DSGVO Anforderungen EU Ausland

Was müssen Sie als Unternehmen noch tun – über die Benennung eines EU-Vertreters hinaus?

Die Benennung eines EU-Vertreters gemäß Art. 27 DSGVO ist rechtlich zwingend – aber sie ist nicht alles. Wer glaubt, damit die DSGVO-Konformität vollständig hergestellt zu haben, sitzt einem Irrtum auf, der im Ernstfall teuer werden kann. Die DSGVO verpflichtet Ihr Unternehmen zu einer Reihe weiterer Maßnahmen, die unabhängig davon bestehen und die Sie eigenverantwortlich umsetzen müssen.

Die neun wichtigsten Pflichten im Überblick:

1. Datenschutzerklärung aktualisieren (Art. 13 und 14 DSGVO)

Sobald Sie einen EU-Vertreter benannt haben, müssen dessen Kontaktdaten in Ihrer Datenschutzerklärung erscheinen. Das ergibt sich unmittelbar aus Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO: Betroffene Personen haben das Recht zu wissen, wer in der EU als Anlaufstelle zur Verfügung steht – und das muss sichtbar dokumentiert sein.

Aufzunehmen sind mindestens Name und vollständige Anschrift des EU-Vertreters, seine E-Mail-Adresse sowie ein Hinweis, dass er gemäß Art. 27 DSGVO benannt wurde und als Kontaktstelle für Aufsichtsbehörden und betroffene Personen fungiert.

Beispiel: Ein kanadisches SaaS-Unternehmen, das Projektmanagement-Software an Kunden in Deutschland und Österreich vertreibt, muss nach Benennung der Kanzlei Matutis als EU-Vertreter einen eigenen Abschnitt in seiner Datenschutzerklärung ergänzen – mit Name, Anschrift und E-Mail-Adresse der Kanzlei und dem klarstellenden Hinweis auf die Funktion nach Art. 27 DSGVO.

Konkret könnte dies wie folgt in der Datenschutzerklärung geschehen:

Da unser Unternehmen keinen Sitz innerhalb der Europäischen Union hat, haben wir gemäß Art. 27 DSGVO einen Vertreter in der EU benannt. Dieser steht als Anlaufstelle für Aufsichtsbehörden und betroffene Personen in der EU zur Verfügung:

Rechtsanwalt Cornelius Matutis 
Berliner Straße 57 
D-14467 Potsdam 
Deutschland 
E-Mail: mail@matutis.de

Der EU-Vertreter ist bevollmächtigt, Anfragen von Aufsichtsbehörden und betroffenen Personen entgegenzunehmen und an uns weiterzuleiten. Er handelt im Auftrag unseres Unternehmens und ersetzt dieses nicht als datenschutzrechtlich Verantwortlichen. Anfragen können sowohl direkt an uns als auch an unseren EU-Vertreter gerichtet werden.

2. Verzeichnis der Verarbeitungstätigkeiten erstellen und pflegen (Art. 30 DSGVO)

Wer personenbezogene Daten von Personen in der EU verarbeitet, muss nach Art. 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten (VVT) führen. Es dokumentiert intern, welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet werden. Das VVT ist kein bürokratischer Selbstzweck: Es ist das zentrale Kontrollinstrument – und muss der Aufsichtsbehörde auf Anfrage vorgelegt werden (Art. 30 Abs. 4 DSGVO).

Für Verantwortliche muss das VVT nach Art. 30 Abs. 1 DSGVO mindestens folgende Angaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen sowie seines EU-Vertreters
  • Zwecke der jeweiligen Verarbeitungstätigkeit
  • Kategorien betroffener Personen und der verarbeiteten Daten
  • Kategorien der Empfänger
  • Gegebenenfalls Drittlandübermittlungen und die dafür getroffenen Garantien
  • Soweit möglich: vorgesehene Löschfristen und technisch-organisatorische Schutzmaßnahmen

In der Praxis bedeutet das: Wenn eine Datenschutzbehörde das VVT anfordert, wendet sie sich an Ihren EU-Vertreter. Wir empfehlen Ihnen deshalb ausdrücklich, uns nach der Benennung eine aktuelle Fassung Ihres VVT zuzuleiten und uns bei Änderungen auf dem Laufenden zu halten.

Art. 30 Abs. 5 DSGVO enthält eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern – aber nur unter sehr engen Voraussetzungen. Sie gilt nicht, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, nicht nur gelegentlich erfolgt oder besondere Datenkategorien nach Art. 9 DSGVO umfasst. Für Unternehmen, die einen EU-Vertreter benötigen, greift diese Ausnahme in aller Regel nicht. Gehen Sie im Zweifel davon aus, dass Sie ein VVT führen müssen.

Beispiel: Ein US-amerikanisches Unternehmen betreibt eine E-Commerce-Plattform und lässt Kundendaten durch einen externen Zahlungsdienstleister verarbeiten. In seinem VVT muss es diese Verarbeitungstätigkeit vollständig dokumentieren – inklusive der Kontaktdaten unserer Kanzlei als EU-Vertreter. Fordert die deutsche Datenschutzbehörde das VVT an, ist das Unternehmen verpflichtet, es vorzulegen.

3. Rechtsgrundlage für jede Datenverarbeitung sicherstellen (Art. 6 und Art. 9 DSGVO)

Die DSGVO verbietet die Verarbeitung personenbezogener Daten grundsätzlich – es sei denn, eine gesetzliche Erlaubnis liegt vor. Für jede Verarbeitungstätigkeit müssen Sie prüfen und dokumentieren, auf welche der in Art. 6 Abs. 1 DSGVO abschließend aufgezählten Rechtsgrundlagen Sie sich stützen:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – freiwillig, informiert, unmissverständlich, für einen bestimmten Zweck erteilt und jederzeit widerrufbar
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
  • Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO)
  • Öffentliches Interesse (Art. 6 Abs. 1 lit. e DSGVO)
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – mit Abwägung gegenüber den Interessen der betroffenen Person

Verarbeiten Sie besondere Kategorien personenbezogener Daten – Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft, religiösen Überzeugung oder sexuellen Orientierung –, genügt Art. 6 DSGVO allein nicht. Zusätzlich müssen Sie einen der in Art. 9 Abs. 2 DSGVO abschließend aufgezählten Ausnahmetatbestände erfüllen, etwa die ausdrückliche Einwilligung der betroffenen Person nach Art. 9 Abs. 2 lit. a DSGVO.

Beispiel: Ein australisches Unternehmen bietet eine Fitness-App an, die Herzfrequenz und Schlafdaten seiner Nutzer in der EU speichert. Da es sich um Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO handelt, braucht das Unternehmen nicht nur eine Rechtsgrundlage nach Art. 6 DSGVO, sondern zusätzlich die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO – und muss diese sorgfältig dokumentieren.

4. Die Rechte der betroffenen Personen gewährleisten (Art. 15–22 DSGVO)

Personen in der EU haben weitreichende Rechte in Bezug auf ihre personenbezogenen Daten. Als Verantwortlicher müssen Sie diese Rechte nicht nur kennen, sondern praktisch umsetzbar machen:

  • Auskunftsrecht (Art. 15 DSGVO): Welche Daten verarbeiten Sie, zu welchem Zweck, wie lange?
  • Recht auf Berichtigung (Art. 16 DSGVO): Unrichtige Daten sind auf Verlangen unverzüglich zu korrigieren.
  • Recht auf Löschung (Art. 17 DSGVO): Wenn der Zweck entfallen ist oder eine Einwilligung widerrufen wurde.
  • Recht auf Einschränkung (Art. 18 DSGVO): Daten dürfen nur noch gespeichert, aber nicht weiterverarbeitet werden.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Daten in einem maschinenlesbaren Format herausgeben.
  • Widerspruchsrecht (Art. 21 DSGVO): Insbesondere bei Verarbeitung auf Grundlage berechtigter Interessen.
  • Schutz vor automatisierten Entscheidungen (Art. 22 DSGVO): Besondere Schutzpflichten, wenn Entscheidungen ausschließlich automatisiert getroffen werden und erhebliche Wirkung haben.

Anfragen betroffener Personen müssen innerhalb eines Monats beantwortet werden (Art. 12 Abs. 3 DSGVO). Das klingt komfortabel – ist es aber nicht, wenn intern nicht klar ist, wer zuständig ist und wie die nötigen Daten fristgerecht zusammengestellt werden. Richten Sie interne Prozesse ein, bevor es zur ersten Anfrage kommt.

Zur Abgrenzung: Wenn eine betroffene Person ihre Anfrage an uns als Ihren EU-Vertreter richtet, leiten wir diese unverzüglich an Sie weiter. Die inhaltliche Bearbeitung liegt bei Ihnen – es sei denn, wir haben im Einzelfall gesondert vereinbart, dass wir sie für Sie übernehmen.

5. Technische und organisatorische Maßnahmen treffen (Art. 32 DSGVO)

Art. 32 DSGVO verpflichtet Sie zu geeigneten technischen und organisatorischen Maßnahmen, die ein dem Risiko angemessenes Schutzniveau für die von Ihnen verarbeiteten personenbezogenen Daten gewährleisten. Was konkret erforderlich ist, hängt von Art und Umfang Ihrer Verarbeitung ab – es gibt kein starres Pflichtprogramm. Typische Maßnahmen sind:

  • Verschlüsselung personenbezogener Daten (in der Übertragung und im Ruhezustand)
  • Pseudonymisierung, wo möglich und sinnvoll
  • Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Zugriffskontrollen, die sicherstellen, dass nur berechtigte Personen auf personenbezogene Daten zugreifen können
  • Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen
  • Regelungen zum Umgang mit Datenpannen

Beispiel: Ein Schweizer Unternehmen betreibt eine Plattform, über die Kunden in Deutschland persönliche Dokumente hochladen. Es muss sicherstellen, dass diese Dokumente verschlüsselt gespeichert werden, dass nur autorisierte Mitarbeiter Zugriff haben und dass die Daten bei einem Systemausfall wiederhergestellt werden können.

6. Datenschutzverletzungen melden (Art. 33 und 34 DSGVO)

Tritt in Ihrem Unternehmen eine Datenschutzverletzung auf – ein unbefugter Zugriff, ein Datenverlust, eine fehlerhafte Weitergabe –, bestehen strenge Meldepflichten.

Nach Art. 33 DSGVO müssen Sie die zuständige Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden informieren – es sei denn, das Risiko für die Rechte und Freiheiten der Betroffenen ist voraussichtlich gering. Die Meldung muss Art und Umfang der Verletzung beschreiben, mögliche Folgen benennen und darlegen, welche Maßnahmen ergriffen wurden oder geplant sind.

Führt die Verletzung voraussichtlich zu einem hohen Risiko für die Betroffenen, sind Sie nach Art. 34 DSGVO zusätzlich verpflichtet, die betroffenen Personen selbst zu benachrichtigen – unverzüglich und in klarer, verständlicher Sprache.

Da Ihr EU-Vertreter in Deutschland ansässig ist, ist die für unseren Kanzleisitz zuständige Landesdatenschutzbehörde in der Regel die primäre Ansprechbehörde. Sind Personen in mehreren EU-Mitgliedstaaten betroffen, können daneben auch andere nationale Aufsichtsbehörden zuständig werden.

Für die Praxis heißt das: Bitte informieren Sie uns bei einer Datenschutzverletzung so früh wie möglich. Die 72-Stunden-Frist läuft schnell ab. Wir können Ihnen bei der Koordination mit der Aufsichtsbehörde helfen – diese Tätigkeit ist jedoch nicht im pauschalen Jahrespreis für die Vertretertätigkeit enthalten und bedarf einer gesonderten Vereinbarung.

