Datenschutz Verstehen – EU-Vertreter gemäß Art. 27 DSGVO
Kurze Einleitung
Im Laufe des Jahres 2020 hat das Urteil des Europäischen Gerichtshofs (EuGH C-311/18) besonders gezeigt, wie wichtig die Einhaltung der Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO) für die Übermittlung von personenbezogenen Daten in Drittländer ist. Um ein Drittland handelt es sich, wenn das Land nicht Mitglied der Europäischen Union ist, wie z.B. die Schweiz oder die USA. Durch derartige Urteile hat der Datenschutz eine gewisse Entwicklung hinsichtlich der Thematik Drittland-Transfers erfahren. Damit Aufsichtsbehörden und Betroffene leichter Auskunft über Datenverarbeitungsvorgänge durch in Drittländern niedergelassene Unternehmen erhalten können, sieht die DSGVO die Bestellung eines EU-Vertreters vor. Ein EU-Vertreter soll zur Lösung des Spannungsfeldes der Verarbeitung personenbezogener Daten durch Unternehmen aus Drittländern beitragen.
Was ist ein EU-Vertreter nach DSGVO?
Bei einem EU-Vertreter handelt es sich um eine in der Europäischen Union (EU) niedergelassene natürliche oder juristische Person, die von einem Verantwortlichen oder Auftragsverarbeiter, ohne Niederlassung in der EU, bestellt wurde. Der EU-Vertreter vertritt den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach der DSGVO obliegenden Pflichten.
Ein Verantwortlicher i.S.d. Art. 4 Abs. 7 DSGVO ist z.B. eine Organisation, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Ein Auftragsverarbeiter i.S.d. Art. 4 Abs. 8 DSGVO ist eine Organisation, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Welche Aufgaben erfüllt ein EU-Vertreter?
Der EU-Vertreter dient als Anlaufstelle für Aufsichtsbehörden und Betroffene im entsprechenden Mitgliedstaat für sämtliche Fragestellungen im Zusammenhang mit Datenverarbeitungen des Verantwortlichen oder des Auftragsverarbeiters (vgl. dazu Erwägungsgrund 80 S. 2 DSGVO). Und genau hierbei grenzt sich der EU-Vertreter von dem bestellten Datenschutzbeauftragten ab, denn das Aufgabenfeld eines Datenschutzbeauftragten ist wesentlich umfangreicher. Optimalerweise werden beide Positionen miteinander kombiniert durch die externe Bestellung.
Wie viele EU-Vertreter braucht ein Unternehmen?
Grundsätzlich wird nur ein EU-Vertreter für die Europäische Union benötigt, auch wenn das Unternehmen mehrere Niederlassungen in Dritt-Staaten hat.
Je nach Größe des Unternehmens und dem Umfang der Verarbeitungen kann es jedoch sinnvoll sein, mehr als einen EU-Vertreter zu beauftragen (z.B. pro EU-Land).
Welche Unternehmen benötigen in der EU einen Vertreter?
Jedes Unternehmen ohne Niederlassung in der EU, das Waren oder Dienstleistungen in einem Mitgliedstaat anbietet oder das Verhalten betroffener Personen beobachtet und in diesem Zusammenhang personenbezogene Daten verarbeitet, benötigt einen EU-Vertreter, vgl. Art. 27 Abs. 1 DSGVO. Das geht mit dem sogenannten “Marktortsprinzip” aus Art. 3 Abs. 2 DSGVO einher, wonach, unabhängig von einer vorhandenen Niederlassung im Europäischen Wirtschaftsraum, die DSGVO auch bei Datenverarbeitungen durch in Drittländern niedergelassene Unternehmen Anwendung findet.
Unabhängig davon, ob ein EU-Vertreter bestellt wurde, benötigt ein Unternehmen einen Datenschutzbeauftragten, wenn die in der DSGVO genannten Bedingungen erfüllt sind.
Ausnahmen zur Bestellpflicht eines EU-Vertreters
Die Bestellung eines EU-Vertreters ist nicht erforderlich, wenn eine Verarbeitung nur gelegentlich erfolgt und keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs.1 DSGVO stattfindet.
Zudem besteht eine Ausnahme zur Bestellpflicht eines EU-Vertreters, wenn die gelegentliche und nicht umfangreiche Verarbeitung keine personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO enthält und unter Berücksichtigung der Art, der Umstände, des Umfang und der Zwecke der Verarbeitung voraussichtlich nicht die Rechte und Freiheiten natürlicher Personen gefährdet werden.
Darüber hinaus besteht für Behörden und öffentliche Stellen keine Pflicht zur Bestellung eines EU-Vertreters.
Wer darf nach der DSGVO als Vertreter bestellt werden?
Jede natürliche oder juristische Person darf nach der DSGVO Vertreter werden (Art. 4 Nr. 17 DSGVO). Da dieser als Anlaufstelle für Aufsichtsbehörden und Betroffene fungiert sollte gewährleistet werden, dass der Vertreter auch ein fundiertes und nachweisbares Fachwissen auf dem Gebiet des Datenschutzrechts, insbesondere der DSGVO, besitzt. Ansonsten kann der bestellte Vertreter seine Pflichten nicht ausreichend erfüllen.
Wie muss die Bestellung zum EU-Vertreter gestaltet sein?
Die Bestellung zum EU-Vertreter durch den Verantwortlichen oder Auftragsverarbeiter muss gemäß Art. 27 Abs. 1 DSGVO schriftlich erfolgen. Darüber hinaus sind die Betroffenen gem. Art. 13 und 14 DSGVO über das Vorhandensein eines Vertreters zu informieren. Das bedeutet für Unternehmen, dass die Angabe des EU-Vertreters in jeder Datenschutzerklärung aktualisiert werden muss. Zudem muss der EU-Vertreter im Verzeichnis von Verarbeitungstätigkeiten gem. Art 30 DSGVO benannt sein.
Haftung des EU-Vertreters bei DSGVO-Verstößen
Durch die Benennung eines EU-Vertreters bleibt eine Haftung des Verantwortlichen oder Auftragsverarbeiters nach Art. 27 Abs. 5 unberührt. Dennoch soll der Vertreter bei Verstößen des Verantwortlichen oder Auftragsverarbeiters Durchsetzungsverfahren unterworfen werden (vgl. Erwägungsgrund 80 S.6 DSGVO). Daraus könnte sich deuten lassen, dass der Vertreter auch für Verstöße des Verantwortlichen und Auftragsverarbeiters haftbar gemacht werden könne. Jedoch wird der Begriff des Durchsetzungsverfahrens in der DSGVO nicht weiter erläutert und dadurch, dass diese Regelung lediglich in den Erwägungsgründen zu finden ist und die Erwägungsgründe Sekundärrecht darstellen, bildet dieser Erwägungsgrund keine mögliche Rechtsgrundlage für Bußgelder.
Im Außenverhältnis agiert er als Vertreter des Verantwortlichen oder Auftragsverarbeiters, wodurch dieser sich das Verhalten seines Vertreters zurechnen lassen muss und der Vertreter nicht haftbar gemacht werden kann. Ein Schadensersatzanspruch eines Betroffenen gegen den Vertreter aus Art. 82 Abs. 1 DSGVO kommt ebenfalls nicht in Betracht, da gem. Art. 82 DSGVO lediglich eine Haftung des Verantwortlichen oder Auftragsverarbeiters vorgesehen ist. Darüber hinaus ist eine analoge Anwendung des Art. 83 Abs. 4 lit. a) DSGVO für eine Haftung des EU-Vertreters ebenfalls abzulehnen, weil dies einen Verstoß gegen das im Bestimmtheitsgebot nach Art. 49 der Grundrechte-Charta (GrCh) niedergelegte Verbot der strafbegründenden oder straferweiternden Analogie verstoßen würde.
Unterschied zwischen dem Datenschutzbeauftragten und einem EU-Vertreter
Die Funktion des EU-Vertreters besteht im Wesentlichen darin, als externe Anlaufstelle für Aufsichtsbehörden und Betroffene zur Verfügung zu stehen.
Das Aufgabenfeld eines (externen) Datenschutzbeauftragten ist dabei wesentlich weiter gefasst. Im Gegensatz zum EU-Vertreter ist der Datenschutzbeauftragte nicht nur extern, sondern auch intern Ansprechpartner für alle Belange des Datenschutzes (Für Mitarbeiter, Geschäftsführer, Kunden etc.). Dabei beschränkt sich diese Zuständigkeit nicht auf den jeweiligen Mitgliedstaat, in dem die personenbezogenen Daten verarbeitet werden. Der Datenschutzbeauftragte ist somit ein Ansprechpartner für sämtliche Fragen zu Datenverarbeitungen des Unternehmens, unabhängig vom tatsächlichen Ort der Verarbeitung.
Des Weiteren übernimmt der Datenschutzbeauftragte nach Art. 39 DSGVO unter anderem die folgenden Aufgaben:
Dagegen nimmt der EU-Vertreter im Vergleich zum Datenschutzbeauftragten eine geringere Anzahl von Aufgaben wahr:
Die Benennung eines EU-Vertreters ist folglich äußerst wichtig und erforderlich für Unternehmen, die in einem Drittland, wie z.B. die Schweiz, niedergelassen sind. Bei einem fehlenden EU-Vertreter drohen gem. Art. 83 Abs. 4 lit. a) DSGVO hohe Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist. Die Experten der Keyed GmbH stehen Ihnen als Ansprechpartner für die Übernahme der Aufgaben eines EU-Vertreters i.S.v. Art. 27 DSGVO zur Verfügung. Wir freuen uns auf Ihre Kontaktaufnahme.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.