EU – Datenschutzvertreter nach Art 27 DSGVO

Unter den Voraussetzungen von Art. 3 Abs.2 und 3 DSGVO können auch datenschutzrechtlich Verantwortliche und Auftragsverarbeiter ohne Niederlassung in der Europäischen Union (EU) bzw. im Europäischen Wirtschaftsraums (EWR) an die Bestimmungen der Datenschutzgrundverordnung (DSGVO) gebunden sein. In diesen Fällen haben der Verantwortliche oder der Auftragsverarbeiter gem. Art. 27 Abs.1 DSGVO grundsätzlich einen Vertreter in der EU zu benennen, wenn sie personenbezogene Daten von der in der EU/dem EWR ansässigen betroffenen Personen verarbeiten.

Anwendbarkeit der DSGVO

Die Anwendbarkeit der DSGVO hängt nicht nur davon ab, ob der Verantwortliche oder Auftragsverarbeiter innerhalb der EU/dem EWR niedergelassen ist. Auch außerhalb der EU/des EWR niedergelassene Verantwortliche und Auftragsverarbeiter sind an die Bestimmungen der Datenschutzgrundverordnung (DSGVO) gebunden, wenn sie:

  • Waren oder Dienstleistungen den betroffenen Personen innerhalb der EU anbieten (Art. 3 Abs.2 lit.a DSGVO),
  • das Verhalten der betroffenen Personen innerhalb der EU beobachten (Art. 3 Abs.2 lit.b DSGVO) oder
  • auf Grund des Völkerrechts das Recht eines Mitgliedstaates anwendbar ist (Art. 3 Abs.3 DSGVO).

Was ist ein EU-Vertreter nach Art. 27 DSGVO?

Der EU-Vertreter nach Art. 27 DSGVO ist gemäß der Definition in Art. 4 Nr.17 DSGVO „eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Art. 27 DSGVO benannt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt“.

Wer muss einen EU-Vertreter nach Art. 27 DSGVO benennen?

Gemäß Art.27 Abs.1 DSGVO besteht eine Pflicht zur Benennung eines EU-Vertreters für alle Verantwortlichen oder Auftragsverarbeiter, die Art. 3 Abs.2 DSGVO unterfallen, d.h., es befindet sich keine Niederlassung innerhalb der EU/des EWR, jedoch

  • werden personenbezogene Daten innerhalb der EU/des EWR verarbeitet,
  • werden entgeltliche oder unentgeltliche Waren und/oder Dienstleistungen in der EU/dem EWR angeboten (Art. 3 Abs.2 lit.a DSGVO) oder
  • wird das Verhalten betroffener Personen innerhalb der EU/des EWR beobachtet (Art. 3 Abs.2 lit.b DSGVO; insbesondere Tracking oder Profiling).

Welchen Zweck soll die Verpflichtung zur Benennung eines EU-Vertreters nach Art. 27 DSGVO erfüllen?

Die Benennung eines EU-Vertreters nach Art. 27 DSGVO dient dem Ziel, sowohl den betroffenen Personen als auch den nationalen und europäischen Aufsichtsbehörden eine Anlaufstelle in der EU/dem EWR zu bieten. Durch Art. 3 Abs.2 DSGVO wird der räumliche Anwendungsbereich für bestimmte Fälle auf Drittländer erweitert, in denen die Aufsichtsbehörden der Mitgliedstaaten keine Hoheitsgewalt besitzen und insofern die Gefahr bestünde, dass die Pflichten der dort ansässigen Verantwortlichen und Auftragsverarbeiter ins Leere laufen. Damit trägt der EU-Vertreter nach Art. 27 DSGVO maßgeblich dazu bei, EU-Recht effektiv durchzusetzen und die Betroffenenrechte aus Art. 12 ff. DSGVO zu gewährleisten.

Wie erfolgt die Benennung des EU-Vertreters?

Die Benennung eines EU-Vertreters durch den Verantwortlichen oder Auftragsverarbeiter erfolgt gemäß Art. 27 Abs.1 DSGVO schriftlich. Dabei ist maßgeblich, dass genaue Angaben zur (juristischen oder natürlichen) Person des EU-Vertreters, seine Anschrift und die Funktion als EU-Vertreter schriftlich festgehalten werden. Erwägungsgrund 80 S.3 DSGVO sieht zusätzlich eine schriftliche Beauftragung des Vertreters vor. Aufgrund der gebotenen unionsrechtlichen Auslegung der DSGVO als europäischer Rechtsvorschrift ergibt sich, dass das Merkmal „schriftlich“ nicht die strenge deutsche Vorgabe der eigenhändigen Unterschrift (§ 126 BGB) erfüllen muss, sondern Textform gemäß § 126b BGB ausreicht.
Dass ein EU-Vertreter nach Art. 27 DSGVO benannt wurde, muss für die betroffenen Personen aus den Informationspflichten nach Art. 13, 14 DSGVO ersichtlich sein. Dazu werden neben den Kontaktdaten des Verantwortlichen auch die Kontaktdaten des EU-Vertreters angegeben.

Welche Aufgaben übernimmt der EU-Vertreter nach Art. 27 DSGVO?