7. Datenübermittlungen in Drittländer – was gilt wirklich für Ihr Unternehmen? (Art. 44–49 DSGVO)

Hier ist eine Klarstellung notwendig, die in der Praxis regelmäßig übersehen wird.

Dass Sie als Nicht-EU-Unternehmen personenbezogene Daten von EU-Bürgern verarbeiten und deshalb dem Anwendungsbereich der DSGVO unterfallen, folgt aus Art. 3 Abs. 2 DSGVO. Das begründet aber für sich genommen noch keine „Datenübermittlung» im Sinne der Art. 44 ff. DSGVO. Nach dem Wortlaut der Verordnung und den Leitlinien 05/2021 des Europäischen Datenschutzausschusses setzt eine solche Übermittlung voraus, dass ein dem DSGVO unterliegender Verantwortlicher oder Auftragsverarbeiter – der sogenannte Exporteur – personenbezogene Daten an einen Empfänger in einem Drittland weitergibt. Wenn ein Kunde aus der EU seine Daten direkt auf Ihrer Plattform eingibt und Sie diese bei sich verarbeiten, liegt schlicht kein Exporteur in diesem Sinne vor. Standardvertragsklauseln gegenüber Ihren Kunden sind in dieser Konstellation weder vorgesehen noch sinnvoll – dafür ist die Datenschutzerklärung nach Art. 13 DSGVO das richtige Instrument.

Wann kommen Art. 44 ff. DSGVO für Ihr Unternehmen dennoch ins Spiel?

In zwei Konstellationen, die in der Praxis sehr häufig auftreten.

Erste Konstellation: Sie setzen EU-basierte Dienstleister ein.

Wenn Sie personenbezogene EU-Kundendaten bei einem in der EU ansässigen Hosting-Anbieter speichern lassen, einen EU-basierten E-Mail- oder Analysedienst nutzen oder anderweitig EU-Auftragsverarbeiter einsetzen, ist jeder dieser Dienstleister seinerseits ein DSGVO-gebundener Exporteur. Sobald er Daten im Rahmen seines Auftrags an Sie zurückübermittelt oder zugänglich macht, liegt eine Drittlandübermittlung im Sinne von Art. 44 ff. DSGVO vor. Für diese Datenflüsse brauchen Sie geeignete Garantien – typischerweise die EU-Standardvertragsklauseln, die Sie nicht mit Ihren Kunden, sondern mit diesen EU-Dienstleistern vereinbaren.

Zweite Konstellation: Sie geben EU-Kundendaten an weitere Empfänger außerhalb der EU weiter.

Wenn Sie personenbezogene Daten Ihrer EU-Kunden an Subunternehmer, Analyseplattformen, Vertriebspartner oder andere Dritte außerhalb der EU weitergeben, ist das ebenfalls eine Übermittlung im Sinne von Art. 44 ff. DSGVO. Auch hier benötigen Sie geeignete Garantien.

In beiden Fällen stehen Ihnen dieselben Instrumente zur Verfügung:

  • Angemessenheitsbeschluss (Art. 45 DSGVO): Falls die EU-Kommission für das Land, in dem Ihr EU-Dienstleister oder der Drittempfänger sitzt, ein angemessenes Datenschutzniveau festgestellt hat – für die Schweiz liegt ein solcher Beschluss vor; für zertifizierte US-Unternehmen gilt seit Juli 2023 das EU-U.S. Data Privacy Framework.
  • Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO): Die von der EU-Kommission 2021 verabschiedeten Klauseln werden zwischen dem EU-Auftragsverarbeiter als Exporteur und Ihnen als Importeur vereinbart – oder zwischen Ihnen und weiteren Drittempfängern, an die Sie EU-Daten weitergeben.
  • Binding Corporate Rules (Art. 47 DSGVO): Für konzerninterne Übermittlungen möglich, aber genehmigungspflichtig und aufwändig zu implementieren.
  • Ausnahmen (Art. 49 DSGVO): In eng begrenzten Einzelfällen – etwa bei ausdrücklicher Einwilligung – zulässig, aber nicht als Dauerlösung geeignet.

