Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift
Top Themen im Datenschutz:
Cortina Consult
EU-Vertreter nach Artikel 27 DSGVO
Datenschutz

EU-Vertreter nach Art. 27 DSGVO

Unternehmen außerhalb der EU, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen einen Vertreter in der EU benennen – nach Artikel 27 DSGVO. Mit einer Compliance-Management-Software können die Dokumentationspflichten effizient erfüllt werden.

Externen DSB anfragen
Beratungsgespräch anfragen
Digitale Grafik mit Sicherheitsschild und Datei-Icon, stellvertretend für IT-Schutz und Compliance im Datenmanagement

Was ist ein EU-Vertreter nach Artikel 27 DSGVO?

Artikel 27 DSGVO verpflichtet Unternehmen ohne Sitz in der Europäischen Union, eine offizielle Anlaufstelle in der EU zu benennen. Diese Person oder Organisation wird als EU-Vertreter bezeichnet und ist das zentrale Bindeglied zwischen dem Unternehmen und europäischen Datenschutzbehörden sowie betroffenen Personen.

Grundlage ist das Marktortprinzip aus Art. 3 Abs. 2 DSGVO: Die Datenschutz-Grundverordnung gilt auch dann, wenn ein Unternehmen seinen Sitz in einem Drittland hat – etwa in den USA, der Schweiz oder dem Vereinigten Königreich – aber Waren oder Dienstleistungen in der EU anbietet oder das Verhalten von EU-Bürgern beobachtet.

Eines ist dabei entscheidend: Der EU-Vertreter ist weder ein Datenschutzbeauftragter (DSB) noch ein Treuhänder. Er übernimmt keine Haftung für datenschutzrechtliche Verstöße des Unternehmens und tritt nicht in dessen datenschutzrechtliche Pflichten ein. Seine Funktion ist rein kommunikativer Natur – er ist der offizielle Ansprechpartner, nicht der Verantwortliche.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Wer muss einen EU-Vertreter benennen?

Zur Benennung verpflichtet sind alle nicht in der EU niedergelassenen Verantwortlichen und Auftragsverarbeiter, die mindestens eine der folgenden Voraussetzungen erfüllen:

  • Angebot von Waren oder Dienstleistungen in der EU – Das Unternehmen richtet sein Angebot gezielt an Personen in einem EU-Mitgliedstaat, auch wenn keine Zahlung anfällt (Art. 3 Abs. 2 lit. a DSGVO).
  • Beobachtung des Verhaltens von EU-Bürgern – Das Unternehmen trackt, analysiert oder profiliert Nutzer in der EU, zum Beispiel durch Cookies, Web-Analytics, KI-basierte Auswertungen oder personalisierte Werbung (Art. 3 Abs. 2 lit. b DSGVO).

Ob eine Zahlung anfällt, ist für die Pflicht unerheblich. Entscheidend ist, ob das Angebot gezielt auf Personen in der EU ausgerichtet ist. Typische Indizien: deutschsprachige oder mehrsprachige EU-Website, Akzeptanz europäischer Zahlungsmittel, EU-spezifische Preisgestaltung oder die ausdrückliche Nennung von EU-Märkten im Geschäftsbericht.

Ausnahmen: Wann entfällt die Pflicht zur Benennung?

Art. 27 Abs. 2 DSGVO sieht zwei Ausnahmen vor:

Öffentliche Stellen und Behörden
Behörden in Drittländern sind von der Pflicht ausgenommen, wenn die Datenverarbeitung im Rahmen hoheitlicher Tätigkeit erfolgt.

Nur gelegentliche Verarbeitung ohne Risiko für Betroffene
Keine Benennungspflicht besteht, wenn alle drei der folgenden Bedingungen gleichzeitig erfüllt sind:

  1. Die Verarbeitung erfolgt nur gelegentlich – nicht regelmäßig, nicht wiederkehrend, nicht als Kerntätigkeit.
  2. Es werden keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen) und keine Strafregisterdaten nach Art. 10 DSGVO verarbeitet.
  3. Die Verarbeitung ist nicht geeignet, ein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich zu bringen (Wortlaut Art. 27 Abs. 2 lit. a DSGVO – nicht nur kein „hohes“, sondern kein Risiko).

Wichtig: Fehlt auch nur eine dieser Voraussetzungen, besteht die Benennungspflicht vollumfänglich. Die Ausnahme ist eng auszulegen und greift in der unternehmerischen Praxis nur selten.

Was macht der EU-Vertreter konkret?

