Zum Hauptinhalt springen
Datenschutz / DSGVO

Federführende Aufsichtsbehörde

Die federführende Aufsichtsbehörde ist bei grenzüberschreitender Datenverarbeitung die nach dem One-Stop-Shop-Prinzip allein zuständige Behörde am Ort der Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters.

Verarbeitet ein Unternehmen personenbezogene Daten über Landesgrenzen innerhalb der EU hinweg, schafft die DSGVO mit dem One-Stop-Shop-Prinzip einen einheitlichen Ansprechpartner: die federführende Aufsichtsbehörde (engl. lead supervisory authority). Sie ist gemäß Art. 56 DSGVO die Aufsichtsbehörde des Mitgliedstaats, in dem der Verantwortliche oder Auftragsverarbeiter seine Hauptniederlassung hat. Eine grenzüberschreitende Verarbeitung liegt vor, wenn ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten unterhält oder wenn die Verarbeitung betroffene Personen in mehreren Mitgliedstaaten erheblich beeinträchtigt.

Maßgeblich für die Bestimmung ist der Ort der Hauptverwaltung beziehungsweise jener Niederlassung, in der die wesentlichen Entscheidungen über Zwecke und Mittel der Verarbeitung tatsächlich getroffen werden (Art. 4 Nr. 16 DSGVO). Die federführende Behörde koordiniert das Verfahren mit den weiteren betroffenen Aufsichtsbehörden, führt grenzüberschreitende Untersuchungen und erlässt grundsätzlich die verbindliche Entscheidung. Bestehen Meinungsverschiedenheiten zwischen den Behörden, greift das Kohärenzverfahren nach Art. 60 ff. DSGVO, in letzter Instanz mit verbindlicher Streitbeilegung durch den Europäischen Datenschutzausschuss.

Das One-Stop-Shop-Prinzip entlastet Unternehmen, weil sie sich grundsätzlich nur mit einer einzigen Aufsichtsbehörde auseinandersetzen müssen. Es gilt jedoch nicht ausnahmslos: Bei rein lokalen Sachverhalten oder Beschwerden, die nur einen Mitgliedstaat betreffen, kann die örtliche Behörde nach Art. 56 Abs. 2 DSGVO selbst tätig werden. Auch Behörden des öffentlichen Sektors unterliegen jeweils ihrer nationalen Aufsicht. Unternehmen sollten ihre Hauptniederlassung daher sorgfältig dokumentieren und nachweisen können, wo die zentrale Verwaltung und die Entscheidungshoheit liegen.

Rechtliche Grundlage

Art. 56, Art. 4 Nr. 16, Art. 60 ff. DSGVO

Praxisbeispiel

Ein Konzern mit Sitz in Frankfurt betreibt Vertriebsgesellschaften in Frankreich, Spanien und Polen und verarbeitet Kundendaten zentral über eine in Deutschland gehostete CRM-Plattform. Als der Datenschutzbeauftragte eine Beschwerde aus Madrid erhält, klärt er, dass die wesentlichen Entscheidungen über die Verarbeitung in der Frankfurter Zentrale fallen. Damit ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit federführend; er koordiniert das Verfahren mit der spanischen Behörde, sodass der Konzern nur einen Ansprechpartner hat.

Häufige Fragen

Maßgeblich ist der Ort der Hauptniederlassung, also jener Niederlassung, in der die wesentlichen Entscheidungen über Zwecke und Mittel der Verarbeitung tatsächlich getroffen werden. Bei einem Auftragsverarbeiter zählt der Ort der Hauptverwaltung in der EU. Unternehmen sollten diese Zuordnung nachvollziehbar dokumentieren.
Nein. Bei rein lokalen Verarbeitungen oder Beschwerden, die nur einen Mitgliedstaat betreffen, kann die örtliche Aufsichtsbehörde nach Art. 56 Abs. 2 DSGVO selbst entscheiden. Auch der öffentliche Sektor unterliegt jeweils seiner nationalen Aufsicht.
Können sich die federführende und die betroffenen Aufsichtsbehörden nicht einigen, greift das Kohärenzverfahren nach Art. 60 ff. DSGVO. In letzter Instanz trifft der Europäische Datenschutzausschuss eine verbindliche Streitbeilegungsentscheidung.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Aufsichtsbehörde Europäischer Datenschutzausschuss Kohärenzverfahren Verantwortlicher Drittlandübermittlung
Zurück zum Glossar