Beispiel: Ein US-amerikanisches Unternehmen betreibt seinen Online-Shop über einen deutschen Hosting-Anbieter, der als Auftragsverarbeiter agiert. Sobald dieser Anbieter EU-Kundendaten im Rahmen seiner Dienstleistung an das US-Unternehmen zurückspielt, liegt eine Drittlandübermittlung vor. Das US-Unternehmen muss mit dem deutschen Hosting-Anbieter nicht nur einen AVV nach Art. 28 DSGVO abschließen, sondern zusätzlich EU-Standardvertragsklauseln vereinbaren – nicht mit seinen Kunden, sondern mit dem Dienstleister.

8. Auftragsverarbeitungsverträge abschließen (Art. 28 DSGVO)

Soweit Sie Dienstleister einsetzen, die für Sie personenbezogene Daten verarbeiten – Cloud-Anbieter, E-Mail-Marketing-Plattformen, IT-Dienstleister, Analysedienste –, handeln diese in der Regel als Auftragsverarbeiter nach der DSGVO. Mit jedem dieser Dienstleister müssen Sie einen Auftragsverarbeitungsvertrag (AVV) abschließen.

Der AVV muss nach Art. 28 Abs. 3 DSGVO mindestens Gegenstand und Dauer der Verarbeitung, Art und Zweck sowie die Kategorien betroffener Personen und Daten regeln. Darüber hinaus muss er sicherstellen, dass der Auftragsverarbeiter nur auf Ihre dokumentierte Weisung handelt, Vertraulichkeit gewährleistet und keine Unterauftragsverarbeiter ohne Ihre Genehmigung einsetzt.

Beispiel: Ein Schweizer Unternehmen nutzt einen US-amerikanischen E-Mail-Dienst für Newsletter an EU-Kunden und speichert Kundendaten in einer Cloud-Lösung eines britischen Anbieters. Mit beiden ist ein AVV nach Art. 28 DSGVO abzuschließen. Große Anbieter stellen in der Regel eigene Standardverträge bereit, die diese Anforderungen abdecken.

9. Prüfen, ob ein Datenschutzbeauftragter zu benennen ist (Art. 37 DSGVO)

Der EU-DSGVO-Vertreter ist kein Datenschutzbeauftragter. Beide Funktionen sind in der DSGVO klar voneinander getrennt und können nicht durch dieselbe Person wahrgenommen werden.

Unter bestimmten Voraussetzungen sind auch Unternehmen außerhalb der EU verpflichtet, einen Datenschutzbeauftragten zu benennen: dann nämlich, wenn ihre Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht – etwa durch umfangreiches Online-Tracking oder Profiling – oder wenn sie besondere Datenkategorien nach Art. 9 DSGVO in großem Umfang verarbeiten (Art. 37 Abs. 1 DSGVO).

Das Merkmal „Kerntätigkeit» ist dabei ernst zu nehmen. Es genügt nicht, dass ein Unternehmen irgendwo Cookies setzt oder Kundendaten verwaltet. Gemeint ist, dass die Datenverarbeitung dieser Art das eigentliche Geschäftsmodell trägt – nicht eine bloße Nebenfunktion ist.

Beispiel: Ein US-amerikanisches Unternehmen betreibt eine Plattform, die das Nutzerverhalten von Millionen EU-Bürgern trackt und analysiert, um personalisierte Werbung auszuspielen. Aufgrund von Umfang und Systematik dieser Überwachung ist es verpflichtet, einen Datenschutzbeauftragten zu benennen – zusätzlich zum EU-Vertreter nach Art. 27 DSGVO.

Der Datenschutzbeauftragte muss nicht in der EU ansässig sein. Entscheidend ist, dass die beauftragte Person oder Organisation über das nötige Fachwissen im Datenschutzrecht verfügt.