EU-Vertreter nach DSGVO

Wir sind Ihr fachkundiger Ansprechpartner und Unions-Vertreter gemäß Artikel 27 DSGVO

Mitglied in der Allianz für Cyber-Sicherheit
Mitglied im Bundesverband Deutsche Startups e. V.
Mitglied im Kompetenznetz Mittelstand

Warum ein EU-Vertreter? (Marktortprinzip)

Die DSGVO gilt gemäß Art. 3 der DSGVO nicht nur für Unternehmen, die eine Niederlassung in der Union besitzen. Das europäische Datenschutzrecht ist nach der Vorschrift bereits dann einzuhalten, wenn sich das unternehmerische Angebot auf einen nationalen Markt in der EU richtet oder die Datenverarbeitung der Beobachtung des Verhaltens von Personen dient, die sich in der EU „befinden“.

GDPR Compliance in der Europäischen Union
Ansprechpartner für Unternehmens, Betroffene und Behörden

Verantwortliche und Auftragsverarbeiter

Unternehmen ohne eigene Niederlassung in der EU sind nach Art. 27 DSGVO somit verpflichtet, einen EU-Vertreter zu benennen, wenn sie Waren oder Dienstleistungen auf einem europäischen Markt anbieten oder Tracking- und Profiling-Maßnahmen durchführen. Die Hürden zur Benennung eines EU-Vertreters liegen somit nicht hoch und die Anwendung der DSGVO, und damit auch der empfindlichen Sanktionen, entfalten ihre Wirkung auch gegenüber Unternehmen, die ausschließlich einen Unternehmenssitz außerhalb der EU aufweisen.

Wie erfolgt die Benennung?

Die Benennung hat gemäß Art. 27 Abs. 1 schriftlich zu erfolgen. Gemäß Art. 4 Nr. 17 kann es sich bei dem Vertreter grundsätzlich um eine natürliche oder juristische Person mit einer Niederlassung in einem EU-Mitgliedsstaat handeln, auf den die Tätigkeit ausgerichtet ist. Kommen mehrere Mitgliedsstaaten in Betracht, besteht ein Wahlrecht. Ob es sich bei den in der Union befindlichen Personen um EU-Bürger handelt ist hierbei nicht relevant.

Benennungsurkunde für den EU-Vertreter nach DSGVO
Ausnahmen von der Benennungspflicht eines EU-Vertreters
Ausnahmen von der Pflicht

Nach Abs. 27 Abs. 2 ist nicht jedes Unternehmen außerhalb der Union verpflichtet, einen Unions-Vertreter zu benennen. Die Anwendung einer Ausnahme besteht nach der Vorschrift, wenn

  • die Verarbeitung nur "gelegentlich" und nicht regelmäßig erfolgt,
  • sensible Daten i. S. d. Art. 9 Abs. 1 oder Daten über strafrechtliche Verurteilungen i. S. d. Art. 10 nicht in größerem Umfang verarbeitet werden,
  • die Verarbeitung nach Art, Umfang und Zweck voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten Betroffener führt,
  • es sich um eine Behörde oder öffentliche Stelle handelt.

In allen anderen Fällen ist die Benennung eines EU-Vertreters obligatorisch, so dass eine Prüfung für den Einzelfall anzuraten ist. Für die Praxis besonders relevant ist die Vorschrift für Anbieter in den Bereichen Marketing & Analytics, die über umfangreiche Datensammlungen verfügen und/oder entsprechende Tracking- und Profiling-Maßnahmen durchführen.

Aufgaben und Funktion

Die Vertretung des Verantwortlichen oder Auftragsverarbeiters bezieht sich auf die Pflichten, die sich aus der DSGVO ergeben. Damit ist, analog zu der Tätigkeit des Datenschutzbeauftragten, eine fachkundige Person zum Vertreter zu benennen. Die Aufgaben umfassen nach Art. 27 Abs. 4:

  • Ansprechpartner und Anlaufstelle für Aufsichtsbehörden und Betroffene in der EU
  • Funktion als Bindeglied zu dem im Drittland niedergelassenen Unternehmen

Der EU-Vertreter weist somit keine direkte Haftungsfunktion auf, so dass rechtliche Schritte, wie auch bei Unternehmen innerhalb der EU, sich im Falle von Verstößen grundsätzlich gegen den Verantwortlichen oder Auftragsverarbeiter in dem betreffenden Drittland richten. Sowohl Betroffene als auch Aufsichtsbehörden im Datenschutz haben somit ein Wahlrecht, sich bei Datenschutzverletzungen und anderen Anliegen an den EU-Vertreter oder direkt an das Unternehmen, mithin den Verantwortlichen selbst zu wenden.

© 2022 Rocketlegal.de ImpressumDatenschutzerklärungAGNB