Geschäftsmänner verhandeln

EU-Vertreter nach DSGVO

Wir unterstützen Sie dabei, als Unternehmen außerhalb der EU die DSGVO umzusetzen

  • Über 2.000 Kunden in Deutschland und Europa
  • Team von 80+ Fachexperten
  • DEKRA- und TÜV-zertifiziertes Expertenteam

Jetzt anrufen

Um einen einheitlichen europäischen Datenschutzstandard zu schaffen, gilt die Datenschutzgrundverordnung (DSGVO) nicht nur für Dienstleister mit Niederlassung in der Europäischen Union (Art. 3 Abs. 1 DSGVO). Auch Verantwortliche und Auftragsverarbeiter ohne europäische Niederlassung werden mit verschiedenen Pflichten belegt, wenn die folgenden Voraussetzungen gegeben sind:

  • Sie bieten Personen im europäischen Inland Waren oder Dienstleistungen an oder
  • sie beobachten das Verhalten dieser Personen (zum Beispiel anhand von Tracking Tools, vgl. Art. 3 Abs. 2 DSGVO).

Vor diesem Hintergrund ist in Art. 27 der DSGVO das sogenannte EU-Vertreter-Modell normiert. Dienstleister und Unternehmen aus dem EU-Ausland haben demnach die Aufgabe, einen in der EU niedergelassenen Vertreter zu ernennen.


Welche Rolle erfüllt der EU-Vertreter?

Bereits das „alte“, bis zum Mai 2018 maßgebliche Bundesdatenschutzgesetz (BDSG) sah einen Inlandsvertreter für Stellen außerhalb der EU vor. Dessen Rolle war allerdings deutlich schwächer als nunmehr in der DSGVO ausgeprägt: Sie beschränkte sich auf eine Funktion als Ansprechpartner und Zustellungsadressat. Mitunter wurde sogar die Rechtsverbindlichkeit der Vorschrift insgesamt bezweifelt. In der Praxis lief die einschlägige Vorschrift des BDSG jedenfalls nahezu vollständig ins Leere. Ganz anders verhält sich nunmehr die Rolle des Datenschutzvertreters unter Geltung der DSGVO.

Dem ernannten EU-Vertreter kommen in einem Unternehmen nach Art. 27 DSGVO folgende maßgeblichen Aufgaben zu:

  • Kooperation mit den Aufsichtsbehörden (Art. 31 DSGVO)
  • Ansprechpartner und Anlaufstelle für betroffene Personen

Welchen Anwendungsbereich hat das EU-Vertreter-Modell?

Konkret betroffen von der Aufgabe, einen EU-Vertreter zu ernennen, sind gemäß Art. 3 Abs. 2 DSGVO Verantwortliche oder Auftragsverarbeiter mit Niederlassung außerhalb der Europäischen Union, die personenbezogene Daten von Personen verarbeiten, die sich in der EU befinden. Selbst wenn das Unternehmen im europäischen Inland niedergelassen ist, ist auch der in einem Drittland niedergelassene Auftragsverarbeiter zur Ernennung eines EU-Vertreters verpflichtet.

Eine solche Pflicht besteht in zwei Fällen:

  • wenn die Datenverarbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen an die betroffenen Personen steht (unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist)
  • wenn die Datenverarbeitung im Zusammenhang damit steht, das Verhalten betroffener Personen zu beobachten, beispielsweise durch „Tracking“ oder „Profiling“ (die betroffene Person ist dabei in der EU)

Wer kann EU-Vertreter werden?

Um EU-Vertreter werden zu können, müssen folgende Voraussetzungen erfüllt sein:

  • Niederlassung in einem EU-Mitgliedsstaat, in denen sich zumindest auch der von der Datenverarbeitung betroffene Personenkreis befindet (Art. 27 Abs. 3 DSGVO)

  • natürliche Person oder

  • juristische Person

Gibt es mehrere Mitgliedstaaten, die dabei in Frage kommen, ist innerhalb dieses Rahmens eine freie Ortswahl möglich. Eine besondere Qualifikation hat die betreffende Person nicht zu erfüllen (vgl. Art. 4 Nr. 17 DSGVO). Die Benennung des EU-Vertreters im Unternehmen muss zudem schriftlich erfolgen (Art. 27 Abs. 1 DSGVO). Nur dann kann der EU-Vertreter seine Funktion als Ansprechpartner und Anlaufstelle ordnungsgemäß erfüllen (Art. 27 Abs. 4, Erwgr. 80 DSGVO).


Wer ist von der Pflicht ausgenommen?

In folgenden Fällen besteht keine Pflicht zur Bestellung eines EU-Vertreters:

  • bei Behörden oder öffentlichen Stellen (Art. 27 Abs. 2 lit. b DSGVO)

  • die Verarbeitung sensitiver Daten erfolgt nur gelegentlich und ist nicht umfangreich (vgl. Art. 9 und 10 DSGVO)

  • die Datenverarbeitung führt voraussichtlich zu keinem Risiko für Rechte und Freiheiten natürlicher Personen (Art. 27 Abs. 2 lit. a DSGVO).

Insoweit besteht also grundsätzlich Klarheit; Schwierigkeiten bereitet hingegen die Unbestimmtheit der Begriffe. Unter „gelegentlich“ ist eine zeitliche Begrenzung zu verstehen. Die Datenverarbeitung darf folglich

  • weder regelmäßig erfolgen

  • noch zum Kernbereich der Tätigkeit des Datenverarbeiters zählen.

