Der Europäische Datenschutzausschuss (EDSA) präzisiert den Begriff „Hauptniederlassung“ und den DSGVO-One-Stop-Shop: Definition, Anwendungsbereich und Auswirkungen auf Unternehmen außerhalb der EU

GDPR One stop shop

Der Europäische Datenschutzausschuss (EDPB) hat erneut klargestellt, wie Organisationen ihre „Hauptniederlassung“ in der EU bestimmen sollten und wann sie sich auf den One-Stop-Shop (OSS)-Mechanismus der DSGVO stützen können. Für ukrainische Unternehmen, die EU-Nutzer bedienen, beeinflussen diese Klarstellungen, wie Sie mit Aufsichtsbehörden interagieren und ob eine einzige „federführende Aufsichtsbehörde“ grenzüberschreitende Fälle koordinieren kann.

Was ist der One-Stop-Shop (OSS)?

Der One-Stop-Shop ist ein Verfahrensrahmen, der es Organisationen mit einer echten „Hauptniederlassung“ in der EU ermöglicht, sich bei grenzüberschreitender Datenverarbeitung in erster Linie mit einer Datenschutzbehörde – der federführenden Aufsichtsbehörde (LSA) – auseinanderzusetzen. In der Praxis kann dies den Verwaltungsaufwand verringern, für vorhersehbarere Zeitabläufe sorgen und Untersuchungen effizienter gestalten.

  • Definition: Ein Mechanismus nach der DSGVO, der die Aufsicht über grenzüberschreitende Verarbeitung zentralisiert.
  • Federführende Aufsichtsbehörde: Die Datenschutzbehörde des Mitgliedstaates, in dem sich die Hauptniederlassung befindet.
  • Vorteil: Weniger parallele Verfahren und koordinierte behördliche Ergebnisse.

Wie identifiziert man seine „Hauptniederlassung“?

Der EDPB betont Substanz vor Form. Die Hauptniederlassung ist dort, wo strategische Entscheidungen über Zwecke und Mittel der Verarbeitung tatsächlich getroffen werden – und wo die Befugnis zur Umsetzung dieser Entscheidungen besteht.

  • Verantwortliche: Müssen nachweisen, dass Entscheidungen zu Zwecken und Mitteln in der EU getroffen werden.
  • Auftragsverarbeiter: Fokus auf den Ort der wichtigsten administrativen Funktionen in der EU.
  • Nachweise: Organisationsdiagramme, Protokolle von Ausschüssen, genehmigte Richtlinien und Umsetzungsnachweise mit Sitz in der EU.

Was der OSS nicht ist

Die Benennung eines EU-Vertreters nach Artikel 27 begründet keine „Niederlassung“ in der EU und qualifiziert ein Unternehmen nicht für den OSS. Selbst mit einer federführenden Aufsichtsbehörde können „betroffene Aufsichtsbehörden“ in der gesamten EU einbezogen werden und Einwände gegen Entwürfe erheben.

  • Artikel 27 ≠ OSS-Berechtigung
  • OSS ≠ Immunität gegenüber anderen Behörden
  • Niederlassung erfordert echte Entscheidungsfindung in der EU

Auswirkungen für ukrainische Unternehmen

Wenn Sie EU-Nutzer ansprechen oder deren Verhalten in der EU überwachen, aber keine echte Niederlassung in der EU haben, können Sie sich nicht auf den OSS verlassen. Sie müssen einen EU-Vertreter benennen und bereit sein, bei Bedarf mit mehreren Behörden zu kommunizieren.

  • Artikel-27-Vertreter: Obligatorische Angabe in Ihrer Datenschutzerklärung.
  • Bereitschaft für mehrere Behörden: Konsolidieren Sie Unterlagen und Antwortvorlagen.
  • Fristen: Stimmen Sie Ihre Incident-Response auf die 72-Stunden-Meldepflicht bei Datenschutzverletzungen (Art. 33 DSGVO) ab.

Praktische Compliance-Schritte

  • Governance-Mapping: Dokumentieren Sie, wo Datenschutzentscheidungen getroffen und umgesetzt werden.
  • Verzeichnis von Verarbeitungstätigkeiten (RoPA): Halten Sie eine konsolidierte, behördenbereite Version vor.
  • Datenübermittlungen in die Ukraine: Verwenden Sie Standardvertragsklauseln (SCC), führen Sie Transfer Impact Assessments (TIA) durch und wenden Sie ergänzende Maßnahmen an.
  • Öffentliche Angaben: Halten Sie Angaben zum Vertreter, zu Zwecken und Kontaktstellen klar und aktuell.

Fazit

Der OSS vereinfacht die Aufsicht für Unternehmen, die tatsächlich in der EU niedergelassen sind. Für Unternehmen außerhalb der EU bleiben die Benennung eines Vertreters nach Artikel 27 und die Zusammenarbeit mit mehreren Aufsichtsbehörden zentrale Säulen der DSGVO-Compliance.

Veröffentlicht am 7. November 2025

← Zurück zur Übersicht