EU-Vertreter DSGVO

Datenschutz Verstehen – EU-Vertreter gemäß Art. 27 DSGVO

Kurze Einleitung

Im Laufe des Jahres 2020 hat das Urteil des Europäischen Gerichtshofs (EuGH C-311/18) besonders gezeigt, wie wichtig die Einhaltung der Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO) für die Übermittlung von personenbezogenen Daten in Drittländer ist. Um ein Drittland handelt es sich, wenn das Land nicht Mitglied der Europäischen Union ist, wie z.B. die Schweiz oder die USA. Durch derartige Urteile hat der Datenschutz eine gewisse Entwicklung hinsichtlich der Thematik Drittland-Transfers erfahren. Damit Aufsichtsbehörden und Betroffene leichter Auskunft über Datenverarbeitungsvorgänge durch in Drittländern niedergelassene Unternehmen erhalten können, sieht die DSGVO die Bestellung eines EU-Vertreters vor. Ein EU-Vertreter soll zur Lösung des Spannungsfeldes der Verarbeitung personenbezogener Daten durch Unternehmen aus Drittländern beitragen.

 

Was ist ein EU-Vertreter nach DSGVO?

Bei einem EU-Vertreter handelt es sich um eine in der Europäischen Union (EU) niedergelassene natürliche oder juristische Person, die von einem Verantwortlichen oder Auftragsverarbeiter, ohne Niederlassung in der EU, bestellt wurde. Der EU-Vertreter vertritt den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach der DSGVO obliegenden Pflichten. 

Ein Verantwortlicher i.S.d. Art. 4 Abs. 7 DSGVO ist z.B. eine Organisation, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Ein Auftragsverarbeiter i.S.d. Art. 4 Abs. 8 DSGVO ist eine Organisation, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Welche Aufgaben erfüllt ein EU-Vertreter?

Der EU-Vertreter dient als Anlaufstelle für Aufsichtsbehörden und Betroffene im entsprechenden Mitgliedstaat für sämtliche Fragestellungen im Zusammenhang mit Datenverarbeitungen des Verantwortlichen oder des Auftragsverarbeiters (vgl. dazu Erwägungsgrund 80 S. 2 DSGVO). Und genau hierbei grenzt sich der EU-Vertreter von dem bestellten Datenschutzbeauftragten ab, denn das Aufgabenfeld eines Datenschutzbeauftragten ist wesentlich umfangreicher. Optimalerweise werden beide Positionen miteinander kombiniert durch die externe Bestellung.

Wie viele EU-Vertreter braucht ein Unternehmen?

Grundsätzlich wird nur ein EU-Vertreter für die Europäische Union benötigt, auch wenn das Unternehmen mehrere Niederlassungen in Dritt-Staaten hat.

Je nach Größe des Unternehmens und dem Umfang der Verarbeitungen kann es jedoch sinnvoll sein, mehr als einen EU-Vertreter zu beauftragen (z.B. pro EU-Land).

EU-Vertreter Art. 27 DSGVO
 

Welche Unternehmen benötigen in der EU einen Vertreter?

Jedes Unternehmen ohne Niederlassung in der EU, das Waren oder Dienstleistungen in einem Mitgliedstaat anbietet oder das Verhalten betroffener Personen beobachtet und in diesem Zusammenhang personenbezogene Daten verarbeitet, benötigt einen EU-Vertreter, vgl. Art. 27 Abs. 1 DSGVO. Das geht mit dem sogenannten “Marktortsprinzip” aus Art. 3 Abs. 2 DSGVO einher, wonach, unabhängig von einer vorhandenen Niederlassung im Europäischen Wirtschaftsraum, die DSGVO auch bei Datenverarbeitungen durch in Drittländern niedergelassene Unternehmen Anwendung findet. 

Unabhängig davon, ob ein EU-Vertreter bestellt wurde, benötigt ein Unternehmen einen Datenschutzbeauftragten, wenn die in der DSGVO genannten Bedingungen erfüllt sind.

 
Datenschutz eBook
Sie benötigen einen EU-Vertreter?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei und unverbindlich von Keyed ein Angebot für die Umsetzung im Datenschutz.

Ausnahmen zur Bestellpflicht eines EU-Vertreters

Die Bestellung eines EU-Vertreters ist nicht erforderlich, wenn eine Verarbeitung nur gelegentlich erfolgt und keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs.1 DSGVO stattfindet. 

Zudem besteht eine Ausnahme zur Bestellpflicht eines EU-Vertreters, wenn die gelegentliche und nicht umfangreiche Verarbeitung keine personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO enthält und unter Berücksichtigung der Art, der Umstände, des Umfang und der Zwecke der Verarbeitung voraussichtlich nicht die Rechte und Freiheiten natürlicher Personen gefährdet werden.

Darüber hinaus besteht für Behörden und öffentliche Stellen keine Pflicht zur Bestellung eines EU-Vertreters.

 

Wer darf nach der DSGVO als Vertreter bestellt werden?

Jede natürliche oder juristische Person darf nach der DSGVO Vertreter werden (Art. 4 Nr. 17 DSGVO). Da dieser als Anlaufstelle für Aufsichtsbehörden und Betroffene fungiert sollte gewährleistet werden, dass der Vertreter auch ein fundiertes und nachweisbares Fachwissen auf dem Gebiet des Datenschutzrechts, insbesondere der DSGVO, besitzt. Ansonsten kann der bestellte Vertreter seine Pflichten nicht ausreichend erfüllen. 

