gerechtfertigt, dass personenbezogene Daten an die beteiligten Unternehmen übermittelt werden dürfen, vorausgesetzt, dass die Anforderungen an eine „normale“ Übermittlung auf der sogenannten ersten Stufe, also wie zwischen Unternehmen innerhalb des EWR, erfüllt sind.
461
Abgeschlossen werden können verbindliche interne Datenschutzvorschriften gem. Art. 47 Abs. 1 lit. a DSGVO und ErwG 110 von jeder Unternehmensgruppe i.S.d. Art. 4 Nr. 19 DSGVO, also insbesondere von Konzernen (siehe oben Rn. 449), oder von jeder Gruppe von Unternehmen i.S.d. Art. 4 Nr. 18 DSGVO, die eine gemeinsame Wirtschaftstätigkeit ausüben. Unter dieser Voraussetzung können also auch Unternehmensverbünde, die in keinem Abhängigkeitsverhältnis zueinander stehen, verbindliche interne Datenschutzvorschriften abschließen (siehe ausführlich Art. 47 Rn. 2f.).825 Dabei spielt es keine Rolle, ob es sich bei den einzelnen Unternehmen um Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO oder um Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO handelt.826
462
Sind die verbindlichen internen Datenschutzvorschriften abgeschlossen, können sie internationale Datenübermittlungen aus der EU an Organisationen derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, auf der sogenannten zweiten Stufe rechtfertigen (ErwG 110). Sollen hingegen personenbezogene Daten von einem Unternehmen an ein anderes Unternehmen außerhalb des EWR übermittelt werden, das nicht Mitglied derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen ist, die eine gemeinsame Wirtschaftstätigkeit ausüben, vermögen die verbindlichen internen Datenschutzvorschriften die Übermittlung auf der zweiten Stufe nicht zu rechtfertigen. Hierfür muss vielmehr auf eine andere in Art. 44ff. DSGVO genannte Möglichkeit zur Rechtfertigung von internationalen Datentransfers zurückgegriffen werden.
XXII. Aufsichtsbehörde (Nr. 21)
463
Eine „Aufsichtsbehörde“ ist eine von einem Mitgliedstaat gemäß Art. 51 DSGVO eingerichtete unabhängige Stelle. Gemäß Art. 51 Abs. 1 DSGVO ist primäre Aufgabe der Aufsichtsbehörden, die Einhaltung der DSGVO zu überwachen.
464
Nähere Bestimmungen zu ihrem Aufbau und ihren Aufgaben und Befugnissen regelt Kapitel VI der DSGVO: Art. 51 bis 54 DSGVO statuieren insoweit die Pflicht der Mitgliedstaaten zur Einrichtung von Aufsichtsbehörden sowie die dabei zu beachtenden Vorgaben. Art. 52 DSGVO stellt dabei deren vorzusehende Unabhängigkeit heraus und konkretisiert damit einen der fundamentalen, in den primärrechtlichen Regelungen des Art. 8 Abs. 3 GRCh der EU und Art. 16 Abs. 2 Satz 2 AEUV verankerten Grundsätze des europäischen Datenschutzrechts.827 Art. 55 bis 59 DSGVO regeln die grundsätzliche Zuständigkeitsverteilung unter den eingerichteten Aufsichtsbehörden (Art. 55, 56 DSGVO)828 und statuieren deren Pflichten und Befugnisse (Art. 57–59 DSGVO).829 Regelungen zu der Zusammenarbeit der Aufsichtsbehörden untereinander auf europäischer Ebene finden sich in Kapitel VII der Verordnung (Art. 60ff. DSGVO).830
465
Gemäß Art. 51 Abs. 1 DSGVO besteht die Möglichkeit, dass die Mitgliedstaaten mehrere Aufsichtsbehörden errichten können. Eine solche sowohl geografische als auch funktionale Aufspaltung sieht beispielsweise das deutsche System mit seinen Landesdatenschutzbehörden der 16 Bundesländer und die/der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) vor, deren jeweilige Zuständigkeit sich aus den §§ 9 sowie 40ff. BDSG ergibt.831 Daneben existieren noch die Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten und die Datenschutzbeauftragten der evangelischen und katholischen Kirche.832
XXIII. Betroffene Aufsichtsbehörde (Nr. 22)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
466
Der Begriff der betroffenen Aufsichtsbehörde wurde mit der DSGVO neu eingeführt und ist relevant für das Verfahren bei der Zusammenarbeit der Aufsichtsbehörden nach den Art. 60ff. DSGVO.
467
Die Betroffenheit einer Aufsichtsbehörde i.S.v. Art. 4 Nr. 22 DSGVO ist relevant, wenn eine grenzüberschreitende Datenverarbeitung i.S.v. Art. 4 Nr. 23 DSGVO vorliegt und für diese Datenverarbeitung eine andere Aufsichtsbehörde im Rahmen des sog. „One-Stop-Shop“-Verfahrens als „federführende Aufsichtsbehörde“ gemäß Art. 56 Abs. 1 und 6 DSGVO (ausschließlich) zuständig ist. Dies ist in Konstellationen möglich, in denen für die jeweils gegenständliche, grenzüberschreitende Datenverarbeitung eine Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO ausgemacht werden kann; die jeweils für die Hauptniederlassung örtlich zuständige Aufsichtsbehörde ist dann als „federführende Aufsichtsbehörde“ für diese grenzüberschreitende Datenverarbeitung anzusehen und daher ausschließlich zuständig.833
468
Art. 4 Nr. 22 DSGVO bestimmt dabei, in welchen Fällen eine andere (außer der federführenden) Aufsichtsbehörde von einer solchen grenzüberschreitenden Datenverarbeitung als „betroffen“ zu qualifizieren ist und demnach in das jeweilige aufsichtsbehördliche Verfahren zu involvieren sein kann (vgl. etwa Art. 60 Abs. 1–3 DSGVO), sowie welche Rechte und Mittel ihr im Rahmen der Zusammenarbeit mit der federführenden Aufsichtsbehörde (vgl. etwa Art. 60 Abs. 4 DSGVO) und einem sich etwaig anschließenden Kohärenz- bzw. Streitbeilegungsverfahren zustehen