Vertreter für Unternehmen aus Drittländern

nach Artikel 27 DSGVO

Datenschutzberatung Würzburg
Inhalt der Seite

    Manches Unternehmen, das seinen Sitz in der EU hat und den strengen Datenschutzregelungen der DSGVO unterworfen wird, fragt sich, an welche Regeln sich eigentlich Anbieter aus Drittländern außerhalb der Europäischen Union halten müssen. Die Antwort: Sie müssen einen EU-Vertreter benennen, der Auskünfte zur Einhaltung der DSGVO-Regelungen des jeweiligen Unternehmens zu organisieren hat!

    Also: Falls personenbezogene Daten von Personen aus der Europäischen Union durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter verarbeitet werden und die Datenverarbeitung im Zusammenhang damit steht,

    1. betroffenen Personen in der Union entgeltlich oder unentgeltlich Waren oder Dienstleistungen anzubieten, oder
    2. das Verhalten betroffener Personen zu beobachten (Tracking, Profiling), soweit ihr Verhalten in der Union erfolgt,

    muss der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Europäischen Union benennen. Von dieser Pflicht sind nur Behörden, öffentliche Stellen und die nur gelegentliche Verarbeitung nicht auf Personen rückführbarer, wenig sensitiver Daten nach Artikel 9 und 10 DSGVO ausgenommen, auch reine Datentransfers über europäische Router ohne Kenntnisnahme oder Verarbeitung bleiben außen vor. Jeder kleine Online-Shop, der Adressdaten erfasst, überschreitet diese Grenze bereits! Der Vertreter ist eine natürliche oder juristische Person (Art. 4 Nr. 17 DSGVO) und muss in einem der EU-Staaten niedergelassen sein, in dem auch die von der Verarbeitung oder Beobachtung betroffenen Personen befinden.

    Der EU-Vertreter dient den betroffenen Personen sowie den Aufsichtsbehörden als Anlaufstelle zu allen Fragen, die im Zusammenhang mit der Datenverarbeitung nach der DSGVO aufkommen. Zudem ist er Bevollmächtigter für den Erhalt von Rechtsdokumenten und damit als Repräsentant des Auftraggebers verantwortlich für die Organisation in Bezug auf die gesetzlichen Pflichten der DSGVO. Dazu gehören unter anderem die Entgegennahme und Weiterleitung von Betroffenenanträgen (z. B. zu Datenauskunft oder Löschung) oder Erteilung von Auskünften oder die Bereitstellung des Verzeichnisses von Verarbeitungstätigkeiten und weiterer Auskünfte nach Artikel 58 Absatz 1 Buchstabe a DSGVO an die Aufsichtsbehörde. Eine gewisse Sachkunde im Bereich des Datenschutzes und der DSGVO ist daher unbedingt sinnvoll.

    info

    Hinweis

    Rechtlich verantwortlich bleibt der Auftraggeber des Vertreters, gegen den eventuelle rechtliche Schritte direkt erfolgen.

    FAQ

    Häufige Fragen zum EU-Vertreter?

    Wer benötigt einen Vertreter nach Art. 27 DSGVO?

    Jedes Unternehmen, das in der EU Waren oder Dienstleistungen anbietet, aber nicht in der EU ansässig ist, also

    • keine Niederlassung oder Tochtergesellschaft in der EU hat,
    • kein Büro und keine Produktions- oder Verkaufsstätte oder sonstige Zweigstelle in einem Mitgliedstaat der EU besitzt und
    • über keine sonstigen festen Einrichtungen in der EU verfügt,

    aber Datenverarbeitungen oder Beobachtungen in der EU anbieten bzw. durchführen möchte, muss einen Vertreter nach Artikel 27 DSGVO benennen, an den sich die Aufsichtsbehörden und die betroffenen Personen wenden können. Diese Regelung ist z. B. für unternehmen aus den USA oder der Schweiz wichtig. Bereits die Verwendung EU-typischer Sprache auf der Webseite, die Verwendung einer landestypischen Domainendung wie .de oder das Akzeptieren des Euro als Zahlungsmittel weist auf ein Angebot hin, für das ein Vertreter nach Artikel 27 DSGVO bestellt werden muss. Gleicher gilt für Cookies, Tracker und Lokalisierungen in Apps.

