EU-Vertreter nach DSGVO
Wir unterstützen Sie dabei, als Unternehmen außerhalb der EU die DSGVO umzusetzen
- Über 2.200 Kunden in Deutschland und Europa
- Team von 80+ Fachexperten
- DEKRA- und TÜV-zertifiziertes Expertenteam
Wir unterstützen Sie dabei, als Unternehmen außerhalb der EU die DSGVO umzusetzen
Um einen einheitlichen europäischen Datenschutzstandard zu schaffen, gilt die Datenschutzgrundverordnung (DSGVO) nicht nur für Dienstleister mit Niederlassung in der Europäischen Union (Art. 3 Abs. 1 DSGVO). Auch Verantwortliche und Auftragsverarbeiter ohne europäische Niederlassung werden mit verschiedenen Pflichten belegt, wenn die folgenden Voraussetzungen gegeben sind:
Vor diesem Hintergrund ist in Art. 27 der DSGVO das sogenannte EU-Vertreter-Modell normiert. Dienstleister und Unternehmen aus dem EU-Ausland haben demnach die Aufgabe, einen in der EU niedergelassenen Vertreter zu ernennen.
Bereits das „alte“, bis zum Mai 2018 maßgebliche Bundesdatenschutzgesetz (BDSG) sah einen Inlandsvertreter für Stellen außerhalb der EU vor. Dessen Rolle war allerdings deutlich schwächer als nunmehr in der DSGVO ausgeprägt: Sie beschränkte sich auf eine Funktion als Ansprechpartner und Zustellungsadressat. Mitunter wurde sogar die Rechtsverbindlichkeit der Vorschrift insgesamt bezweifelt. In der Praxis lief die einschlägige Vorschrift des BDSG jedenfalls nahezu vollständig ins Leere. Ganz anders verhält sich nunmehr die Rolle des Datenschutzvertreters unter Geltung der DSGVO.
Dem ernannten EU-Vertreter kommen in einem Unternehmen nach Art. 27 DSGVO folgende maßgeblichen Aufgaben zu:
Konkret betroffen von der Aufgabe, einen EU-Vertreter zu ernennen, sind gemäß Art. 3 Abs. 2 DSGVO Verantwortliche oder Auftragsverarbeiter mit Niederlassung außerhalb der Europäischen Union, die personenbezogene Daten von Personen verarbeiten, die sich in der EU befinden. Selbst wenn das Unternehmen im europäischen Inland niedergelassen ist, ist auch der in einem Drittland niedergelassene Auftragsverarbeiter zur Ernennung eines EU-Vertreters verpflichtet.
Eine solche Pflicht besteht in zwei Fällen:
Um EU-Vertreter werden zu können, müssen folgende Voraussetzungen erfüllt sein:
Niederlassung in einem EU-Mitgliedsstaat, in denen sich zumindest auch der von der Datenverarbeitung betroffene Personenkreis befindet (Art. 27 Abs. 3 DSGVO)
natürliche Person oder
juristische Person
Gibt es mehrere Mitgliedstaaten, die dabei in Frage kommen, ist innerhalb dieses Rahmens eine freie Ortswahl möglich. Eine besondere Qualifikation hat die betreffende Person nicht zu erfüllen (vgl. Art. 4 Nr. 17 DSGVO). Die Benennung des EU-Vertreters im Unternehmen muss zudem schriftlich erfolgen (Art. 27 Abs. 1 DSGVO). Nur dann kann der EU-Vertreter seine Funktion als Ansprechpartner und Anlaufstelle ordnungsgemäß erfüllen (Art. 27 Abs. 4, Erwgr. 80 DSGVO).
In folgenden Fällen besteht keine Pflicht zur Bestellung eines EU-Vertreters:
bei Behörden oder öffentlichen Stellen (Art. 27 Abs. 2 lit. b DSGVO)
die Verarbeitung sensitiver Daten erfolgt nur gelegentlich und ist nicht umfangreich (vgl. Art. 9 und 10 DSGVO)
die Datenverarbeitung führt voraussichtlich zu keinem Risiko für Rechte und Freiheiten natürlicher Personen (Art. 27 Abs. 2 lit. a DSGVO).
Insoweit besteht also grundsätzlich Klarheit; Schwierigkeiten bereitet hingegen die Unbestimmtheit der Begriffe. Unter „gelegentlich“ ist eine zeitliche Begrenzung zu verstehen. Die Datenverarbeitung darf folglich
weder regelmäßig erfolgen
noch zum Kernbereich der Tätigkeit des Datenverarbeiters zählen.
„Umfangreich“ ist die Verarbeitung sensitiver Daten beispielsweise bei großer Zahl oder intensiver Auswertung der Daten. Für die vorzunehmende Prognoseentscheidung ist in Hinblick auf die Datenverarbeitung im Unternehmen Folgendes zu beachten:
Art
Umstände
Umfang
Zweck
Unternehmen, die sich hinsichtlich ihrer Datenverarbeitung(en) unsicher sind, ob sie von der Pflicht zur Benennung eines EU-Vertreters ausgenommen sind, sollten unbedingt die gravierenden Sanktionsrisiken im Blick bewahren, die im Falle einer Verletzung dieser Pflicht drohen. Eine Konkretisierung der benannten Ausnahmen durch die Rechtsprechung bleibt abzuwarten.
Kommt ein Unternehmen der Benennungspflicht nicht nach, so ist nach Art. 83 Abs. 4 lit. a DSGVO mit empfindlichen Geldbußen zu rechnen.
Pflichtverletzungen des Vertretenen können zur Folge haben, dass die Aufsichtsbehörden gegen den EU-Vertreter Durchsetzungsverfahren durchführen (vgl. Erwgr. 80). Welches Ausmaß diese Durchsetzungsverfahren annehmen können, bleibt in der Praxis abzuwarten.
Ob aus dem Zusammenspiel von Art. 58 und Art. 83 DSGVO (auch) eine parallele Haftung des EU-Vertreters für Verstöße des Verantwortlichen oder Auftragsverarbeiters im Unternehmen folgt, ist umstritten. Eine Haftung dürfte im Ergebnis mangels expliziter Regelung und angesichts des drohenden hohen Haftungsrisikos für den EU-Vertreter im Ergebnis abzulehnen sein.
Verletzt der Datenschutzbeauftragter etwa seine Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde, dürfte eine solche Pflichtverletzung somit nicht nach Art. 83 Abs. 4 lit. a DSGVO sanktioniert werden können.
4,96 von 5
SEHR GUT
101 Bewertungen
100%
Empfehlungen
KundenserviceSEHR GUT (4,92)
Preis / LeistungSEHR GUT (4,91)
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr