Artikel 27 EU-DSGVO: Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern

  1. In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.

  2. Diese Pflicht gilt nicht für

    1. eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder

    2. Behörden oder öffentliche Stellen.

  3. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.

  4. Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.

  5. Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.

Kommentar zu Artikel 27 EU-DSGVO

Was sagt Art. 27 DSGVO aus?


DSGVO Art. 27 befasst sich in fünf Absätzen mit der Notwendigkeit eines unionsinternen Vertreters für unionsexterne Verantwortliche/Auftragsverarbeiter.

Sofern unionsexterne Stellen

  • nicht nur gelegentlich

oder

  • ohne Berührung besonderer Datenkategorien nach Art. 9 und Art. 10 DSGVO

oder

  • als Behörden oder öffentliche Stellen

personenbezogene Daten von Betroffenen in der Union verarbeiten, müssen sie schriftlich einen Vertreter in der Union bestimmen.

Dieser muss seine Niederlassung in einem der Mitgliedsstaaten haben, in dem die mit der Datenverarbeitung verbundenen Dienstleistungen, Waren oder andere Verhaltensweisen angeboten, beziehungsweise erkennbar werden.

Der Vertreter dient im Auftrag des Verantwortlichen/Auftragsverarbeiters Betroffenen und Behörden als Anlaufstelle in allen Belangen des Datenschutzes.

Auch nach Bestellung eines Vertreters bleiben Verantwortliche/Auftragsverarbeiter rechtlich verantwortlich.

Wie ist Art. 27 DSGVO zu verstehen?


DSGVO Art. 27 unterbindet die Möglichkeit für Verantwortliche, sich dem datenschutzrechtlichen Pflichtenkreis durch eine Sitzverlegung in örtliche Bereiche außerhalb der EU zu entziehen. In der Vergangenheit war diese Materie in den nationalen Datenschutzgesetzen nicht eindeutig geregelt, was vor allem auch in praktischer Hinsicht die Erreichbarkeit und Inanspruchnahme von außerhalb der EU ansässigen Verantwortlichen im Datenschutzrecht erschwerte. Hier werden mit DSGVO Art. 27 rechtliche Erweiterungen der EU-Datenschutzgesetze auch auf Datenverarbeitungsprozesse außerhalb der EU vorgenommen und unionsexterne Verantwortliche/Auftragsverarbeiter greifbar gemacht, ohne unionsexterne rechtliche Stellen bemühen zu müssen.

Welche Folgen ergeben sich aus Art. 27 DSGVO?


Als außerhalb der EU ansässiges Unternehmen oder aber bei geplanter Auftragsverarbeitung müssen Sie in punkto DSGVO einiges beachten und rechtssichere Arbeitsroutinen installieren. Dabei sollten Sie sich vor geplanten Verarbeitungsprozessen sachkundig machen und die erforderlichen Schritte nach Art. 27 DSGVO einleiten. In einer Datenschutzberatung von datenschutzexperte.de erfahren Sie mehr zum Thema und bewegen sich von Anfang an rechtskonform im EU-Datenschutz.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr