ist.
330
Nach Art. 4 Nr. 23 lit. b ist eine grenzüberschreitende Verarbeitung eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeit einer einzelnen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.
331
Damit können nach Art. 4 Nr. 23 zwei Anwendungsfälle eine grenzüberschreitende Verarbeitung begründen: Zum einen liegt eine grenzüberschreitende Verarbeitung vor, wenn die Verarbeitung in mehr als einem Mitgliedstaat stattfindet. Zum anderen ist dies auch der Fall, wenn die Verarbeitung zwar nur im Rahmen einer einzelnen Niederlassung stattfindet, diese aber erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben kann.[710] Insofern kann die grenzüberschreitende Verarbeitung sowohl vom Verantwortlichen bzw. Auftragsverarbeiter ausgehen als auch vom Empfänger.[711]
332
Mit dem Begriff der grenzüberschreitenden Verarbeitung wird damit ein EU-interner Datenverkehr erfasst. Gleichwohl begründet nicht jede Auslandberührung den Charakter einer Verarbeitung als grenzüberschreitend. Vielmehr ist die Berührung mehrerer Mitgliedstaaten bei der Datenverarbeitung gemeint.[712]
333
Die Vorschrift des Art. 4 Nr. 23 ist insbesondere für die Bestimmung und Funktion der federführenden Aufsichtsbehörde nach Art. 56[713] wichtig. Denn die Bestimmung der federführenden Aufsichtsbehörde ist (nur) dann relevant, wenn eine grenzüberschreitende Verarbeitung vorliegt.[714] Nach Art. 56 Abs. 1 ist federführende Aufsichtsbehörde in diesem Fall die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters. Durch die Bezugnahme des Art. 56 auf Art. 55[715] und Art. 60[716] ist Art. 4 Nr. 23 daher auch in diesem Kontext bedeutsam.
334
Art. 4 Nr. 23 hat darüber hinaus Auswirkungen auf das One-Stop-Shop-Prinzip: Denn sowohl Art. 4 Nr. 23 lit. a als auch lit. b setzen tatbestandlich die Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union voraus. Zwar gilt die DS-GVO unter den Voraussetzungen von Art. 3 Abs. 2[717] auch für Verantwortliche oder Auftragsverarbeiter außerhalb der Union. Diese unterfallen aber dem Privileg des One-Stop-Shop-Prinzips nur, sofern sie eine Niederlassung in der Union haben. Andernfalls unterliegen sie den Kontrollverfahren der nationalen Aufsichtsbehörden für Verarbeitungen, die Art. 3 Abs. 2 unterliegen. Folglich greift das Privileg nur für Unternehmen, die eine europäische Niederlassung besitzen.[718]
1. Niederlassungen in unterschiedlichen Mitgliedstaaten (lit. a)
335
Nach Art. 4 Nr. 23 lit. a müssen zwei Voraussetzungen, kumulativ vorliegen: Der Verantwortliche bzw. der Auftragsverarbeiter muss eine Niederlassung in mehreren Mitgliedstaaten besitzen (vgl. Art. 4 Nr. 23 lit. a Hs. 1) und die Verarbeitung muss im Rahmen der Tätigkeiten einer dieser Niederlassungen in mehr als einem Mitgliedstaat erfolgen (vgl. Art. 4 Nr. 23 lit. a Hs. 2).[719]
336
Hinsichtlich des Begriffs der Niederlassung ist auf die Ausführungen zu Art. 4 Nr. 16 zu verweisen. Damit sind jedenfalls alle Formen der Verarbeitung von personenbezogenen Daten umfasst, an denen Niederlassungen des Verantwortlichen bzw. des Auftragsverarbeiters in mehreren Mitgliedstaaten beteiligt sind, vgl. ErwG 124 S. 1. Aus dem Anwendungsbereich fallen somit insbesondere Fälle heraus, in denen der Verantwortliche nur in einem Mitgliedstaat eine Niederlassung besitzt.[720]
337
Das Kriterium „im Rahmen der Tätigkeiten“ wird vom EuGH grundsätzlich weit ausgelegt.[721] Insofern ist entsprechend ErwG 22 jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfasst. Das gilt unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Union stattfindet. Folglich fällt lediglich eine Verarbeitung die bei Gelegenheit oder außerhalb der normalen Niederlassungstätigkeit erfolgt aus dem Anwendungsbereich heraus.[722]
2. Erhebliche Auswirkungen auf Betroffene in unterschiedlichen Mitgliedstaaten (lit. b)
338
Art. 4 Nr. 23 lit. b knüpft an die erheblichen Auswirkungen bei dem oder den Betroffenen an. Da Datenverarbeitungen, die lediglich im Rahmen der Tätigkeit einer einzelnen Niederlassung stattfinden[723] nicht als grenzüberschreitend anzusehen sind, gilt dies abweichend von diesem Grundsatz nach Art. 4 Nr. 23 lit. b dann nicht, wenn die Datenverarbeitung erhebliche Auswirkungen auf die betroffenen Personen haben kann.[724] Insofern ist die Möglichkeit erheblicher Auswirkungen ausweislich des Wortlauts der Verordnung bereits ausreichend.
339
Der Begriff der Auswirkungen ist auch hier weit gefasst und schließt sowohl rechtliche als auch tatsächliche Auswirkungen mit ein, sofern diese nicht unerheblich sind. Auch hier ist anzumerken, dass der Begriff der Auswirkungen kaum Konturen aufweist, so dass auch nach ErwG 124 S. 4, der Datenschutzausschuss aufgefordert war, Leitlinien für Konturen festzulegen.[725]
XXV. Art. 4 Nr. 24: Maßgeblicher und begründeter Einspruch
340
Nach Art. 4 Nr. 24 ist ein maßgeblicher und begründeter Einspruch ein Einspruch gegen einen Beschlussentwurf (der federführenden Aufsichtsbehörde) im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung stehen, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von