Der EU-Vertreter ist die offizielle Schnittstelle zwischen dem Drittlands-Unternehmen und der EU-Datenschutzwelt. Zu seinen konkreten Aufgaben gehören:

  • Entgegennahme und Weiterleitung von Betroffenenanfragen – Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Widerspruch (Art. 21) und weitere Rechte nach Art. 15–22 DSGVO
  • Kommunikation mit den zuständigen Datenschutzbehörden der EU-Mitgliedstaaten
  • Bereitstellung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) auf Anfrage der Aufsichtsbehörde
  • Erste offizielle Anlaufstelle bei Datenschutzvorfällen und behördlichen Ermittlungen

Das vertretene Unternehmen bleibt bei all dem vollständig datenschutzrechtlich verantwortlich. Der EU-Vertreter ist kein Entscheidungsträger, sondern ein Vermittler – er leitet weiter, trifft aber keine Datenschutzentscheidungen.

Checkliste: EU-Vertreter & DSGVO-Pflichten

Alle DSGVO-Anforderungen auf einen Blick: EU-Vertreter, DSB, Datenschutzerklärung, AVV und TOMs – Schritt für Schritt zum Abhaken, kostenlos als Download.

PDF herunterladen
Grafik eines PDFs mit einer Checkliste und einem Download-Symbol darunter

Wer darf als EU-Vertreter bestellt werden?

Als EU-Vertreter kann jede natürliche oder juristische Person bestellt werden, die in einem EU-Mitgliedstaat niedergelassen ist (Art. 4 Nr. 17 DSGVO). Der Europäische Datenschutzausschuss (EDPB) hat hierzu eigene Leitlinien veröffentlicht. In der Praxis empfiehlt sich ein auf Datenschutz spezialisierter Dienstleister, der folgende Kriterien erfüllt:

  • Nachweisbares Fachwissen im Bereich DSGVO und europäisches Datenschutzrecht
  • Niederlassung in dem EU-Mitgliedstaat, in dem die Mehrheit der betroffenen Personen ansässig ist – dies bestimmt die zuständige Aufsichtsbehörde
  • Jederzeitige Erreichbarkeit für Aufsichtsbehörden und betroffene Personen

Hinweis zum Brexit und Drittstaaten: Das Vereinigte Königreich gilt seit dem Brexit nicht mehr als EU-Mitgliedstaat. Unternehmen ohne UK-Niederlassung, die Daten britischer Bürger verarbeiten, benötigen zusätzlich einen separaten Vertreter nach UK GDPR – der EU-Vertreter deckt Großbritannien nicht ab. Das Gleiche gilt für Länder wie Serbien, die eigene DSGVO-ähnliche Regelungen eingeführt haben und ebenfalls einen eigenen nationalen Vertreter verlangen. Weiterführende Informationen zum internationalen Datentransfer stellt der BfDI bereit.

Wie erfolgt die Benennung nach Artikel 27 DSGVO?

Die Benennung muss gemäß Art. 27 Abs. 1 DSGVO schriftlich erfolgen. Ein formloser Vertrag ist zulässig, sollte aber mindestens enthalten:

  1. Namen und vollständige Anschrift des EU-Vertreters
  2. Klarstellung der Funktion als EU-Vertreter gemäß Art. 27 DSGVO
  3. Umfang der Beauftragung – für welche Verarbeitungstätigkeiten und welche Mitgliedstaaten er tätig wird

Zusätzlich besteht eine Informationspflicht gegenüber Betroffenen: Nach Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO müssen die Kontaktdaten des EU-Vertreters in jeder Datenschutzerklärung erscheinen, die sich an Personen in der EU richtet. Eine veraltete oder fehlende Angabe stellt selbst einen Datenschutzverstoß dar.

Bußgelder: Was droht bei Verstößen gegen Artikel 27 DSGVO?

Unternehmen, die entgegen Artikel 27 DSGVO keinen EU-Vertreter benennen, riskieren empfindliche Konsequenzen:

  • Bußgelder bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 lit. a DSGVO)
  • Anordnungen der Aufsichtsbehörde zur Einschränkung oder Aussetzung der Datenverarbeitung in der EU
  • Zivilrechtliche Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO

Da der EU-Vertreter keine Haftung für das Unternehmen übernimmt, richtet sich ein Bußgeldverfahren direkt gegen den Verantwortlichen oder Auftragsverarbeiter im Drittland. Die zuständige Aufsichtsbehörde – in Deutschland etwa die Bundesbeauftragte für den Datenschutz (BfDI) – kann den EU-Vertreter als offiziellen Adressat für ihre Korrespondenz nutzen, was die Kommunikation mit dem Unternehmen erheblich beschleunigt.

EU-Vertreter vs. Datenschutzbeauftragter (DSB) – Die wichtigsten Unterschiede

Ein häufiges Missverständnis: Der EU-Vertreter ist nicht der Datenschutzbeauftragte (DSB). Der zentrale Unterschied liegt in der Weisungsfreiheit. Während der DSB nach Art. 38 Abs. 3
DSGVO weisungsfrei agiert und eine interne Überwachungsfunktion hat, ist der EU-Vertreterweisungsgebunden. Er handelt im Auftrag und nach Anweisung des Verantwortlichen – als Brücke zwischen dem Drittstaatunternehmen und den EU-Behörden.

Merkmal
EU-Vertreter (Art. 27 DSGVO)
Datenschutzbeauftragter (Art. 37 DSGVO)
Wer ist verpflichtet?
Unternehmen ohne EU-Niederlassung, die EU-Daten verarbeiten
Unternehmen in der EU (ab bestimmten Schwellenwerten)
Funktion
Kommunikationskanal für Behörden & Betroffene
Interne Überwachungs- & Beratungsfunktion
Haftung für Verstöße
Keine Haftung
Keine Haftung
Kombination möglich?
Ja – eine Person kann beide Rollen übernehmen, wenn die Voraussetzungen erfüllt sind (davon wird aber abgeraten)
Ja – eine Person kann beide Rollen übernehmen, wenn die Voraussetzungen erfüllt sind (davon wird aber abgeraten)
In Datenschutzerklärung angeben?
Pflicht (Art. 13/14 DSGVO)
Pflicht (Art. 13/14 DSGVO)

Häufige Fragen zu Artikel 27 DSGVO

Gilt Artikel 27 DSGVO auch für Auftragsverarbeiter?

Ja. Nicht nur Verantwortliche (Art. 4 Nr. 7 DSGVO), sondern auch Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) ohne EU-Niederlassung sind zur Benennung eines EU-Vertreters verpflichtet – sofern sie im Rahmen ihrer Dienstleistungen Daten von Personen in der EU verarbeiten.

Wie viele EU-Vertreter braucht mein Unternehmen?

Grundsätzlich reicht ein EU-Vertreter für alle EU-Mitgliedstaaten, in denen das Unternehmen tätig ist. Sinnvoll ist es, einen Vertreter mit Sitz in dem Land zu wählen, in dem die Mehrheit der betroffenen Personen lebt – dieser unterliegt dann der primär zuständigen Aufsichtsbehörde und ist der erste Ansprechpartner bei Verfahren. Ob zusätzlich die Benennung eines Datenschutzbeauftragten erforderlich ist, hängt von den jeweiligen Unternehmensmerkmalen ab.

Muss ich meinen EU-Vertreter in der Datenschutzerklärung angeben?

Ja. Die vollständigen Kontaktdaten des EU-Vertreters müssen in jeder Datenschutzerklärung aufgeführt werden, die sich an Personen in der EU richtet (Art. 13 Abs. 1 lit. a, Art. 14 Abs. 1 lit. a DSGVO). Fehlende oder veraltete Angaben stellen einen eigenständigen Datenschutzverstoß dar.

Kann der EU-Vertreter für Bußgelder haftbar gemacht werden?

Nein. Art. 27 Abs. 4 DSGVO stellt ausdrücklich klar, dass die Benennung eines EU-Vertreters die datenschutzrechtliche Verantwortlichkeit des Unternehmens nicht überträgt. Bußgelder und Schadensersatzforderungen richten sich weiterhin direkt gegen den Verantwortlichen oder Auftragsverarbeiter im Drittland.

Was gilt nach dem Brexit für Unternehmen mit UK-Bezug?

Das Vereinigte Königreich hat nach dem Brexit die UK GDPR eingeführt. Unternehmen ohne UK-Niederlassung, die Daten britischer Bürger verarbeiten, benötigen zusätzlich einen separaten UK-Vertreter gemäß Art. 27 UK GDPR. Der EU-Vertreter deckt Großbritannien nicht ab – beide Rollen müssen getrennt besetzt werden.

Was passiert, wenn ich irrtümlich keinen EU-Vertreter benannt habe?

In diesem Fall sollte so schnell wie möglich gehandelt werden. Eine nachträgliche Benennung kann strafmildernd wirken, schließt DSGVO-Bußgelder aber nicht aus. Zuständige Aufsichtsbehörden haben das Ermessen, die Kooperation des Unternehmens bei der Sanktionsbemessung zu berücksichtigen.

Beitrag aktualisiert am 27. Februar 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek
Sie suchen einen externen DSB?

Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive

ab 125€ / pro Monat
  • Stellung des TÜV-zertifizierten DSB
  • Datenschutzmanagementsystem
  • E-Learning für Mitarbeitende
  • Persönlicher Ansprechpartner
  • Website & Social Media Monitoring
Angebot berechnen
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult im Datenschutz

Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung und Skalierbarkeit garantiert
Pauschalpakete entdecken
Datenschutz
Jörg ter Beek
Autor dieses Artikels:
Jörg ter Beek
CEO & Datenschutzbeauftragter bei Cortina Consult
Zum Autorenprofil
Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO
+49 251 95 20 37 - 40
jtb@cortina-consult.de

Unsere Lösungen