Kurzbeitrag : Anwendung der EU-Standarddatenschutzklauseln (Art. 46 Abs. 2 lit c DS-GVO) auf Datenübermittlungen an unselbstständige Niederlassungen in Drittländern* : aus der RDV 3/2020, Seite 139 bis 143
Dr. Georg Wronka**
I. Ausgangslage
Ebenso wie zahlreiche in der EU ansässige Wirtschaftsunternehmen von ihnen als Repräsentanzen, Zweigniederlassungen oder Verbindungsstellen bezeichnete Einrichtungen in Drittländern unterhalten, so verfügen auch international operierende Umweltschutzorganisationen, caritative Einrichtungen, politische Institutionen und viele weitere NGO’s über Auslandsbüros zur Erreichung der von ihnen verfolgten Ziele. Dazu zählen etwa die Kunden- und Interessentenakquisition, der Aufbau von Kontakten zu Politik und Verwaltung des betreffenden Landes, die Anbahnung von Kooperationen, die Durchführung von Schulungen oder PR-, Bildungs- und sonstigen Veranstaltungen. Viele Dutzend politische Stiftungen – um ein Beispiel zu nennen – organisieren ihren Geschäftsbetrieb „vor Ort“ durchweg völlig selbständig, verfügen über eigene Budgets, entscheiden über die Auswahl benötigter lokaler Mitarbeiter und werden regelmäßig auch die datenschutzrechtlichen Qualifikationsmerkmale einer „Niederlassung“[1] aufweisen.[2] Sie sind, um es anders auszudrücken, keine bloßen von ihrer EU-„Zentrale“ ausgelagerten Fachabteilungen, sondern relativ komplexe Organisationen mit einem weiten Kompetenzbereich. Allerdings sind diese Funktionseinheiten großenteils nicht rechtsfähig – und das ist ein Kriterium, das hinsichtlich der datenschutzrechtlichen Einordnung ihrer Beteiligung an einzelnen grenzüberschreitenden Datenverarbeitungsprozessen nicht unbeachtet bleiben sollte.
Dass bei der Wahrnehmung sozialer, kultureller, gesellschaftlicher oder wirtschaftlicher Interessen in der jeweiligen Region auf zweckdienliche Informationen mit Bezügen zu konkreten Personen zugegriffen werden muss, bedarf keiner näheren Begründung. Sie werden üblicherweise unmittelbar von den Auslandseinrichtungen generiert, gespeichert, genutzt und in den weiteren in Art. 4 Nr. 2 DS-GVO aufgelisteten Formen verarbeitet, ohne dass die „hinter ihnen stehende“ Zentralinstitution oftmals überhaupt von ihnen Kenntnis erhält oder gar steuernd darauf Einfluss nehmen würde. Zur Unterstützung ihrer Arbeit erhalten sie aber auch ergänzende Informationen aus den Datenbeständen ihrer „Zentralen“ – Daten von Kunden, Interessenten, Wettbewerbern, Beratern, Politikern, Wissenschaftlern, Journalisten usw., über deren Verarbeitungszwecke und –mittel sie dann zumindest faktisch mitbestimmen. Derartige Datenzuleitungen aus der EU in ein Drittland sind an Zulässigkeitsregeln gebunden.
II. Rechtsrahmen
Bei der Übermittlung personenbezogener Daten aus der EU in ein Drittland sind nach Maßgabe der üblichen sog. Zweistufenprüfung neben dem Vorliegen der allgemeinen Zulässigkeitsvoraussetzungen des Kapitels II der DS-GVO (1. Stufe) zusätzliche im Kapitel V der DS-GVO normierte Legitimationstatbestände (2. Stufe) zu berücksichtigen. Zu den letzteren zählen nach Art. 46 Abs. 2 lit. c DS-GVO „Standarddatenschutzklauseln“, die die EG-Kommission bereits in den Jahren 2001 und 2004[3] erlassen hatte und die gem. Art. 46 Abs. 5 Satz 2 DS-GVO fortgelten. Sie werden in der verbindlichen Textvorgabe in Anlehnung an Art. 26 Abs. 4 der DSRichtlinie[4] mit „Standardvertragsklauseln“ überschrieben und beziehen sich auf die „Übermittlung zwischen für die Verarbeitung Verantwortlichen“ („controller to controller transfers“).
