Vertreter von nicht in der Union niedergelassenen Verantwortliche oder Auftragsverarbeitern. Es ist ein Unterschied zwischen einer „Kontaktstelle“ und einem EU-Vertreter im Sinne der DS-GVO.
Der räumliche Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) erstreckt sich gem. Art. 3 Abs. 2 DS-GVO auch auf Verantwortliche und Auftragsverarbeiter, die nicht in der Europäischen Union (EU) niedergelassen sind. Verantwortliche und Auftragsverarbeiter, die nicht in der EU niedergelassen sind, müssen gemäß Art. 27 DS-GVO in bestimmten Fällen einen Vertreter benennen.
Die Pflicht zur Benennung eines Vertreters soll die praktische Anwendbarkeit der Datenschutz-Grundverordnung bei Verarbeitungen außerhalb der Union verbessern.
Voraussetzungen und Ausnahmen für die EU-Vertreter-Pflicht
Verarbeitung personenbezogener Daten von Personen, die sich innerhalb der EU befinden, mit dem Zweck,
- diesen Waren oder Dienstleistungen anzubieten oder
- deren Verhalten zu beobachten.
Ausnahmen (zwei Ausnahmetatbestände Art. 27 Abs. 2 DS-GVO) bestehen, wenn die Datenverarbeitung
- lediglich gelegentlich erfolgt,
- keine umfangreiche Verarbeitung «sensibler» Datenkategorien (Art. 9 DS-GVO besondere Kategorien von personenbezogenen Daten und Art. 10 DS-GVO) umfasst und
- die Datenverarbeitung unter Berücksichtigung der Art, der Umstände, des Umfangs und der Verarbeitungszwecke voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Diese drei o.g. Voraussetzungen müssen kumulativ vorliegen, damit der Ausnahmetatbestand zum Tragen kommt.[1]
Bei der Prüfung, ob die Voraussetzungen des Ausnahmetatbestands gem. Art. 27 Abs. 2 lit. a DS-GVO vorliegen, kommt es nicht auf bestimmte einzelne Verarbeitungsvorgänge an. Vielmehr sind sämtliche Verarbeitungsvorgänge zu berücksichtigen, auf die die DS-GVO nach Art. 3 Abs. 2 DS-GVO anzuwenden ist.[2]
Wer kann als EU-Vertreter benannt werden?
Ein „Vertreter“ ist eine in der Union niedergelassene natürliche oder juristische Person, die vom Verantwortlichen oder Auftragsverarbeiter benannt wird (Art. 4 Abs. 17 DS-GVO). Demzufolge kann jede in der Union niedergelassene natürliche oder juristische Person Vertreter i.S.d. Art. 27 Abs. 1 DS-GVO sein.
Voraussetzungen für eine Benennung
Anforderungen an eine datenschutzrechtliche Qualifikation oder fachliche Voraussetzungen, die ein Vertreter erfüllen muss, regelt die DS-GVO nicht. Allerdings weisen Datenschutz-Aufsichtsbehörden (und die Fachliteratur) darauf hin, dass der Vertreter hinreichend vertrauenswürdig und nach seinen Fähigkeiten und der organisatorischen Ausstattung in der Lage sein muss, seine Pflichten wahrzunehmen.[3]
Die Benennung hat gemäß Art. 3 Abs. 2 DS-GVO schriftlich zu erfolgen. Die Schriftlichkeit bezieht sich ausdrücklich auf die Benennung. Ungeachtet dessen, dass der Verantwortliche oder der Auftragsverarbeiter den Vertreter ausdrücklich schriftlich beauftragen sollte (ErwGr. 80).
Aufgaben des EU-Vertreters
Vorneweg: Die datenschutzrechtlichen Pflichten, die dem Verantwortlichen oder Auftragsverarbeiter, obliegen, können nicht durch Benennung eines Vertreters allein auf diesen übertragen werden (vgl. Art. 27 Abs. 5 DS-GVO). Der Verantwortliche oder Auftragsverarbeiter ist und bleibt gesetzlich i.S.d. DS-GVO verpflichtet und für die Umsetzung der datenschutzrechtlichen Anforderungen und deren Einhaltung verantwortlich.
Die Hauptaufgabe des Vertreters ist die Unterstützung seines Auftraggebers, damit dieser seinen Pflichten nachkommen kann und er vertritt ihn bei deren Erfüllungen.
Der Vertreter hat aber auch gesetzliche Pflichten nach der DS-GVO, diese sind:
- Führen eines Verzeichnisses aller Verarbeitungstätigkeiten, welches ggf. auf Anfrage der Aufsichtsbehörde dieser zur Verfügung zu stellen ist (Art. 30 Abs. 4 DS-GVO).
- Anlaufstelle für sämtliche Fragen im Zusammenhangt mit der Verarbeitung für insbesondere betroffene Personen und Aufsichtsbehörden, um die Einhaltung der DS-GVO zu gewährleisten.
- Der Vertreter muss auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung der Aufgaben des Verantwortlichen oder Auftragsverarbeiter zusammenarbeiten (Art. 31 DS-GVO).
Die Benennung gemäß Art. 27 DS-GVO bringt den Vertreter nicht in die rechtliche Stellung eines Vertreters, die dem deutschen Zivilrecht entspricht (vgl. § 164 Abs. 1 BGB).
Außerdem ist der EU-Vertreter weisungsgebunden. Es fehlt ihm also an einem Entscheidungsspielraum, in dem er Willenserklärungen für den Verantwortlichen oder Auftragsverarbeiter abgeben kann.
Mehr als nur eine Kontaktstelle
Es handelt sich folglich mithin nicht lediglich um eine Kontaktstelle für die Datenschutz-Aufsichtsbehörden oder betroffene Personen, die als eine Art „Briefkasten“ fungiert.
Verstöße gegen Art. 27 DS-GVO können gemäß Art. 83 Art. 4 lit. a DS-GVO mit Bußgeld von bis zu 10 Mio. EUR oder von bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des Vorjahres sanktioniert werden.
Wir übernehmen für Ihr Unternehmen die Funktion als EU-Vertreter nach Art. 27 DS-GVO als Verantwortlicher oder Auftragsverarbeiter in Drittländer.
Rufen uns an +49 173 8198864 oder senden Sie uns eine Nachricht an consulting@adorgasolutions.de
Weitere Informationen zu unserem Angebot: https://www.adorgasolutions.de/leistungen/datenschutz/eu-vertreter-nach-art-27-dsgvo/
[1] EDSA, Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3), Version 2.0 vom 12.11.2019 https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_consultation_de.pdf (zuletzt aufgerufen am 26.05.2023).
[2] Lang, M. (2022), Art. 27 DSGVO, In: Taeger, J., Gabel, D. (Hrsg.), DSGVO – BDSG – TTDSG, 4. Auflage, dfv Mediengruppe.
[3] Lang, M. (2022), Art. 27 DSGVO, Rn. 38, In: Taeger, J., Gabel, D. (Hrsg.), DSGVO – BDSG – TTDSG, 4. Auflage, dfv Mediengruppe.