Datenschutz-Vertreter nach Art 27 DSGVO

Jeder außerhalb der Europäischen Union
niedergelassene Verantwortliche oder Auftragsverarbeiter, auf den die DSGVO nach Art. 3 Abs. 2 DSGVO Anwendung findet, ist nach Art. 27 der DSGVO verpflichtet, einen Vertreter in der Europäischen Union zu bestellen, wenn sie personenbezogene Daten von in der EU ansässigen Personen verarbeiten.

EU-Vertreter bzw. Vertreter in der Union

Unternehmen, die außerhalb der EU ihre Niederlassung haben aber in der EU tätig sind, müssen gemäß Art. 27 Abs. 1 DSGVO schriftlich einen EU-Datenschutz-Vertreter benennen. Der EU-Datenschutz-Vertreter muss gemäß Art. 27 Abs. 3 DSGVO in einem EU-Mitgliedsstaat niedergelassen sein. EU-Datenschutz-Vertreter kann sowohl eine natürliche als auch eine juristische Person sein.

Aufgaben des Vertreters

Der EU-Vertreter hat die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der EU-DSGVO obliegenden Pflichten zu vertreten.

Der EU-Datenschutz-Vertreter dient gemäß Art. 27 Abs. 4 DSGVO insbesondere Aufsichtsbehörden oder Betroffenen bei sämtlichen Anfragen im Zusammenhang mit der DSGVO als Ansprechpartner, entweder zusätzlich oder anstelle des Verantwortlichen. Er stellt damit das Bindeglied zwischen diesen und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar. Die Benennung eines Vertreters für die Union schließt es gemäß Art. 27 Abs. 5 EU-DSGVO aber nicht aus, dass erforderliche rechtliche Schritte unmittelbar gegen den Verantwortlichen oder Auftragsverarbeiter gerichtet werden. Das Vorhandensein eines EU-Vertreters berührt die Verantwortung und Haftung der datenverarbeitenden Stelle nicht. Betroffene und Aufsichtsbehörden haben bei Datenschutzverletzungen somit die Wahl, ob sie sich an den EU-Vertreter oder den Verantwortlichen oder Auftragsverarbeiter selbst wenden.

Ausnahmen der Bestellungspflicht

Art. 27 Abs. 2 lit. b DS-GVO sieht Ausnahmen von der Verpflichtung zur Bestellung eines Vertreters vor, wenn die Datenverarbeitung:

nur „gelegentlich“ erfolgt und
nicht in größerem Umfang sensitive Daten gemäß Art. 9 Abs. 1 DS-GVO und Art. 10 DS-GVO umfasst und
Risiken für die Rechte und Pflichten einzelner Bürger unwahrscheinlich erscheinen unter Berücksichtigung der Art, der Umstände, des Umfangs und des Zwecks der Datenverarbeitung.

Haftung

Setzt der Vertreter sich über das Mandat des Auftraggebers hinweg, macht er sich im Innenverhältnis haftbar; der Auftraggeber muss sich das Handeln seines Vertreters allerdings zurechnen lassen. Im Außenverhältnis ist der Vertreter nur dann Adressat aufsichtsbehördlicher Bußgelder, wenn er selbst gegen das Datenschutzrecht verstößt ansonsten fungiert er lediglich als Vertreter des Verantwortlichen ohne eigene Haftung. Dies gilt auch für zivilrechtliche Schadensersatzansprüche von Betroffenen.