Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
17. April 2019

Wann ist ein EU-Vertreter nötig? Bedeutung, Rolle & Aufgaben

DP+
Wann ist ein EU-Vertreter nötig? Bedeutung, Rolle & Aufgaben
Bild: iStock.com / denizbayram
0,00 (0)
Art. 27 DSGVO
Die Benennungspflicht eines EU-Vertreters ist für internationale Unternehmen ohne EU-Sitz wichtig. Aber auch externe DSBs, die in der Stellung als EU-Vertreter einen Baustein ihres Portfolios sehen, kommen um eine rechtliche Einarbeitung in diesen Komplex nicht herum.

Eine Niederlassung setzt nach Erwägungsgrund 22 der Datenschutz-Grundverordnung (DSGVO) eine „effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung“ voraus.

Ausdehnung des Anwendungsbereichs der DSGVO

Unterhält ein Verantwortlicher oder ein Auftragsverarbeiter keine Niederlassung innerhalb der EU, kommt die Frage nach dem (erweiterten) Anwendungsbereich der DSGVO ins Spiel. Sie ist auch für die Frage, ob ein Verantwortlicher einen EU-Vertreter nach Art. 27 DSGVO benennen muss, essenziell.

Hintergrund der Regelung zum EU-Vertreter ist, dass die Aufsichtsbehörde im Drittstaat keine Befugnisse besitzt. Das verlangt nach einem „Baustein“, um die DSGVO durchzusetzen.

Art. 27 DSGVO muss stets in Verbindung mit Art. 3 Abs. 2 DSGVO zum räumlichen Anwendungsbereich beurteilt werden. Denn diese Vorschrift ist wesentliche Voraussetzung dafür, ob ein Vertreter zu benennen ist oder nicht.

PRAXIS-TIPP: Ein bloßer Datentransit, z.B. über einen innereuropäischen Router, ohne tatsächliche Verarbeitung oder Kenntnisnahme, reicht nicht aus, um die Anwendbarkeit der DSGVO zu bejahen.

Die Beurteilung, ob die Datenverarbeitung die Voraussetzungen dafür erfüllt und damit den Anwendungsbereich auslöst, der Verantwortliche also einen EU-Vertreter bestellen muss, ist anhand von Indizien im Einzelfall zu ermitteln.

Indizien können z.B. sein die Absichten des Verantwortlichen, die Sprache der Website und der Top Level Domains (z.B. „de“ für Deutschland), Währungsangaben (€), Versandangebote nach Ländern sortiert, sonstiger Internetauftritt sowie eingesetzte Tools und Plug-ins auf der Website.

Die Vorgaben nehmen hier keinen Bezug zu Tatbeständen, die die Übermittlung von Daten in Drittländer rechtfertigen können (Art. 44 ff., Art. 45, Art. 27 DSGVO).

Also ist ein EU-Vertreter unabhängig davon zu benennen, ob ein Angemessenheitsbeschluss für einen Drittstaat oder eine sonstige Rechtfertigung für die Datenübermittlung vorliegt oder nicht.

Wer muss einen Vertreter gemäß Art. 27 DSGVO bestellen?

Zwei Voraussetzungen sind für die Frage, ob für international operierende Unternehmen – ohne Sitz innerhalb der Europäischen Union – der Anwendungsbereich der DSGVO eröffnet ist, zu prüfen.

Die bloße Datenverarbeitung von Betroffenen innerhalb der EU reicht nicht aus. Sie muss vielmehr in Zusammenhang stehen mit den folgenden zwei Punkten:

Angebot von Waren oder Dienstleistungen, entgeltlich oder unentgeltlich (Art. 3 Abs. 2 Buchst. a DSGVO)

Anknüpfungspunkte hierfür sind etwa Werbe- und Verkaufsmaßnahmen des Unternehmens, unabhängig davon, ob es die Dienstleistungen entgeltlich erbringt (z.B. unentgeltliche Dienstleistung durch Betrieb einer Social-Media-Plattform).

