Die Benennungspflicht eines EU-Vertreters laut DSGVO

Datenschutzrechtlich ging es im Jahr 2020 vorrangig um das Thema Datentransfers in Drittstaaten. Zwei wichtige Gerichtsentscheidungen des BGH (Planet 49 mit Bezug zur Einwilligungspflicht beim Setzen von Cookies) und des EuGH (Schrems II: Privacy-Shield ungültig) spielten sich zumindest mittelbar in diesen Bereichen ab und hatten zur Folge, dass viele Unternehmen Änderungen an Ihrer Website vornehmen mussten, um diese DSGVO-konform anbieten zu können.

Eine wenig bekannte und vielleicht oft übersehene Pflicht der DSGVO ist die von nicht in der Union niedergelassenen Unternehmen, einen Vertreter innerhalb der Union für den Datenschutz zu benennen. Geregelt ist dies in Art. 27 DSGVO und gilt in den Fällen, in denen eine Datenverarbeitung personenbezogener Daten im Zusammenhang mit in der Union angebotenen Waren oder Dienstleistungen stattfindet oder in denen das Verhalten der betroffenen Personen beobachtet werden soll, wenn dieses Verhalten in der EU erfolgt (sog. „Marktortprinzip“). Es kommt für die Anwendbarkeit der DSGVO nicht darauf an, ob der Betroffene für die Waren oder Dienstleistungen ein Entgelt bezahlt. Die Pflicht gilt sowohl für datenschutzrechtlich Verantwortliche als auch für Auftragsverarbeiter.

Checkliste: Muss ein Vertreter nach Art. 27 DSGVO benannt werden?

1. Nicht in der EU niedergelassener Verantwortlicher oder Auftragsverarbeiter
2. Datenverarbeitung steht im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen in der europäischen Union oder Beobachtung des Verhaltens betroffener Personen, soweit ihr Verhalten in der Union erfolgt.
3. Die Datenverarbeitung nach 2) ist
   a. nicht nur gelegentlich,
   b. keine umfangreiche Verarbeitung besonderer Datenkategorien iSv. Art. 9 Abs. 1 oder
   c. keine umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 und
   d. die Verarbeitung führt unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem erheblichen Risiko für die Rechte und Freiheiten natürlicher Personen.
4. Die Pflicht zur Benennung eines Vertreters gilt nicht für Behörden oder öffentliche Stellen.
   Aus der Checkliste ergibt sich, dass nicht in jedem Fall ein Vertreter zu benennen ist, sondern diese Pflicht durch die Ausnahmeregelung des Art. 27 Abs. 2 DSGVO entfallen kann. Aufgrund der unbestimmten Rechtsbegriffe in der durchzuführenden Risikoabschätzung nach Ziff. 3 lit. d kann die Beantwortung dieser Frage im Einzelfall schwierig werden. Eine Fehlbeurteilung kann zu einem Bußgeld nach Art. 80 Abs. 4 lit. a) DSGVO führen, da ein Verstoß gegen die Benennungspflicht bußgeldbewehrt ist.

Der Vertreter kann sowohl eine natürliche als auch eine juristische Person sein, die in der EU niedergelassen ist. Wichtig ist, dass genügend Kapazitäten zur Bearbeitung der aufkommenden Anfragen zur Verfügung stehen und keine Interessenkonflikte durch die Beratung mehrerer Verantwortlicher und Auftragsverarbeiter entstehen.

Die Bestellung muss schriftlich erfolgen, also durch einen Vertrag, in dem die Aufgabenbereiche des Vertreters idealerweise, klar umgrenzt sind. Betroffenen gegenüber sind die Kontaktdaten des Vertreters z. B. in der Datenschutzerklärung zu nennen. Auch Auftragsverarbeiter sind darüber zu informieren. Eine Information der Aufsichtsbehörden muss nur auf Anfrage erfolgen. Auch hier liegt also ein Unterschied zum Datenschutzbeauftragten, denn es besteht gem. Art. 37 Abs. 7 DSGVO die Pflicht, diesen gegenüber der Aufsichtsbehörde zu benennen.

Der Vertreter hat im Gegensatz zu einem Datenschutzbeauftragten einen deutlich kleineren Aufgabenbereich und ist weisungsgebunden. Während der Datenschutzbeauftragte eine umfassende datenschutzrechtliche Beratung des Unternehmens durchführt, beschränken sich die Aufgaben des Vertreters vorrangig auf die Kommunikation. Er ist grundsätzlich nicht verpflichtet, Anfragen selbst zu beantworten, sondern er muss diese nur weiterleiten. Diese Pflicht verbleibt im Außenverhältnis weiterhin bei dem Unternehmen. Ein Mindestmaß an persönlicher Eignung (Fachkenntnisse und Zuverlässigkeit) ist erforderlich, um die zugewiesenen Aufgaben rechtskonform ausführen zu können. Denn das vertretene Unternehmen muss sich Verstöße des Vertreters zurechnen lassen, die dieser in Ausübung seiner Position in Bezug auf seine Pflichten begeht.

Der Vertreter soll Betroffenen als Anlaufstelle bei datenschutzrechtlichen Fragestellungen und bei der Geltendmachung und Durchsetzung von Betroffenenrechten dienen. Das leuchtet ein, denn sowohl datenschutzrechtliche Informationen als auch die Durchsetzung von Betroffenenrechten müssen in der offiziellen Amtssprache des Landes möglich sein, an das sich das Angebot richtet. Ansonsten kann ein DSGVO-Verstoß vorliegen – Informationen für Betroffene müssen nach Art. 12 DSGVO u.a. in verständlicher Form und in klarer, einfacher Sprache zur Verfügung gestellt werden. Genauso kann ein DSGVO-Verstoß vorliegen, wenn durch eine Sprachbarriere die Geltendmachung von Betroffenenrechten erschwert wird.

Im Allgemeinen sind Unternehmen ohne EU-Sitz lediglich dazu verpflichtet, einen EU-Vertreter zu benennen. Ist das entsprechende Unternehmen in einer Vielzahl von EU-Mitgliedsstaaten mit unterschiedlichen Amtssprachen und kulturellen sowie rechtlichen Besonderheiten tätig, kann die Beauftragung mehrerer Vertreter sinnvoll sein.

Wichtig ist vor allem, dass der Vertreter in der jeweiligen Amtssprache mit den Betroffenen kommunizieren kann. Dies bedeutet allerdings nicht automatisch, dass der Vertreter auch in dem entsprechenden Land seine Niederlassung haben muss. Häufig ist dies mit Blick auf die Fachkenntnis dennoch ratsam, da die Mitgliedsstaaten zum Teil von den Öffnungsklauseln der DSGVO Gebrauch gemacht haben und eigene Datenschutzgesetze erlassen haben. In Deutschland gibt es beispielsweise das Bundesdatenschutzgesetz (BDSG-neu), in dem auch eine Regelung zum Arbeitnehmerdatenschutz enthalten ist.

Den Vertreter treffen selbst auch „direkte“ Pflichten, die sich teilweise aus der DSGVO ergeben und die zu erfüllen sind. Dazu zählen:

• das Vorhalten eines Verzeichnisses von Verarbeitungstätigkeiten und
• die Verpflichtung, mit Aufsichtsbehörden zusammenzuarbeiten (Art. 31 DSGVO)

So ist er gemäß Art. 30 DSGVO verpflichtet, neben dem Verantwortlichen oder Auftragsverarbeiter ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. In dieses Verzeichnis sind jedoch nur diejenigen Verarbeitungstätigkeiten aufzunehmen, aufgrund derer der Anwendungsbereich der DSGVO nach Art. 3 Abs. 2 DSGVO eröffnet ist.

Findet beispielsweise eine Verarbeitung personenbezogener Daten statt, die im Zusammenhang mit Waren und Dienstleistungen steht, die in der EU angeboten werden, greift Art. 27 DSGVO. Damit ist die Benennung eines EU-Vertreters Pflicht. Außerdem gilt die Benennungspflicht immer dann, wenn das Verhalten betroffener Personen beobachtet werden soll und dieses in der EU erfolgt. Für die Anwendbarkeit der DSGVO kommt es dabei nicht darauf an, ob der Betroffene für die Waren oder Dienstleistungen ein Entgelt bezahlt. Die Pflicht gilt sowohl für datenschutzrechtlich Verantwortliche als auch für Auftragsverarbeiter. Als Betroffene gelten hier zunächst alle Individuen, deren personenbezogene Daten bspw. durch ein Unternehmen oder eine Behörde verarbeitet werden.

Gemäß Datenschutzgrundverordnung gilt als Verantwortlicher diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Sowohl bei Unternehmen als auch bei Behörden oder Vereinen gelten somit in letzter Konsequenz die jeweiligen Entscheidungsträger als Verantwortliche. In der Regel ist somit die Geschäftführung verantwortlich. Sofern der Verantwortliche die Verarbeitung der Daten bei einer anderen natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle im Auftrag verarbeiten lässt, gilt diese Stelle als Auftragsverarbeiter.

Aus Art. 27 DSGVO kann sich für Unternehmen ohne Sitz in der EU die Pflicht ergeben, einen Vertreter für den Datenschutz zu benennen. Diese Pflicht greift, wenn der räumliche Anwendungsbereich der DSGVO nach Art. 3 Abs. 2 DSGVO eröffnet ist. Der räumliche Anwendungsbereich ist eröffnet, wenn ein Unternehmen eine Zweigstelle in einem EU-Mitgliedsstaat hat, in der Daten verarbeitet werden können. Auch wenn Unternehmen mit Sitz im EU-Ausland Waren und Dienstleistungen in der Union anbieten, greift die Benennungspflicht. Zuletzt müssen die Personen, deren Daten das Unternehmen verarbeitet in der EU leben oder sich dort aufhalten.

Der bestellte Vertreter muss in der EU niedergelassen sein und hat primär die Aufgabe, den von der Datenverarbeitung betroffenen Personen sowie Aufsichtsbehörden als Anlaufstelle zu dienen. Ferner muss er in der jeweiligen Landessprache kommunizieren können und sollte über eine gewisse Fachkompetenz und Zuverlässigkeit verfügen. Eine Pflicht zur Beantwortung von Anfragen besteht nach der DSGVO nicht, sodass der Verantwortliche oder Auftragsverarbeiter weiter haftet. Der Vertreter muss der Aufsichtsbehörde nicht gemeldet werden, seine Kontaktdaten sind aber auf Anfrage mitzuteilen. Betroffenen Personen sind die Kontaktdaten des Vertreters hingegen unaufgefordert mitzuteilen.