    Warum muss der Vertreter nach Artikel 27 DSGVO benannt werden?

    Die DSGVO sieht in Artikel 3 Absatz 2 DSGVO das so genannte Marktortprinzip vor. Wenn außereuropäische Organisationen personenbezogene Daten europäischer Bürger verarbeiten, fallen sie in den Anwendungsbereich der DSGVO und müssen einen innereuropäisch erreichbaren Vertreter stellen, um aus der DSGVO erwachsende Ansprüche zu erfüllen.

    Was ist der Unterschied zwischen dem Vertreter nach Artikel 27 DSGVO und dem Datenschutzbeauftragten?

    Die Aufgabe des Vertreters ist vor allem die einer Kontaktperson. Er nimmt also Anfragen und Dokumente für das Drittlandsunternehmen entgegen und sorgt für deren Beantwortung durch seinen Auftraggeber, er kann damit auch rechtswirksame Erklärungen im Außenverhältnis abgeben. Der Vertreter ist jedoch nicht verantwortlich für die Einhaltung der Datenschutzregelungen, er ist auch nicht haftbar für die Verarbeitungsprozesse im auftraggebenden Unternehmen. Zumeist wird er die Anfragen aus der EU an den Datenschutzbeauftragten im Drittland übermitteln und die Antworten wieder an den Anfrager zurückspielen. Falls notwendig muss er zwischendurch auch für Übersetzungsleistungen sorgen, damit sich die beiden Parteien der Anfrage verstehen. Die Aufgaben des Datenschutzbeauftragten sind im Vergleich dazu deutlich umfangreicher.

    Welche persönlichen Voraussetzungen sollte ein Vertreter nach Artikel 27 DSGVO erfüllen?

    Die DSGVO definiert keine direkten Voraussetzungen. Da der Vertreter jedoch gegenüber den Aufsichtsbehörden sprachfähig sein muss, sollten Sie auf Fachkenntnisse im Datenschutzrecht, Zuverlässigkeit sowie passender Mehrsprachigkeit achten. Außerdem sollte der Vertreter über Kenntnisse über das Unternehmen, seine Datenverarbeitungen und Datenflüsse haben sowie über Erfahrungen im Umgang und in der Zusammenarbeit mit Behörden verfügen. Die Benennung einer ungeeigneten oder nicht existenten Person als Vertreter nach Artikel 27 DSGVO bzw. ein nicht vorhandener Sitz im angegebenen Land ist übrigens gleichbedeutend mit der Nichtbenennung eines solchen Vertreters– und kann zu hohen Bußgeldern führen.

    Wie viele Vertreter nach Artikel 27 DSGVO muss ich benennen?

    Vorgeschrieben ist nur ein EU-weiter Vertreter. Aufgrund der unterschiedlichen Sprachen und kultureller Unterschiede in den einzelnen EU-Staaten könnte es sinnvoll sein, mehrere Vertreter zu benennen.

    Wie und wem gebe ich die Benennung eines Vertreters bekannt?

    Der EU-Vertreter muss schriftlich durch den Verantwortlichen oder Auftragsverarbeiter benannt werden. Gemäß der Artikel 13 und 14 DSGVO sind die Betroffenen über das Vorhandensein eines EU-Vertreters zu informieren, daher muss die Angabe zum EU-Vertreter in jeder Datenschutzerklärung enthalten sein. Außerdem sollte der Ansprechpartner im Verzeichnis von Verarbeitungstätigkeiten gem. Artikel 30 DSGVO vermerkt sein.

    Was passiert, wenn ich keinen Vertreter nach Artikel 27 DSGVO benenne?

    Die Aufsichtsbehörden können die Benennung eines EU-Vertreters erzwingen und ggf. ein Bußgeld verhängen. Dieses kann wie bei allen Verstößen gegen die DSGVO sehr hoch ausfallen und nach Artikel 83 DSGVO bis zu 10 Mio. Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Möglicherweise kann es zudem zu einem Verfahren wegen unlauteren Wettbewerbs kommen.

    Für kleine & mittlere Unternehmen, B2B

    175€ /Monat

    • Wir stellen Ihren DSB
    • Ist-Aufnahme (Dokumentenanalyse)
    • Digitales Datenschutzhandbuch (webbasierte Plattform)
    • Onboarding, Coaching & Fortschrittsübersicht inklusive
    • Mitarbeiterschulungen (eLearning bis 25 Mitarbeiter)
    • Privacy Hub Paket: Digitale Plattform zur Perfektionierung ihrer Webcompliance
    • Cookie Banner (Check & Beratung), anschl. Monitoring / Reporting
    • CLOUD DSE inkl. Abmahnkostenschutz
    • Kommunikation via TEAMS, Telefon & E-Mail
    • Projektmanagement via Servicedesk & Ticketsystem
    • Support-Hotline (IT, Recht, Web)
    • Keine Reisekosten, flexible Terminplanung
    • Update-Service & Newsletter
    • Datenschutzsiegel
    • Persönlicher Ansprechpartner

    Perfekt für E-Commerce, Logistik, IT & B2C

    275€ /Monat

    • Wir stellen Ihren DSB, inkl. Tochtergesellschaften
    • Bestandsaufnahme (Audit & Dokumentenanalyse)
    • Digitales Datenschutzhandbuch (webbasierte Plattform) mit 3 Zugängen
    • Onboarding, Coaching & Fortschrittsübersicht inklusive
    • Mitarbeiterschulungen (eLearing bis 75 Mitarbeiter)
    • Privacy Hub Paket: Digitale Plattform zur Perfektionierung ihrer Webcompliance
    • Cookie Banner (Check & Beratung), anschl. Monitoring / Reporting
    • CLOUD DSE inkl. Abmahnkostenschutz
    • Social Media Datenschutzerklärung (z.B. Xing, FB, Insta)
    • Kommunikation via TEAMS, Telefon & E-Mail
    • Projektmanagement via Servicedesk & Ticketsystem
    • Ad-hoc-Anfragen (IT, Recht, Web)
    • Controlling: Wir behalten Ihr Projekt im Blick
    • Keine Reisekosten, flexible Terminplanung
    • Update-Service & Newsletter
    • Datenschutzsiegel
    • Persönlicher Ansprechpartner

    Perfekt für Unternehmen mit komplexeren Anforderungen & B2C

    auf Anfrage

    • Wir stellen Ihren DSB, inkl. Tochtergesellschaften, Konzern etc.
    • Bestandsaufnahme (Audit & Dokumentenanalyse)
    • Digitales Datenschutzhandbuch (webbasierte Plattform) mit beliebig vielen Zugängen
    • Mitarbeiterschulungen (> Mitarbeiter, Onsite, individuelle Webinare, eLearning)
    • Privacy Hub Paket: Digitale Plattform zur Perfektionierung ihrer Webcompliance
    • Cookie Banner (Implementierung, Konfiguration), anschl. Monitoring / Reporting
    • CLOUD DSE inkl. Abmahnkostenschutz
    • Social Media Datenschutzerklärung (z.B. Xing, FB, Insta)
    • Kommunikation via TEAMS, Telefon & E-Mail
    • Projektmanagement via Servicedesk & Ticketsystem
    • Ad-hoc-Anfragen (IT, Recht, Web)
    • Onboarding, Coaching & Fortschrittsübersicht inklusive Kommunikation
    • Update-Service & Newsletter (unternehmensspezifisch)
    • Persönlicher Ansprechpartner & Projektmanager
    • Datenschutzsiegel
    • Individuelles Leistungspaket: Umfang nach Absprache

    Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

    Wir helfen Ihnen gerne:

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Ihr Ansprechpartner

    Jörg ter Beek
    Datenschutzexperte