Erforderlich ist, dass das Unternehmen offensichtlich beabsichtigen muss, Waren oder Dienstleistungen in der EU anzubieten (siehe Erwägungsgrund 23).

Überwachung des Verhaltens von Personen (Art. 3 Abs. 2 Buchst. b DSGVO)

Die Datenverarbeitung muss dazu führen oder darauf ausgerichtet sein, das Verhalten von Personen zu ermitteln, vorherzusagen oder zu überwachen, z.B. mittels Tracking-Technologien, etwa für zielgruppenspezifische Werbung.

Eine Überwachung des Verhaltens im Sinne dieser Vorschrift liegt jedoch nur vor, wenn das Verhalten, z.B. das Surfverhalten des Betroffenen, innerhalb der EU erfolgt (Erwägungsgrund 24). Insofern kommt es auf den Aufenthaltsort – nicht den ständigen Wohnsitz! – der überwachten Person an.

Was ist ein Vertreter gemäß Art. 27 DSGVO?

Der Begriff des „Vertreters“ ist in Art. 4 Nr. 17 DSGVO legal definiert. Kernaussage der Definition ist, dass der Vertreter sowohl eine natürliche als auch eine juristische Person sein kann. Es kommt also sowohl eine Einzelperson als auch eine Vertreter-GmbH infrage.

Dieser Vertreter nimmt eine Vertretungsfunktion hinsichtlich der DSGVO-Pflichten wahr, die dem Vertretenen obliegen. Das soll u.a. eine bessere Koordination und „Aufsicht“ von Datenverarbeitungen bezwecken.

Der Vertreter entbindet den Verantwortlichen nicht davon, die datenschutzrechtlichen Pflichten einzuhalten.

Als Anlaufstelle fördert der Vertreter einerseits, dass die Betroffenen ihre Rechte wirksam geltend machen können. Andererseits unterstützt er die Aufsichtsbehörde, damit sie ihre Maßnahmen effektiv durchsetzen kann (siehe Erwägungsgrund 80).

Ein EU-Vertreter darf für mehrere Verantwortliche als solcher fungieren, wenngleich es – vergleichbar mit dem Datenschutzbeauftragten – nicht zu einem Interessenkonflikt (z.B. Vertretung von Konkurrenzunternehmen) kommen darf.

Welche Ausnahmen bestehen von der Benennungspflicht?

Trotz des weitreichenden Regelungsgedankens der Verordnung müssen nicht alle Verantwortlichen einen Vertreter bestellen.

Es reicht daher noch nicht aus, dass der räumliche Anwendungsbereich von Art. 3 Abs. 2 DSGVO eröffnet ist. Denn die Datenschutz-Grundverordnung sieht in Art. 27 Abs. 2 DSGVO zwei Ausnahmen von der Benennungspflicht vor:

Ein EU-Vertreter muss zum einen nicht benannt werden, wenn es sich um eine Behörde oder eine öffentliche Stelle handelt.

Die Pflicht zur Benennung entfällt zum anderen, wenn die Datenverarbeitung (kumulativ)

  • nur gelegentlich erfolgt,
  • nicht die umfangreiche Verarbeitung sensibler personenbezogener Daten im Sinn von Art. 9 DSGVO und nicht die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) einschließt und
  • nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ein einfaches Risiko reicht dabei aus.

Form der Bestellung

Die DSGVO verlangt eine ausdrückliche und schriftliche Bestellung (Erwägungsgrund 80). Im Gegensatz zu anderen Vorschriften stellt die DSGVO hier die elektronische Form der schriftlichen Form nicht gleich.

Weitere Vorgaben, etwa zur Dauer der Benennung und zu einem Widerruf bzw. einer Kündigung, macht die DSGVO nicht. Diese Aspekte lassen sich also vertraglich weitgehend frei gestalten.

