EU-Grundverordnung: Datenschutz-Vertreter für Unternehmen

international 09
Fachbeitrag

Die Datenschutz-Grundverordnung (EU-DSGVO) bringt neben vielen – für uns Deutsche – altbekannten Regelungen und Prinzipien auch eine ganze Reihe neuer Verpflichtungen für datenverarbeitende Stellen. Bislang wenig beachtet wird durch die Verordnung auch ein neues Rechtsinstitut eingeführt: der EU-Vertreter bzw. Vertreter in der Union. Doch was hat es mit ihm auf sich, wer benötigt ihn und welche Aufgaben hat er. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Grundlage: Das Marktortprinzip

Die Existenz des EU-Vertreters hängt eng mit dem durch die EU-DSGVO neu eingeführten Marktortprinzip zusammen. Gemäß Art. 3 EU-DSGVO gilt das Europäische Datenschutzrecht nicht nur für in der Europäischen Union niedergelassene Unternehmen.

Voraussetzung für die Anwendbarkeit ist nach Art. 3 Abs. 2 EU-DSGVO lediglich, dass sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient.

Der Anwendungsbereich erstreckt sich damit auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind. Eine Niederlassung in der Union ist gerade nicht erforderlich.

Genau für solche Unternehmen schreibt Art. 27 EU-DSGVO die Benennung eines EU-Vertreters für den Datenschutz vor.

EU-Vertreter bzw. Vertreter in der Union

Gemäß Art. 27 Abs. 1 EU-DSGVO müssen Unternehmen, die keine Niederlassung in der EU unterhalten, aber Personen in der Union Waren oder Dienstleistungen anbieten oder ihr Verhalten – z.B. durch „Tracking“ oder „Profiling“ – beobachten, grundsätzlich einen EU-Vertreter bestellen.

Diese Verpflichtung gilt für den Verantwortlichen ebenso wie für den Auftragsverarbeiter. Die Auftragsverarbeitung in einem Drittland kann somit dazu führen, dass der Auftragsverarbeiter zur Einhaltung europäischen Datenschutzrechts verpflichtet wird und einen Vertreter in der Union bestellen muss.

Die Bestellung hat gemäß Art. 27 Abs. 1 EU-DSGVO schriftlich zu erfolgen. Vertreter kann grundsätzlich jede in der Union niedergelassene natürliche oder juristische Person sein, Art. 4 Nr. 17 EU-DSGVO. Die Niederlassung des Vertreters muss sich aber in einem der Mitgliedsstaaten befinden, in der sich auch die von der Datenverarbeitung betroffenen Personen aufhalten.

Ausnahmen von der Bestellungspflicht

Nicht jeder außerhalb der Union niedergelassene Verantwortliche oder Auftragsverarbeiter ist gemäß Art. 27 Abs. 2 EU-DSGVO verpflichtet, einen EU-Vertreter zu bestellen. Denn die Vorschrift sieht eine Reihe von Ausnahmen vor, auch wenn die obigen Voraussetzungen erfüllt sind.

Demnach ist die Bestellung eines Vertreters in der Union nicht erforderlich, wenn die Datenverarbeitung

  • nur gelegentlich erfolgt,
  • nicht in größerem Umfang sensible Daten im Sinne des Art. 9 Abs. 1 EU-DSGVO (z.B. Angaben über die rassische oder ethnische Herkunft, Gesundheitsdaten oder genetische Daten),
  • nicht in größerem Umfang sensible Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 EU-DSGVO umfasst und
  • unter Berücksichtigung von Art, Umständen, Umfang und Zwecken der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Daneben sind auch Behörden und öffentliche Stellen von der Pflicht zur Bestellung eines EU-Vertreters befreit.

Aufgaben des EU-Vertreters

Der EU-Vertreter hat – wie der Name vermuten lässt – die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der EU-DSGVO obliegenden Pflichten zu vertreten.

Gemäß Art. 27 Abs. 4 EU-DSGVO soll er insbesondere als Anlaufstelle und Ansprechpartner für Aufsichtsbehörden und betroffene Personen dienen. Er stellt damit das Bindeglied zwischen diesen und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar.

Die Benennung eines Vertreters für die Union schließt es gemäß Art. 27 Abs. 5 EU-DSGVO aber nicht aus, dass erforderliche rechtliche Schritte unmittelbar gegen den Verantwortlichen oder Auftragsverarbeiter gerichtet werden. Das Vorhandensein eines EU-Vertreters berührt die Verantwortung und Haftung der datenverarbeitenden Stelle nicht. Betroffene und Aufsichtsbehörden haben bei Datenschutzverletzungen somit die Wahl, ob sie sich an den EU-Vertreter oder den Verantwortlichen oder Auftragsverarbeiter selbst wenden.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.