Wie muss die Bestellung zum EU-Vertreter gestaltet sein?

Die Bestellung zum EU-Vertreter durch den Verantwortlichen oder Auftragsverarbeiter muss gemäß Art. 27 Abs. 1 DSGVO schriftlich erfolgen. Darüber hinaus sind die Betroffenen gem. Art. 13 und 14 DSGVO über das Vorhandensein eines Vertreters zu informieren. Das bedeutet für Unternehmen, dass die Angabe des EU-Vertreters in jeder Datenschutzerklärung aktualisiert werden muss. Zudem muss der EU-Vertreter im Verzeichnis von Verarbeitungstätigkeiten gem. Art 30 DSGVO benannt sein.

 

Haftung des EU-Vertreters bei DSGVO-Verstößen

Durch die Benennung eines EU-Vertreters bleibt eine Haftung des Verantwortlichen oder Auftragsverarbeiters nach Art. 27 Abs. 5 unberührt. Dennoch soll der Vertreter bei Verstößen des Verantwortlichen oder Auftragsverarbeiters Durchsetzungsverfahren unterworfen werden (vgl. Erwägungsgrund 80 S.6 DSGVO). Daraus könnte sich deuten lassen, dass der Vertreter auch für Verstöße des Verantwortlichen und Auftragsverarbeiters haftbar gemacht werden könne. Jedoch wird der Begriff des Durchsetzungsverfahrens in der DSGVO nicht weiter erläutert und dadurch, dass diese Regelung lediglich in den Erwägungsgründen zu finden ist und die Erwägungsgründe Sekundärrecht darstellen, bildet dieser Erwägungsgrund keine mögliche Rechtsgrundlage für Bußgelder. 

Im Außenverhältnis agiert er als Vertreter des Verantwortlichen oder Auftragsverarbeiters, wodurch dieser sich das Verhalten seines Vertreters zurechnen lassen muss und der Vertreter nicht haftbar gemacht werden kann. Ein Schadensersatzanspruch eines Betroffenen gegen den Vertreter aus Art. 82 Abs. 1 DSGVO kommt ebenfalls nicht in Betracht, da gem. Art. 82 DSGVO lediglich eine Haftung des Verantwortlichen oder Auftragsverarbeiters vorgesehen ist. Darüber hinaus ist eine analoge Anwendung des Art. 83 Abs. 4 lit. a) DSGVO für eine Haftung des EU-Vertreters ebenfalls abzulehnen, weil dies einen Verstoß gegen das im Bestimmtheitsgebot nach Art. 49 der Grundrechte-Charta (GrCh) niedergelegte Verbot der strafbegründenden oder straferweiternden Analogie verstoßen würde.

 

Unterschied zwischen dem Datenschutzbeauftragten und einem EU-Vertreter

Die Funktion des EU-Vertreters besteht im Wesentlichen darin, als externe Anlaufstelle für Aufsichtsbehörden und Betroffene zur Verfügung zu stehen. 

Das Aufgabenfeld eines (externen) Datenschutzbeauftragten ist dabei wesentlich weiter gefasst. Im Gegensatz zum EU-Vertreter ist der Datenschutzbeauftragte nicht nur extern, sondern auch intern Ansprechpartner für alle Belange des Datenschutzes (Für Mitarbeiter, Geschäftsführer, Kunden etc.). Dabei beschränkt sich diese Zuständigkeit nicht auf den jeweiligen Mitgliedstaat, in dem die personenbezogenen Daten verarbeitet werden. Der Datenschutzbeauftragte ist somit ein Ansprechpartner für sämtliche Fragen zu Datenverarbeitungen des Unternehmens, unabhängig vom tatsächlichen Ort der Verarbeitung.

Des Weiteren übernimmt der Datenschutzbeauftragte nach Art. 39 DSGVO unter anderem die folgenden Aufgaben:

Unterrichtung und Beratung der Auftragsverarbeiter, Beschäftigten und Verantwortlichen
Überwachung der Einhaltung der Vorschriften der Datenschutz-Grundverordnung
Auf Anfrage die Durchführung einer Datenschutz-Folgenabschätzung i.S.d. Art. 35 DSGVO

Dagegen nimmt der EU-Vertreter im Vergleich zum Datenschutzbeauftragten eine geringere Anzahl von Aufgaben wahr:

Vertretung des Verantwortlichen oder Auftragsverarbeiters in Bezug auf die ihnen jeweils nach der DSGVO obliegenden Pflichten
Dient als Anlaufstelle für Aufsichtsbehörden und Betroffene

Die Benennung eines EU-Vertreters ist folglich äußerst wichtig und erforderlich für Unternehmen, die in einem Drittland, wie z.B. die Schweiz, niedergelassen sind. Bei einem fehlenden EU-Vertreter drohen gem. Art. 83 Abs. 4 lit. a) DSGVO hohe Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist. Die Experten der Keyed GmbH stehen Ihnen als Ansprechpartner für die Übernahme der Aufgaben eines EU-Vertreters i.S.v. Art. 27 DSGVO zur Verfügung. Wir freuen uns auf Ihre Kontaktaufnahme.

Menü