Wahl des Niederlassungsorts des Vertreters (Art. 27 Abs. 3)

Der Vertreter muss in einem EU-Mitgliedstaat sitzen, in dem sich die Personen aufhalten, die von der Datenverarbeitung betroffen sind.

Im Umkehrschluss ist es nicht möglich, dass der Verantwortliche etwa Waren oder Dienstleistungen (nur) in Portugal und Spanien anbietet und einen Vertreter in Polen benennt, solange er seine Waren oder Dienstleistungen nicht auch an betroffene Personen in Polen richtet.

Insofern kann sich der Verantwortliche das EU-Land, in dem der Vertreter ansässig ist, aussuchen, sofern er seine Waren oder Dienstleistungen in jedem EU-Mitgliedstaat anbietet.

Was sind die (gesetzlichen) Aufgaben und die Stellung eines EU-Vertreters?

Maßgebliche Aufgabe des Vertreters, aus der auch seine Stellung hervorgeht, ist, als Anlaufstelle für den Verantwortlichen zu fungieren. Dabei steht der kommunikative Charakter im Vordergrund der Pflichtenvertretung (Art. 4 Nr. 17 DSGVO).

Der Vertreter kann rechtswirksame Erklärungen im Außenverhältnis abgeben und solche – etwa von der Aufsichtsbehörde – empfangen.

Das bedeutet auch, dass der Verantwortliche sich Fehler des Vertreters zurechnen lassen muss und entsprechend haftet. So etwa, wenn der Vertreter der Aufsichtsbehörde eine unvollständige oder falsche Auskunft in Zusammenhang mit Art. 27 Abs. 4 DSGVO gibt.

Des Weiteren ist der Vertreter gemäß § 44 Abs. 3 Satz 1 Bundesdatenschutzgesetz (BDSG) bevollmächtigt, Zustellungen in zivilgerichtlichen Verfahren anzunehmen. Das betrifft aber nur Klagen von betroffenen Personen vor den Zivilgerichten.

Die Aufsichtsbehörde kann den EU-Vertreter gemäß Art. 58 Abs. 1 Buchst. a DSGVO verpflichten, alle Informationen bereitzustellen, die sie braucht, um ihre sachverhaltsbezogenen Aufgaben zu erfüllen.

Eigene direkte Pflichten des EU-Vertreters

Dem Vertreter kommen jedoch nach der DSGVO auch eigene „direkte“ Pflichten zu, die er zu erfüllen hat:

  • Vorhalten eines Verzeichnisses von Verarbeitungstätigkeiten, wenngleich er es – zumindest nach dem Gesetzeswortlaut – weder selbst erstellen noch pflegen oder ergänzen muss (Art. 30 DSGVO).
  • Verpflichtung, mit der Aufsichtsbehörde zusammenzuarbeiten (Art. 31 DSGVO)

Die Pflichten des EU-Vertreters lassen sich vertraglich weitgehend frei festlegen, sodass dieser noch weitere als die zwei gesetzlich definierten Pflichten wahrnehmen kann.

Verstößt der EU-Vertreter gegen interne Absprachen, etwa über die Vorgehensweise gegenüber der Aufsicht, so bleibt das Handeln des Vertreters im Außenverhältnis gegenüber dem Verantwortlichen trotzdem wirksam.

Bezüglich des Innenverhältnisses ist daher bei der Vertragsgestaltung darauf zu achten, dass Aufgaben, Pflichten und Haftungsfragen im Innenverhältnis so konkret wie möglich geregelt sind, um Missverständnissen vorzubeugen.

Wie steht es um die Haftung des EU-Vertreters?

Von besonderer Bedeutung ist die Frage, ob der EU-Vertreter für Datenschutzverstöße des Vertretenen haftet.

Erwägungsgrund 80 spricht davon, dass der EU-Vertreter bei Verstößen des Verantwortlichen oder des Auftragsverarbeiters gegen die Datenschutzbestimmungen „Durchsetzungsverfahren“ (Enforcement Proceedings) unterworfen werden soll, ohne diesen Begriff näher zu konkretisieren.

Eine direkte Haftung für Datenschutzverstöße des Verantwortlichen ist damit aber nicht verbunden. Mit der „Unterwerfung von Durchsetzungsverfahren“ ist gemeint, dass der Vertreter Durchsetzungsmöglichkeiten mit Verwaltungszwang (Art. 58 Abs. 1 Buchst. a) unterliegt und er seine Pflichten, die die DSGVO definiert (z.B. Zusammenarbeit mit der Aufsichtsbehörde), wahrzunehmen hat, mehr nicht.

Nimmt er seine direkten Pflichten nicht wahr, so wäre zwar auch eine Geldbuße naheliegend. Sie scheitert aber aktuell daran, dass sich Art. 83 Abs. 4 Buchst. a DSGVO nicht auf den Vertreter erstreckt.

Vergleichbares gilt hinsichtlich Kontrollen oder Anordnungsbefugnissen seitens der Aufsichtsbehörden. Art. 58 DSGVO bezieht sich – außer bei Buchst. a – ebenfalls nur auf Verantwortliche und Auftragsverarbeiter, sodass der EU-Vertreter hier nichts zu befürchten hat.

Wer sollte zum Vertreter bestellt werden –  persönliche Voraussetzungen?

Die DSGVO definiert keine persönlichen Anforderungen an den Vertreter. Sie lassen sich auch nicht mit denen des Datenschutzbeauftragten (Art. 37 Abs. 5 DSGVO) vergleichen bzw. gleichsetzen.

Im Interesse des Vertretenen ist allerdings ein Mindestmaß an persönlicher Eignung nötig. Hierzu zählen etwa Fachkenntnisse im Datenschutzrecht, Zuverlässigkeit sowie bi- oder multilinguale Eigenschaften, um die Aufgaben eines EU-Vertreters adäquat auszuüben.

Daneben sind Kenntnisse über das Unternehmen, seine Datenverarbeitungen und Datenflüsse sowie Erfahrungen im Umgang und in der Zusammenarbeit mit Behörden besonders wichtig. Diese Anforderungen prädestinieren z.B. Personen aus dem Bereich Regulatory und Compliance.

Für den Verantwortlichen kann es sich aufgrund der Tatsache, dass der EU-Vertreter in der Lage sein muss, mit der Aufsichtsbehörde und Betroffenen zu kommunizieren, anbieten, mehrere Vertreter innerhalb mehrerer EU-Mitgliedstaaten zu benennen.

ACHTUNG: Die Benennung einer ungeeigneten Person kann übrigens als ein bußgeldbewehrter Verstoß gegen Art. 27 DSGVO angesehen werden! Außerdem muss der Vertreter bzw. seine Niederlassung auch tatsächlich existieren.

Fazit: Durchsetzungsmöglichkeiten der Aufsicht ungewiss

Die Benennung eines EU-Vertreters hat keine Auswirkungen auf rechtliche Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter (Art. 27 Abs. 5 DS-GVO).

Unabhängig von der rein rechtlichen Situation des EU-Vertreters und der Bußgeldbewehrtheit eines Verstoßes gegen Art. 27 DSGVO (Art. 83 Abs. 4 Buchst. a DSGVO) wird es für die Aufsichtsbehörden eine große Herausforderung sein, die Datenschutz-Grundverordnung gegenüber Unternehmen in Drittstaaten durchzusetzen.

Unter anderem hiervon wird es abhängen, ob der EU-Vertreter als Einrichtung in der Praxis tatsächlich Bedeutung und Verbreitung erlangt.

Dr. Kevin Marschall

Dr. Kevin Marschall
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Kevin Marschall
Dr. Kevin Marschall
Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und ist zudem als externer Datenschutzbeauftragter tätig.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.