Daraus leiten sich vor dem Hintergrund der zu behandelnden Themenstellung einige grundsätzliche Fragen ab: Erfüllt der Datentransfer von der EU-„Zentrale“ an ihre unselbstständige Auslandsniederlassung das Merkmal der Übermittlung, sind zu den „Verantwortlichen“ auch nichtrechtsfähige Einrichtungen wie unselbständige Niederlassungen zu zählen, und können sie überhaupt als Parteien rechtswirksam ein solches „data transfer agreement“ vereinbaren? Immerhin: Auch wenn sich unter mehreren Gesichtspunken Zweifel an der Einsatzfähigkeit der Vertragsklauseln geradezu aufdrängen, die Datenschutz-Aufsichtsbehörden wollen ihre Verwendbarkeit jedenfalls auch in Bezug auf derartige Rechtsbeziehungen nicht ausschließen.[5]
III. „Datenübermittlung“
Das bis zum 24.5.2018 in Deutschland geltende BDSG verlangte für die Annahme einer „Übermittlung“ durch eine verantwortliche Stelle für den Empfänger der Daten die Eigenschaft eines „Dritten“ (§ 3 Abs. 4 Satz 2 Nr. 3 BDSG alt), der wiederum selbst als (neue) verantwortliche Stelle anzusehen war (§ 3 Abs. 8 i.V. mit Abs. 7 BDSG alt). Diese Prämisse ist in Art. 4 Nr. 2 DS-GVO entfallen.[6] So stellt nunmehr beispielsweise entgegen der früheren Rechtslage die Datenübertragung an einen Auftragsdatenverarbeiter eine Übermittlung dar,[7] und nicht anders dürfte die Weitergabe von Personaldaten durch den Arbeitgeber an den Betriebsrat, dessen Qualifikation als Dritter immer noch überwiegend abgelehnt wird, zu beurteilen sein. Darauf hinzuweisen ist, dass der in den Vertragsklauseln verwandte Begriff der Übermittlung zurückgeht auf den in Art. 2 lit. b DSRichtlinie benannten, der ebenfalls keinen Dritten voraussetzte. Darauf nehmen auch die Datenschutz-Aufsichtsbehörden Bezug und weiten den nationalrechtlichen Begriff der Übermittlung im Licht der übergeordneten europarechtlichen Vorgabe durch den Verzicht auf das Merkmal des Dritten inhaltlich aus.[8] Kommt es mithin nicht auf dieses Charakteristikum des Datenempfängers an, so scheitert eine Datenübermittlung an eine unselbständige Auslandsniederlassung jedenfalls nicht bereits an diesem Kriterium.
IV. Datenexporteur und -importeur als „Verantwortliche“
Agiert auf Seiten des Datenexporteurs eine natürliche oder – so der Regelfall – juristische Person (AG, GmbH, Verein, Stiftung usw.), dürfte die Einordnung als Verantwortliche i.S. von Art. 4 Nr. 7 DS-GVO kaum in Frage gestellt werden. Nicht so eindeutig scheint hingegen die Zuweisung dieses Merkmals – in der Variante als „andere Stelle“ – an nicht rechtsfähige Empfänger zu sein, wie dies z.B. bei unselbständigen Zweigstellen (unselbständigen Niederlassungen, Betriebsstätten[9]) der Fall ist. Nach verbreiteter Auffassung sollen unselbständige Niederlassungen eines Unternehmens grundsätzlich nicht selbst als Verantwortliche in Betracht kommen können, sondern müssten diesem in dessen jeweiliger Rechtsform zugerechnet werden.[10] Das gleiche sollte logischerweise auch für nicht-gewerblich/kaufmännisch operierende Einrichtungen von NGO’s gelten.