Der EU-Vertreter nach Art. 27 DSGVO hat die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der DSGVO obliegenden Pflichten zu vertreten und bei der Erfüllung der Pflichten der DSGVO zu unterstützen.
In diesem Zusammenhang dient der EU-Vertreter gemäß Art. 27 Abs.4 DSGVO insbesondere Aufsichtsbehörden oder betroffenen Personen als Ansprechpartner für sämtliche Anfragen im Zusammenhang mit der DSGVO, entweder zusätzlich oder anstelle des Verantwortlichen. In den Aufgabenbereich des EU-Vertreters fallen beispielsweise die Entgegennahme und Weiterleitung von Anfragen einer betroffenen Person (z.B. zur Geltendmachung des Rechts auf Auskunft oder Löschung) und die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten auf Anfrage einer Aufsichtsbehörde. Der EU-Vertreter stellt damit das Bindeglied zwischen den europäischen und nationalen Aufsichtsbehörden und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar. Darüber hinaus können Beschäftigte des außereuropäischen Unternehmens den EU-Vertreter als Anlaufstelle für Fragen zum europäischen Datenschutzrecht nutzen.

Gibt es Ausnahmen zur Benennungspflicht?

Ausnahmen von der Verpflichtung zur Bestellung eines EU-Vertreters sieht die DSGVO in Art. 27 Abs.2 lit.a vor, wenn die Verarbeitung personenbezogener Daten:

  • nur gelegentlich erfolgt und
  • nicht in größerem Umfang besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs.1 DSGVO oder Art. 10 DSGVO umfasst und
  • unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Auch Behörden und öffentliche Stellen müssen gemäß Art. 27 Abs.2 lit.b DSGVO keinen EU-Vertreter benennen. Sofern keine Ausnahmeregelung zutrifft, ist ein EU-Vertreter nach Art. 27 DSGVO zwingend erforderlich. Aufgrund der unpräzisen Vorgaben in Art. 27 Abs.2 lit.a DSGVO ist es für das Unternehmen regelmäßig nur schwer voraussehbar, ob der Ausnahmetatbestand zugunsten des Unternehmens eingreift. Daher ist – insbesondere im Hinblick auf die schwerwiegenden Konsequenzen im Fall einer unterbliebenen Benennung – zu empfehlen, dass Unternehmen sich nicht auf die Ausnahme des Art. 27 Abs.2 lit.a DSGVO berufen, sondern einen EU-Vertreter nach Art. 27 DSGVO benennen. Dies schafft sowohl Rechtssicherheit als auch wirtschaftliche Planungssicherheit durch eine effiziente Bearbeitung von Anfragen zur DSGVO und kalkulierbare Kosten.

Haftet der EU-Vertreter für Datenschutzverstöße des datenverarbeitenden Unternehmens?

Die Benennung eines EU-Vertreters schließt gemäß Art. 27 Abs.5 DSGVO nicht aus, dass erforderliche rechtliche Schritte unmittelbar gegen den Verantwortlichen oder den Auftragsverarbeiter gerichtet werden. Das Vorhandensein eines EU-Vertreters berührt die Verantwortung und Haftung der datenverarbeitenden Stelle nicht. Betroffene Personen und Aufsichtsbehörden haben bei Datenschutzverletzungen somit die Wahl, ob sie sich an den EU-Vertreter oder den Verantwortlichen oder Auftragsverarbeiter selbst wenden.
Setzt sich der EU-Vertreter nach Art. 27 DSGVO jedoch über das Mandat des beauftragenden außereuropäischen Unternehmens hinweg, macht er sich im Innenverhältnis haftbar. Der Auftraggeber muss sich das Handeln seines Vertreters im Außenverhältnis allerdings zurechnen lassen. Dies gilt auch für zivilrechtliche Schadensersatzansprüche von betroffenen Personen. Der EU-Vertreter nach Art. 27 DSGVO selbst ist nur dann Adressat aufsichtsbehördlicher Bußgelder, wenn er selbst gegen das Datenschutzrecht verstößt.

Welche Konsequenzen drohen, wenn ein erforderlicher EU-Vertreter nach Art. 27 DSGVO nicht benannt wird?

Verstößt der Verantwortliche gegen die Verpflichtung zur Ernennung eines EU-Vertreters nach Art. 27 DSGVO kann die zuständige Aufsichtsbehörde eine Benennung anordnen. Zusätzlich kann die Aufsichtsbehörde gemäß Art. 83 Abs.4 lit.a DSGVO ein Bußgeld in Höhe von 10 Mio. Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahr verhängen, je nachdem, welcher Betrag höher ist.

Zielgruppe

  • Unternehmen, die als Verantwortlicher oder Auftragsverarbeiter zur Benennung eines EU-Vertreters nach Art. 27 DSGVO verpflichtet sind.

Wie helfen wir Ihnen weiter?

Wir übernehmen für Ihr Unternehmen die Funktion als EU-Vertreter nach Art. 27 DSGVO.

Ihre Vorteile durch eine anwaltliche Beratung im Datenschutz

  • Erfüllung der Pflichten der DSGVO
  • Effiziente Bearbeitung von Anfragen zum Datenschutz
  • Erfahrung in der Kommunikation mit den Aufsichtsbehörden
  • Anlaufstelle für Fragen zum europäischen Datenschutzrecht für die eigenen Beschäftigten
  • Schonung der eigenen Ressourcen
  • Unternehmerische Planungs- und Kostensicherheit
  • Rechtssicherheit
Im Rahmen unserer Leistungen vertreten wir Sie in der Schweiz und Union als EU Datenschutzvertreter.