„Umfangreich“ ist die Verarbeitung sensitiver Daten beispielsweise bei großer Zahl oder intensiver Auswertung der Daten. Für die vorzunehmende Prognoseentscheidung ist in Hinblick auf die Datenverarbeitung im Unternehmen Folgendes zu beachten:

  • Art

  • Umstände

  • Umfang

  • Zweck

Unternehmen, die sich hinsichtlich ihrer Datenverarbeitung(en) unsicher sind, ob sie von der Pflicht zur Benennung eines EU-Vertreters ausgenommen sind, sollten unbedingt die gravierenden Sanktionsrisiken im Blick bewahren, die im Falle einer Verletzung dieser Pflicht drohen. Eine Konkretisierung der benannten Ausnahmen durch die Rechtsprechung bleibt abzuwarten.


Was passiert bei einer Pflichtverletzung des Vertretenen?

Kommt ein Unternehmen der Benennungspflicht nicht nach, so ist nach Art. 83 Abs. 4 lit. a DSGVO mit empfindlichen Geldbußen zu rechnen.

Pflichtverletzungen des Vertretenen können zur Folge haben, dass die Aufsichtsbehörden gegen den EU-Vertreter Durchsetzungsverfahren durchführen (vgl. Erwgr. 80). Welches Ausmaß diese Durchsetzungsverfahren annehmen können, bleibt in der Praxis abzuwarten.

Ob aus dem Zusammenspiel von Art. 58 und Art. 83 DSGVO (auch) eine parallele Haftung des EU-Vertreters für Verstöße des Verantwortlichen oder Auftragsverarbeiters im Unternehmen folgt, ist umstritten. Eine Haftung dürfte im Ergebnis mangels expliziter Regelung und angesichts des drohenden hohen Haftungsrisikos für den EU-Vertreter im Ergebnis abzulehnen sein.


Was passiert, wenn der EU-Vertreter selbst gegen seine Pflicht verstößt?

Verletzt der Datenschutzbeauftragter etwa seine Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde, dürfte eine solche Pflichtverletzung somit nicht nach Art. 83 Abs. 4 lit. a DSGVO sanktioniert werden können.

Über 2000 zufriedene Kunden

Reclam Verlag
VIU Eyewear
Hans im Glück Logo
Schimmel Pianos
Abalon Logo
Holzapfel Tee Handels Kontor

4,96 von 5

SEHR GUT

101 Bewertungen

100%

Empfehlungen

KundenserviceSEHR GUT (4,92)

Preis / LeistungSEHR GUT (4,91)

10.09.2018Empfehlung! Kundenservice sowie Preis-Leistungs-Verhältnis ist einfach unschlagbar. Ich fühle mich wohl hier! Auf die gute Zusammenarbeit.
30.08.2018Empfehlung! 5 von 5 Sternen.
29.08.2018Empfehlung! 4 von 5 Sternen.
28.08.2018Empfehlung! Bisher bin ich mit der Zusammenarbeit äußerst zufrieden! Ich schätze die unkomplizierten Prozesse und die Führung der Datenschutzexperten durch die Anforderungen der DSGVO.
24.08.2018Empfehlung! Wir sind mit den Beratungsleistungen der Datenschutzexperten wirklich sehr zufrieden! Hier leistet eine junge Truppe Arbeit, welche in Puncto Schnelligkeit, umsetzbare Beratung und vor allem im Preis-Leistungsverhältnis meilenweit vor klassischen Anwaltskanzleien liegen dürfte. Einmal ausprobiert, werden wir uns in allen Angelegenheiten zur DSGVO und zu allen zukünftigen Verordnungen nicht mehr von datenschutzexperte.de trennen!
23.08.2018Empfehlung! Beim Thema Datenschutz gab es bei uns immer viel Unsicherheit und auch wenig Zeit, sich damit zu beschäftigen. Daher sind wir froh, dass das Team von Datenschutzexperte uns so professionell und zuverlässig unterstützt. Danke!
22.08.2018Empfehlung! Gerade bei einem so wichtigen Thema wie Datenschutz war es für uns wichtig einen kompetenten und gut erreichbaren Berater sowie Ansprechpartner für Datenschutz-Themen zu haben. Besonders das gute Preis-Leistungsverhältnis im Vergleich zu anderen Mitbewerbern war ein ausschlaggebender Faktor für uns. Danke für die Beratung!
22.08.2018Empfehlung! Das Team von Datenschutzexperte ist sehr zuverlässig und kompetent. Wer in Sachen Datenschutz Nachhilfe benötigt ist hier an der richtigen Adresse!
17.09.2018Empfehlung! Ich habe nur Komplimente zu Datenschutzexperte. Das Personal ist kompetent, hilfsbereit und mit guten Preisen. Ich konnte auf ihrer Website viele nützliche Informationen finden und bin sehr zufrieden mit dem Service, der mir zur Verfügung gestellt wurde. Ich werde es definitiv empfehlen.
17.09.2018Empfehlung! We are very happy with the service provided by Datenschutzexperte. Many thanks for a great support.

Weitere Datenschutz Services, die Sie interessieren könnten

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr