Unternehmen mit Sitz außerhalb der Europäischen Union, die personenbezogene Daten von EU-Bürgern verarbeiten, sind unter bestimmten Voraussetzungen verpflichtet, einen DSGVO-Vertreter innerhalb der EU zu benennen. Diese Verpflichtung dient dazu, die Einhaltung der Datenschutzvorgaben der EU sicherzustellen und eine effiziente Kommunikation mit Aufsichtsbehörden und betroffenen Personen zu gewährleisten.
Wann ist ein DSGVO-Vertreter erforderlich?
Die Benennung eines Vertreters ist verpflichtend, wenn eine der folgenden Bedingungen erfüllt ist:
Anbieten von Waren oder Dienstleistungen an Personen in der EU
Unabhängig davon, ob eine Zahlung erforderlich ist, gilt diese Pflicht, wenn ein Unternehmen aktiv den EU-Markt anspricht. Dies kann sich beispielsweise durch eine Website in einer EU-Sprache oder Preise in Euro äußern.Beispiel: Ein US-amerikanisches Softwareunternehmen verkauft Lizenzen an Kunden in Deutschland und stellt dabei seine Website in deutscher Sprache bereit. In diesem Fall ist ein DSGVO-Vertreter erforderlich.
Beobachtung des Verhaltens von Personen in der EU
Unternehmen, die das Verhalten von EU-Bürgern analysieren, beispielsweise durch Tracking-Technologien oder personalisierte Werbung, benötigen ebenfalls einen DSGVO-Vertreter.Beispiel: Ein kanadisches Unternehmen nutzt Web-Tracking-Technologien, um das Surfverhalten von Nutzern in der EU auszuwerten und gezielt Werbung auszuspielen. Aufgrund dieser Verhaltensanalyse besteht eine Verpflichtung zur Benennung eines Vertreters.
Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
Falls sensible Daten wie Gesundheitsdaten, ethnische Herkunft oder politische Meinungen von EU-Bürgern in großem Umfang verarbeitet werden, ist ein DSGVO-Vertreter erforderlich.Beispiel: Ein australisches Unternehmen betreibt eine Gesundheits-App, die sensible Gesundheitsdaten von Nutzern aus der EU speichert und analysiert. Da es sich um umfangreiche Verarbeitung besonderer Datenkategorien handelt, muss ein DSGVO-Vertreter benannt werden.
Wann ist kein DSGVO-Vertreter erforderlich?
Es gibt Ausnahmen, in denen ein Unternehmen keinen DSGVO-Vertreter benennen muss, obwohl es Kunden in der EU hat:
Reine passive Verkaufsaktivitäten
Wenn ein Unternehmen keine gezielte Ausrichtung auf den EU-Markt vornimmt, sondern lediglich Bestellungen von EU-Kunden entgegennimmt, ohne aktiv diesen Markt anzusprechen, besteht keine Pflicht zur Benennung eines DSGVO-Vertreters.Beispiel: Ein Schweizer Online-Shop verkauft Produkte weltweit, ohne gezielt Werbung für den EU-Markt zu schalten oder seine Website in EU-Sprachen zu betreiben. EU-Kunden können zwar bestellen, aber das Unternehmen richtet sich nicht ausdrücklich an sie. In diesem Fall ist kein DSGVO-Vertreter erforderlich.
Nur gelegentliche Verarbeitung personenbezogener Daten
Falls personenbezogene Daten von EU-Bürgern nur gelegentlich verarbeitet werden und das Risiko für die Betroffenen gering ist, entfällt die Pflicht zur Benennung eines Vertreters.Beispiel: Ein britisches Unternehmen verkauft sporadisch einige Produkte an EU-Kunden, jedoch handelt es sich nur um wenige Transaktionen im Jahr, die nicht auf eine systematische Markterschließung in der EU abzielen. In diesem Fall ist ein Vertreter nicht erforderlich.
Datenverarbeitung durch öffentliche Stellen
Öffentliche Einrichtungen außerhalb der EU sind von der Verpflichtung zur Benennung eines DSGVO-Vertreters ausgenommen.Beispiel: Eine staatliche Bildungseinrichtung in Kanada verarbeitet personenbezogene Daten von EU-Bürgern im Rahmen eines Austauschprogramms. Da es sich um eine öffentliche Einrichtung handelt, besteht keine Pflicht zur Benennung eines Vertreters.
Aufgaben des DSGVO-Vertreters
Der Vertreter in der EU dient als zentrale Anlaufstelle für:
Aufsichtsbehörden: Er beantwortet Anfragen und kooperiert mit den Datenschutzbehörden in der EU.
Betroffene Personen: Er ermöglicht die Wahrnehmung der Betroffenenrechte gemäß DSGVO und stellt eine direkte Kontaktmöglichkeit her.
Was der DSGVO-Vertreter nicht übernimmt
Es gibt klare Abgrenzungen, welche Aufgaben nicht in den Zuständigkeitsbereich des DSGVO-Vertreters fallen:
Keine rechtliche Verantwortung für die Datenverarbeitung: Der DSGVO-Vertreter trägt keine eigene Haftung für Verstöße gegen die DSGVO durch das Unternehmen. Die Verantwortung bleibt vollständig beim Verantwortlichen oder Auftragsverarbeiter.
Keine interne Datenschutzberatung: Der DSGVO-Vertreter übernimmt nicht die Funktion eines Datenschutzbeauftragten und berät das Unternehmen nicht intern zu Datenschutzfragen oder zur Umsetzung technischer und organisatorischer Maßnahmen.
Keine Kontrolle der Einhaltung der DSGVO: Der Vertreter überwacht nicht, ob das Unternehmen die DSGVO einhält – seine Aufgabe ist rein kommunikativ.
Keine Vertretung in behördlichen Verfahren: Der DSGVO-Vertreter dient als Kontaktstelle, ist jedoch nicht verpflichtet, das Unternehmen in rechtlichen Verfahren gegenüber den Aufsichtsbehörden oder Gerichten zu vertreten.
Rechtsgrundlagen
Und hier nun noch der gesetzliche Rahmen für den EU-DSGVO-Vertreter, der Artikel 27 der Datenschutzgrundverordnung sowie die dazu gehörigen Erwägungsgründe des Gesetzgebers:
Art. 27 DSGVO Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
1. In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.
2. Diese Pflicht gilt nicht für
a. eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
b. Behörden oder öffentliche Stellen.
3. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.
4. Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.
5. Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.
Der dazugehörige Erwägungsgrund 80 der Datenschutzgrundverordnung zur Benennung eines Vertreters lautet:
1)Jeder Verantwortliche oder Auftragsverarbeiter ohne Niederlassung in der Union, dessen Verarbeitungstätigkeiten sich auf betroffene Personen beziehen, die sich in der Union aufhalten, und dazu dienen, diesen Personen in der Union Waren oder Dienstleistungen anzubieten – unabhängig davon, ob von der betroffenen Person eine Zahlung verlangt wird – oder deren Verhalten, soweit dieses innerhalb der Union erfolgt, zu beobachten, sollte einen Vertreter benennen müssen, es sei denn, die Verarbeitung erfolgt gelegentlich, schließt nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten ein und bringt unter Berücksichtigung ihrer Art, ihrer Umstände, ihres Umfangs und ihrer Zwecke wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich oder bei dem Verantwortlichen handelt es sich um eine Behörde oder öffentliche Stelle.
2)Der Vertreter sollte im Namen des Verantwortlichen oder des Auftragsverarbeiters tätig werden und den Aufsichtsbehörden als Anlaufstelle dienen.
3)Der Verantwortliche oder der Auftragsverarbeiter sollte den Vertreter ausdrücklich bestellen und schriftlich beauftragen, in Bezug auf die ihm nach dieser Verordnung obliegenden Verpflichtungen an seiner Stelle zu handeln.
4)Die Benennung eines solchen Vertreters berührt nicht die Verantwortung oder Haftung des Verantwortlichen oder des Auftragsverarbeiters nach Maßgabe dieser Verordnung.
5)Ein solcher Vertreter sollte seine Aufgaben entsprechend dem Mandat des Verantwortlichen oder Auftragsverarbeiters ausführen und insbesondere mit den zuständigen Aufsichtsbehörden in Bezug auf Maßnahmen, die die Einhaltung dieser Verordnung sicherstellen sollen, zusammenarbeiten.
6)Bei Verstößen des Verantwortlichen oder Auftragsverarbeiters sollte der bestellte Vertreter Durchsetzungsverfahren unterworfen werden.