Die Gegenansicht hält die Rechtsfähigkeit nicht für konstitutiv und vertritt gegenüber einer rein juristischen Betrachtungsweise[11] einen funktionalen Ansatz[12] für das Verständnis der „anderen Stelle“ als alternative Erscheinungsform des Verantwortlichen. Zur Begründung dieser Auffassung ließen sich durchaus mehrere Aspekte anführen. Zwar bleiben die Niederlassungen zivilrechtlich Teil der EU-„Zentrale“, also des Datenexporteurs, gleichwohl üben sie auf Grund des weiten Handlungs- und faktischen Entscheidungsspielraums, der den meisten Niederlassungen eingeräumt wird, bestimmenden Einfluss auf Art, Umfang und Verarbeitungsweise der ihren Zwecken dienenden Daten aus. An eine unselbständige Niederlassung knüpfen sich diverse Verpflichtungen – in Deutschland beispielsweise (bei wirtschaftlicher Betätigung) die Gewerbeanmeldung, in Polen die Registrierung der Datenverarbeitungsmaßnahmen bei der Datenschutzaufsichtsbehörde oder nach türkischem Recht die Benennung einer für die Datenverarbeitung der Stelle zuständigen Ansprechperson. Für die datenschutzrechtliche Unabhängigkeit der Niederlassung vom Vorliegen ihrer Rechtsfähigkeit könnte im Übrigen auch die im ErwG 22 Satz 3 explizit zum Ausdruck gebrachte Vorstellung des europäischen Verordnungsgebers sprechen, derzufolge der Rechtsform einer Niederlassung keine maßgebliche Bedeutung zuzumessen sei.
Gleichwohl ist eine entscheidende Schwäche dieser Überlegungen nicht zu verkennen. Als Verantwortliche hätte eine nicht-rechtsfähige Niederlassung, auch wenn ihr die faktische Datenherrschaft übertragen wurde,[13] in eigener Zuständigkeit die Voraussetzungen für die Rechtmäßigkeit ihrer Datenverarbeitung zu erfüllen (Art. 5 Abs. 2 DS-GVO) und wäre auch Adressat der datenschutzrechtlichen Pflichten sowie der Ansprüche der Betroffenen (Auskunft, Berichtigung, Löschung usw.). Diese hätten aber kaum – und dies ist ein entscheidendes Kriterium – die Möglichkeit, ihre Rechte gerichtlich durchzusetzen, da die dafür erforderlichen Voraussetzungen (Passivlegitimation) nicht vorliegen dürften. Eine Stelle, der gegenüber kein Rechtsschutz besteht, lässt sich schwerlich als Verantwortliche apostrophieren.
Kurzum: Von einer „controller to controller“-Übermittlung zu sprechen, wäre im vorliegenden Fall nicht korrekt, so dass sich eigentlich an diesem Punkt die Unanwendbarkeit der Vertragsklauseln in der vorgesehenen Form erweist. Hinzu tritt das zivilrechtliche Manko: Wenn der nicht rechtsfähige Datenimporteur Teil der rechtsfähigen datenexportierenden Zentrale bleibt, müsste eine Vereinbarung der Datenschutzklauseln zwischen der (von ihrem Leiter vertretenen) importierenden Stelle mit der Zentrale als unzulässiges In-sich-Geschäft bewertet werden[14] – es sei denn, sie ließe sich rechtstechnisch anders verorten und würde z.B. durch Umdeutung Rechtswirkungen erzeugen.
V. Vorstellungen des Düsseldorfer Kreises
Die Aufsichtsbehörden hatten sich 2007 im Fall eines Drittlandbezogenen Datentransfers zwischen einem in Deutschland ansässigen Unternehmen und seiner unselbständigen Niederlassung auf die grundsätzliche Einsetzbarkeit der Standardvertragsklauseln verständigt. Erforderlich sei dazu aber „eine (Zugangs-, aber nicht Empfangsbedürftige) Garantieerklärung (durch die ein Garantievertrag mit den betroffenen Personen zustande kommt)“.[15]
Die hessische Datenschutzaufsicht erläutert dieses Konzept näher: „Zur Herstellung der externen Verbindlichkeit bietet sich vor allem eine einseitige zugangsbedürftige, aber nicht annahmebedürftige, Garantieerklärung durch den Datenimporteur bzw. das Unternehmen (da ja eine rechtliche Einheit besteht) an, durch welche ein Garantievertrag mit den betroffenen Datensubjekten zustande käme. Dies könnte erfolgen, indem die Standardvertragsklauseln nebst entsprechender Erklärung, sich an diese zu halten, in das Internet oder Intranet gestellt werden (je nach betroffenem Personenkreis) oder in sonstiger Weise gegenüber den betroffenen Personen zugänglich gemacht werden“.[16]
Bei dieser Konstruktion bestünden weder eine Genehmigungs- noch eine Vorlagepflicht bei der (deutschen) Aufsichtsbehörde. Die aufsichtsbehördliche Auffassung deckt beide Konstellationen ab, also sowohl die Datenweitergabe durch das Unternehmen mit Hauptsitz in Deutschland an seine Niederlassung als auch (den hier nicht näher interessierenden) Fall einer Übermittlung von der Niederlassung zum Unternehmen in Deutschland. Entscheidend ist, dass eine Garantiezusage nur rechtsverbindlich sein kann, wenn sie durch eine rechtsfähigen Stelle erteilt wird – und das wäre die deutsche „Zentrale“.
Erstaunlicherweise hat sich das Schrifttum mit diesen dogmatisch nicht uninteressanten Überlegungen kaum auseinandergesetzt, sondern sich allenfalls ohne erkennbare Einwände auf die Wiedergabe der Ausführungen der Aufsichtsbehörden beschränkt.[17] Nur vereinzelt wurde kritisch zu ihnen Stellung genommen: Die Standardvertragsklauseln setzten einen Vertragspartner voraus, der ihre Einhaltung zu überwachen habe – eine Bedingung, die durch das Konstrukt einer einseitigen Verpflichtung jetzt weggefallen sei; da das von den Aufsichtsbehörden entwickelte Modell nicht mehr mit Art. 46 Abs. 2 lit. c DS-GVO vereinbar sei, müsse es entgegen ihrer Auffassung als sonstige Garantieform im Rahmen von Art. 46 Abs. 3 DS-GVO eingeordnet und ihrer Genehmigung unterworfen werden.[18]
VI. Düsseldorfer Kreis – Einzelfragen
1. Zustandekommen eines Garantievertrages
Die Aufsichtsbehörden gehen davon aus, dass mit einer Veröffentlichung der Vertragsklauseln – nebst einer Erklärung des Unternehmens,[19] sich an diese zu halten – im Internet oder Intranet bzw. ihrer sonstigen Zugänglichmachung ein Garantievertrag zustande kommen würde.[20] M. a. W., diese Vorgehensweise soll offenbar sowohl das Garantieangebot des Unternehmens als auch seine Annahme durch die von der Übermittlung Betroffenen einschließen.
Ohne Weiteres gefolgt werden kann der Auffassung der Behörden, dass das einseitig verpflichtende Angebot rechtswirksam werden kann, wenn es den Betroffenen lediglich zugeht; empfangsbedürftig ist diese Willenserklärung des Unternehmens nicht. Für den Zugang wäre auch die vorgeschlagene Form völlig ausreichend.
Nicht so überzeugend wirkt aber die Vorstellung – von der die Aufsichtsbehörden anscheinend ausgehen –, dass mit der den von der Übermittlung Betroffenen eingeräumten bloßen Möglichkeit der Kenntnisnahme der Garantieerklärung (= des Garantieangebots) zugleich auch die Bedingungen für das Vorliegen einer Annahmeerklärung erfüllt seien; eine äußerlich irgendwie erkennbare Reaktion der Betroffenen wird also nicht vorausgesetzt. Zwar mag auch hier gem. § 151 BGB der Zugang der auf die Annahme gerichteten Willenserklärung entbehrlich sein,[21] ein entsprechender Wille muss aber gleichwohl gebildet worden sein.[22] Dabei ist anerkannt, dass das Vorhandensein eines Annahmewillens auch aufgrund äußerer Indizien festgestellt werden kann.[23] Zu ihnen zählt maßgeblich – und rückt hier ins Blickfeld –, ob der Vertrag für den Annehmenden lediglich rechtlich vorteilhaft ist.[24] Ein solcher Vorteil erschließt sich im vorliegenden Fall nicht zwangsläufig.
Der Garantievertrag soll dazu dienen, eine Bedingung für die Zulässigkeit der Datenübermittlung in ein Drittland zu erfüllen (2. Prüfstufe, s.o.). In aller Regel versorgt ein Unternehmen seine Niederlassung im eigenen (kommerziellen o.ä.) Interesse, also zu seinem und weniger zum Vorteil des Betroffenen – oder als Frage formuliert: Welchen rechtlichen Vorteil sollte der Betroffene von der Mitwirkung an einem Vertrag haben, der dem Unternehmen zur Legitimation der ansonsten unzulässigen Datenverarbeitung verhilft?
Es ist unklar, ob die Aufsichtsbehörden sich auf andere „Konkludenzindizien“[25] stützen wollen, die für eine Vertragsannahme als tragfähig erachtet werden. Die Praxis jedenfalls dürfte ihre Rechtsauffassung begrüßen. Schließlich verdankt sie der durch den Beschluss herbeigeführten Selbstbindung bei der Beurteilung derartiger grenzüberschreitender Datenübermittlungen ein gewisses Maß an Handlungssicherheit. Verhalten sich die Unternehmen entsprechend dem vorgegebenen Muster, dürften ihnen die Beanstandung einer Datenübermittlung als unzulässig oder gar Sanktionen nicht drohen, wenn die Behörden sich nicht dem Vorwurf des venire contra factum proprium aussetzen wollen.
2. Inhalt des Garantievertrages
Die Einbindung der Standardvertragsklauseln in einen Garantievertrag begegnet an sich keinen Bedenken, zumal der Verordnungsgeber eine solche Möglichkeit nicht ausschließt.[26] Fraglich ist allerdings, ob es genügt, auf das Vertragsmuster, also den Blanko-Text der Klauseln, zu verweisen und auf individuelle Angaben im Anhang B bzw. überhaupt auf einen konkreten Vertragsabschluss zu verzichten.
Eine wirksam getroffene Vereinbarung der Vertragsklauseln würde interne (inter partes) und externe Wirkungen erzeugen. Der Garantievertrag hingegen soll nur eine externe Verbindlichkeit gegenüber den Betroffenen als Drittbegünstigten herstellen,[27] auf interne, bilaterale Pflichten stellt er nicht ab. Wenn man vom Fehlen einer zum Abschluss des EU-Übermittlungsvertrages (rechts-)fähigen Partei ausgeht, erscheint das folgerichtig. Insoweit würden sozusagen im Mantel des Garantievertrages die EU-Standardvertragsklauseln zu einem bloßen Katalog von Pflichten und Maßnahmen mutieren, deren Erfüllung und Durchführung allein das Unternehmen als solches zusichert – einschließlich solcher, die nach Ziffer II der Klauseln ausschließlich dem Importeur auferlegt sind.
Die Ausklammerung einer in den EU-Regeln vorgesehenen weiteren verpflichteten Stelle – des Importeurs – aus dem Gegenstand des Garantievertrages stößt an Verständnis- und wahrscheinlich, wichtiger noch, auch Akzeptanzgrenzen seitens der EU-Kommission. Einen Sinn könnte die Integration der Standardvertragsklauseln in den Garantievertrag indes dann ergeben, wenn sie in geeigneter Weise in der von der Kommission vorgesehenen Vertragsform zum Tragen kämen.
Eine Auslandsniederlassung wird üblicherweise von einer Person geleitet, die das „Zentralunternehmen“ mit der Führung der Geschäfte vor Ort betraut hat und die dieses tatsächlich oder auch rechtlich vertritt. Nichts hindert das Unternehmen, diesen Funktionsträger auf der Basis und in Ergänzung des mit ihm bestehenden Arbeits-/Dienstvertrages zu verpflichten, dafür Sorge zu tragen, dass die einen Datenimporteur treffenden Pflichten in analoger Anwendung der Ziffern II ff. in geeigneter Weise erfüllt werden. Zugleich müsste der Arbeitgeber/Dienstherr ihm die erforderlichen Ermächtigungen erteilen, Mittel bereitstellen und Vorkehrungen treffen, damit der Beauftragte in seiner Eigenschaft als „Quasi-Importeur“ dazu auch in der Lage ist; eine adäquate vertragliche Haftungsentlastung würde die Risiken des Beauftragten reduzieren.
Die Existenz spezifischer, auf die jeweiligen Auslandsniederlassungen abstellender Verträge wäre im Übrigen auch im Hinblick auf das Auskunftsrecht gem. Art. 15 Abs. 2 und die Informationspflichten nach Art. 13 Abs. 1 lit. f, Art 14 Abs. 1 lit. f DS-GVO geboten; mit einem Verweis auf abstrakte, bezugslose Vertragsformeln kann es nicht sein Bewenden haben.
3. Veröffentlichung – Umsetzung
Unterhält ein Unternehmen oder eine sonstige verantwortliche Stelle mehrere unselbständige Niederlassungen im EUAusland und würden die Angaben im Anhang B der Klauseln in allen Individualverträgen gleichlautend ausfallen, begegnete eine Veröffentlichung aller nahezu identischen Vertragstexte einige Skepsis. Die notwendige Transparenz (Art. 5 Abs. 1 lit. a DS-GVO) wäre damit kaum gewährleistet. Insofern ist folgendes Modell für die Umsetzung des aufsichtsbehördlichen Konzepts in Erwägung zu ziehen:
In der üblichen Datenschutzerklärung auf der Homepage des Verantwortlichen könnte auf den Mustertext der EU-Vertragsklauseln verwiesen werden, der als Anhang der Datenschutzerklärung wiedergegeben wird. Für die Platzierung des Hinweises bietet sich der Passus mit der Beschreibung der Verarbeitungszwecke und der sie legitimierenden Rechtsgrundlagen an. Dort könnte auch die Garantieerklärung angesprochen werden, die im Wortlaut ebenso wie eine Auflistung der in Betracht kommenden Niederlassungen gleichfalls im Anhang der Datenschutzerklärung zu verorten wäre.
4. Formulierungsbeispiel
„Die von (Verantwortlicher) verarbeiteten Daten können auch an Niederlassungen des (Verantwortlichen) im EU-Ausland* zur Erfüllung der Geschäftszwecke des (Verantwortlichen) unter Beachtung der Voraussetzungen von Art. 46 Abs. 2 DS-GVO übermittelt werden. Soweit eine Weitergabe nach Maßgabe von Art. 46 Abs. 2 lit. c DS-GVO erfolgt, garantiert (Verantwortlicher) die strikte Einhaltung der Verträge.“**
(weiterer Text der Datenschutzerklärung)
Anlage
* Niederlassungen unterhält (Verantwortlicher) in …
** Die mit den Niederlassungen bestehenden Verträge beruhen auf dem von der EU-Kommission vorgegebenen Standardtext und haben folgenden Wortlaut:
„…..“
(Verantwortlicher) garantiert den Betroffenen die Beachtung sämtlicher Bestimmungen dieser Verträge durch alle beteiligten Stellen.“
VII. Résumé
Eine Datenübermittlung von einer in Deutschland ansässigen verantwortlichen Stelle an seine in Drittstaaten operierenden unselbständigen Niederlassungen lässt sich auch mit Hilfe der EU-Standardvertragsklauseln legitimieren. Obwohl sich diese Klauseln mangels eigener Rechtsfähigkeit der Niederlassungen nicht zwischen ihnen und der verantwortlichen Stelle vertraglich vereinbaren lassen, können sie nach Auffassung des Düsseldorfer Kreises gleichwohl in Verbindung mit einer Garantieerklärung der verantwortlichen Stelle die von Art. 46 Abs. 2 lit. c DS-GVO beabsichtigten Zwecke erreichen und eine weitere aufsichtsbehördliche Beteiligung entfallen lassen. Die von den Aufsichtsbehörden nicht im Einzelnen erläuterte rechtliche Kontruktion dieses Modells wirft Fragen auf, denen nachzugehen ist.
* Vortrag anlässlich des 80. Geburtstags von Peter Gola. Prof. Gola, Königswinter, Autor von über 200 Beiträgen zum Datenschutz und u.a. Verfasser eines Grundlagenwerks zum Beschäftigtendatenschutz sowie Herausgeber und Bearbeiter von Standardkommentaren zur DS-GVO und zum BDSG (Red.).
** Dr. Georg Wronka ist Rechtsanwalt in Bonn mit den Arbeitsschwerpunkten Datenschutz- und Wettbewerbsrecht.
[1] Im Sinn von Art. 3 DS-GVO.
[2] Vgl. ErwG 22 DS-GVO; EuGH Rs. C-131/12 – Google Spain; EuGH Rs. C 230/14 – Weltimmo.
[3] Entscheidungen 2001/497 EG, ABl. EG 2001 L 181, S. 19 und 2004/915 EG, ABl. EU 2004 L 385, S. 74
[4] EG-Datenschutz-Richtlinie vom 24.10.1995 (95/46/EG), ABl. EG 1995 L 281, S. 31.
[5] Beschluss des Düsseldorfer Kreises vom 19./20. April 2007 zu den „Abgestimmten Positionen der Aufsichtsbehörden in der AG‚ Internationaler Datenverkehr am 12./13. Februar 2007 unter Ziffer I.4.; 19. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucksache 16/5892, S. 26 f; Hillenbrand-Beck, RDV 2007, S. 231 (232 f); Gola, in: Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4 c Rn. 12.
[6] Herbst, in: Kühling/Buchner, DS-GVO – BDSG, 2. Aufl. 2018, Art. 4 Nr. 2 Rn. 29 f.; zur Diskussion, ob unselbständige Zweigstellen in Drittländern als Dritte angesehen werden können vgl. Hartung, in: Kühling/ Buchner, Art. 4 Nr. 10 Rn. 6 m.N. in Fn. 8.
[7] Roßnagel, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 4 Nr. 2 Rn. 26.
[8] 15. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucksache 15/4659, S. 14.
[9] Zur Terminologie vgl. § 15 HGB, § 14 GewO und die dazu erlassenen Verwaltungsvorschriften der Länder, z.B. für Brandenburg die „Allgemeine Verwaltungsvorschrift zur Durchführung der §§ 14, 15 und 55 c der Gewerbeordnung“ vom 25.01.1996, ABl. S. 186, Ziff. 3.2.
[10] So etwa Weichert, in: Däubler/Wedde/Weichert/Sommer, EU-Datenschutz-Grundverordnung und BDSG n.F., 2018, Art. 4 Rn. 88. I. E. ebenso Hartung, in: Kühling/Buchner, Art. 4 Nr. 7 Rn. 9. Die Aussagen von Schwartmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, Datenschutz-Grundverordnung mit Bundesdatenschutzgesetz (Heidelberger Kommentar), 2018 wiederum sind nicht widerspruchsfrei. Einerseits spricht er unselbständigen Zweigstellen aufgrund der ihnen mangelnden Rechtsfähigkeit die Eigenschaft als Verantwortliche ab (Art. 4 Rn. 111), andererseits billigt er sie nicht rechtsfähigen Vereinen zu (Art. 4
[11] Weichert, in: Däubler/Wedde/Weichert/Sommer, Art. 4 Rn. 88.
[12] So Petri, in: Simitis/Hornung/Spiecker, Art. 4 Nr. 7 Rn. 16.
[13] Vgl. Art.-29-Datenschutzgruppe, WP 169 vom 16.02.2010, S. 10 ff.; die Gruppe geht im Übrigen durchgängig davon aus, dass Verantwortliche stets entweder natürliche oder juristische Personen sind.
[14] Beschluss des Düsseldorfer Kreises a.a.O. (Fn. 4); Hartung, in: Kühling/ Buchner, Art. 4 Nr. 10 Rn. 6; Däubler, in: Däubler/Wedde/Weichert/ Sommer, Art. 46 Rn. 16.
[15] Beschluss des Düsseldorfer Kreises a.a.O. (Fn. 4).
[16] 19. Bericht der hessischen Landesregierung a.a.O. (Fn. 5); wortgleich wiedergegeben bei Hillenbrand-Beck, RDV 2007, S. 231 (232).
[17] Vgl. Däubler, in: Däubler/Wedde/Weichert/Sommer, Art. 46 Rn. 16; Pauly, in: Paal/Pauly, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2. Aufl. 2018, Art. 46 Rn. 11; Gola, in: Gola/Schomerus, § 4c BDSG a.F. Rn. 12; von dem Bussche, in: Plath, BDSG – DS-GVO, 2. Aufl. 2016, § 4c BDSG a.F. Rn. 37.
[18] Schantz, in: Simitis/Hornung/Spiecker, Art. 46 Rn. 35.
[19] Das als alleiniger Verantwortlicher, aber in seiner Doppelfunktion zugleich als Ex- und Importeur agiert, Hillenbrand-Beck, RDV 2007, S. 231 (232)
[20] 19. Bericht der hessischen Landesregierung a.a.O. (Fn. 5).
[21] Vgl. zur Annahme eines selbständigen Garantieversprechens, BGH, NJW 1988, 1726.
[22] Brinkmann, in: Prütting/Wegen/Weinreich, BGB-Kommentar, 14. Aufl. 2019, § 151 Rn. 7
[23] Vgl. BGH, NJW 1990, S. 1655; Armbrüster, in: Erman, Bürgerliches Gesetzbuch, 11. Aufl. 2004, § 147 Rn. 3; Kramer, in: Münchener Kommentar zum BGB, Allgemeiner Teil, 5. Aufl., § 151 Rn. 5: „Konkludenzindizien“
[24] Vgl. BGH, NJW 2000, 276.
[25] Kramer a.a.O. (Fn. 23).
[26] Vgl. ErwG 109.
[27] 19. Bericht der hessischen Landesregierung a.a.O. (Fn. 5).