Unternehmer aus Staaten außerhalb der EU/ des EWR benötigen oft nach Art 27 DSGVO einen Vertreter in der Union. Doch wer benötigt einen solchen EU-Vertreter nach der DSGVO? Dies betrifft viele Unternehmer aus der Schweiz aber auch Unternehmer aus anderen Drittstaaten, wie etwa aus dem Vereinigten Königreich oder den Vereinigten Staaten. Viele Unternehmer sind sich dieser Pflicht nicht bewusst. Wir klären nachfolgend auf, wann ein EU-Vertreter benötigt wird und welche Strafen nach der DSGVO drohen, sofern keiner benannt wird.
Grundsätzliche Pflicht zur Benennung
Die DSGVO geht grundsätzlich davon aus, dass Auftragsverarbeiter oder Verantwortliche, die personenbezogene Daten verarbeiten, einen Vertreter in der EU bestellen müssen, wenn folgende Kriterien zutreffen:
- Die Auftragsverarbeiter oder Verantwortlichen aus Nicht-EU/EWR-Staaten verarbeiten Daten und diese Datenverarbeitung steht im Zusammenhang damit, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist.
- Die Auftragsverarbeiter oder Verantwortlichen aus Nicht-EU/EWR-Staaten verarbeiten Daten und diese Datenverarbeitung steht im Zusammenhang damit, das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
Ausnahmen in der DSGVO bei EU-Vertretern
In Art 27 Abs 2 lit a DSGVO ist eine Ausnahme für Unternehmer vorgesehen, die nur “gelegentlich” Daten verarbeiten. Die Formulierung “gelegentlich” kommt in der DSGVO mehrfach vor, ist aber nicht definiert. Man wird wohl davon ausgehen müssen, dass hiermit lediglich vollkommen untergeordnete Datenverarbeitungen zu verstehen sind. Verarbeitungen sind wohl dann gelegentlich, wenn die Geschäftstätigkeit nur für einen bestimmten Zeitraum oder nur in seltenen Ausnahmefällen erfolgt. Keine Ausnahme gibt es bei der umfangreichen Verarbeitung von besonderen Kategorien (etwa Gesundheitsdaten) oder personenbezogenen Daten über strafrechtliche Verurteilungen.
Wo muss der EU DSGVO-Vertreter seinen Sitz haben?
Ein EU-Vertreter sollte laut DSGVO in dem Mitgliedsstaat niedergelassen sein, wo sich auch die betroffenen Personen befinden. Sind dies mehrere Staaten, so kommt dem Verpflichteten ein Wahlrecht zu. Die Bestellung eines EU-Vertreters erachtet die DSGVO also als ausreichend.
Was sind die Aufgaben des EU DSGVO-Vertreters?
Ein DSGVO EU-Vertreter ist Anlaufstelle für Behörden und Betroffene. Diese können mit sämtlichen datenschutzrechtlichen Themen an diesen herantreten. Der EU-Vertreter leitet diese DSGVO-Anfragen an den Verantwortlichen oder Auftragsverarbeiter entsprechend weiter.
In unserem Blog klären wir zusätzlich noch über Sanktionen auf, falls kein EU-Vertreter bestellt wird.