Die Benennungspflicht eines EU-Vertreters laut Datenschutz-Grundverordnung

Um herauszufinden, ob ein Vertreter nach Art. 27 DSGVO benannt werden muss, haben wir für Sie eine Checkliste zusammengestellt. Treffen alle der folgenden Aussagen zu, besteht die Benennungspflicht:

1. Ihr Unternehmen hat keine Zweigstelle bzw. Niederlassung in der EU.
2. Die Datenverarbeitung steht im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen in der Europäischen Union oder das Verhalten von betroffenen Personen, die sich in der EU befinden, wird beobachtet.
3. Die Verarbeitung von personenbezogenen Daten ist
   a. nicht nur gelegentlich,
   b. betrifft eine umfangreiche Verarbeitung besonderer Datenkategorien iSv. Art. 9 Abs. 1 oder
   c. betrifft eine umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 und im Falle von b. und c. führt
   d. die Verarbeitung unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich zu einem erheblichen Risiko für die Rechte und Freiheiten natürlicher Personen.
4. Es handelt sich nicht um eine Behörde oder öffentliche Stelle.

Unter eine „Beobachtung des Verhaltens betroffener Personen“ fällt beispielsweise zielgruppenspezifische Werbung mithilfe von Tracking-Technologie. In diesem Fall dient die Datenverarbeitung vor allem zur Ermittlung, Vorhersage oder Überwachung von Verhalten, wie z. B. dem Surfverhalten von Kunden.

Aus Punkt 3 der Checkliste ergibt sich, dass nicht in jedem Fall ein Vertreter zu benennen ist, sondern diese Pflicht durch Ausnahmeregelungen entfallen kann (Art. 27 Abs. 2 DSGVO). Die Pflicht entfällt beispielsweise, wenn nur gelegentlich Daten verarbeitet werden. Im Einzelfall ist es jedoch durchaus schwierig abzuschätzen, ob ein Risiko für die „Rechte und Freiheiten natürlicher Personen“ besteht. Da ein Verstoß gegen die Benennungspflicht bußgeldbewehrt ist, kann eine Fehlbeurteilung zu einem Bußgeld nach Art. 83 Abs. 4 lit. a) DSGVO führen.

Der Vertreter kann sowohl eine natürliche als auch eine juristische Person sein, die in der EU niedergelassen ist. Jeder Mensch gilt zunächst als natürliche Person. Vereine, Organisationen und Gesellschaften wiederum werden in der Regel als juristische Personen oder auch organisatorische Zusammenschlüsse bezeichnet.

Zu beachten ist hierbei, dass der Vertreter in einem der EU-Mitgliedsstaaten niedergelassen sein muss, in dem sich die von der Datenverarbeitung betroffenen Personen aufhalten. Bietet ein Unternehmen beispielsweise Dienstleistungen in Deutschland, Österreich und der Schweiz an, kann der Vertreter nicht in Italien niedergelassen sein.

Grundsätzlich ist es empfehlenswert, einen Vertreter zu bestimmen, der über Fachkenntnisse im Datenschutzrecht verfügt und die Datenverarbeitungen und Datenflüsse des Unternehmens kennt. Wird eine „ungeeignete“ Person bestimmt, kann dies als bußgeldbewehrter Verstoß angesehen werden.

Außerdem ist ein Mindestmaß an persönlicher Eignung (Fachkenntnisse und Zuverlässigkeit) seitens des Vertreters erforderlich, um die zugewiesenen Aufgaben rechtskonform ausführen zu können. Denn das vertretene Unternehmen muss sich Verstöße des Vertreters zurechnen lassen, die dieser in Ausübung seiner Position in Bezug auf seine Pflichten begeht.

Die Bestellung eines Vertreters muss schriftlich und ausdrücklich erfolgen. Eine Bestellung in elektronischer Form ist nicht zulässig. Entsprechend wird ein Vertrag aufgesetzt, in dem die Aufgabenbereiche des Vertreters möglichst klar umgrenzt sind. Da die DSGVO keine weiteren Vorgaben macht, sind Faktoren wie die Dauer der Benennung weitestgehend frei gestaltbar.

Den betroffenen Personen sind die Kontaktdaten dieses bestellten Vertreters z.B. in der Datenschutzerklärung zu nennen. Auch Auftragsverarbeiter sind darüber zu informieren. Eine Information der Aufsichtsbehörden muss anders als bei Datenschutzbeauftragten nur auf Anfrage erfolgen.

Der Vertreter hat im Gegensatz zu einem Datenschutzbeauftragten einen deutlich kleineren Aufgabenbereich und ist weisungsgebunden. Während der Datenschutzbeauftragte eine umfassende datenschutzrechtliche Beratung des Unternehmens durchführt, beschränken sich die Aufgaben des Vertreters vorrangig auf die Kommunikation. Er ist grundsätzlich nicht verpflichtet, Anfragen selbst zu beantworten, sondern muss diese lediglich weiterleiten. Diese Pflicht verbleibt weiterhin bei dem Unternehmen, das den Vertreter benennt.

Der Vertreter soll Betroffenen primär als Anlaufstelle bei datenschutzrechtlichen Fragestellungen und bei der Geltendmachung und Durchsetzung von Betroffenenrechten dienen. Dies leuchtet ein, denn sowohl datenschutzrechtliche Informationen als auch die Durchsetzung von Betroffenenrechten müssen in der offiziellen Amtssprache des Landes möglich sein, an das sich das Angebot richtet. Ansonsten kann ein DSGVO-Verstoß vorliegen, denn Informationen für Betroffene müssen nach Art. 12 DSGVO u. a. in verständlicher Form und in klarer, einfacher Sprache zur Verfügung gestellt werden. Gleichermaßen kann es zu einem DSGVO-Verstoß kommen, wenn durch eine Sprachbarriere die Geltendmachung von Betroffenenrechten erschwert wird.

Daneben hat der Vertreter die Aufgabe, Anfragen der Aufsichtsbehörden zu beantworten und mit diesen zusammenzuarbeiten. Damit bildet der Vertreter das Bindeglied zwischen Aufsichtsbehörden sowie betroffenen Personen und dem datenverarbeitenden Unternehmen mit Niederlassung in einem Drittland.

Im Allgemeinen sind Unternehmen ohne EU-Sitz lediglich dazu verpflichtet, einen EU-Vertreter zu benennen. Ist das entsprechende Unternehmen in einer Vielzahl von EU-Mitgliedsstaaten mit unterschiedlichen Amtssprachen und kulturellen sowie rechtlichen Besonderheiten tätig, kann die Beauftragung mehrerer Vertreter sinnvoll sein.

Wichtig ist vor allem, dass der Vertreter in der jeweiligen Amtssprache mit den Betroffenen kommunizieren kann. Dies bedeutet allerdings nicht automatisch, dass der Vertreter auch in dem entsprechenden Land seine Niederlassung haben muss. Häufig ist dies mit Blick auf die Fachkenntnis dennoch ratsam, da die Mitgliedsstaaten zum Teil von den Öffnungsklauseln der DSGVO Gebrauch gemacht haben und eigene Datenschutzgesetze erlassen haben. In Deutschland gibt es beispielsweise das Bundesdatenschutzgesetz (BDSG-neu), in dem auch eine Regelung zum Arbeitnehmerdatenschutz enthalten ist.

Den Vertreter treffen selbst auch „direkte“ Pflichten, die sich teilweise aus der DSGVO ergeben und die zu erfüllen sind. Dazu zählen:

• das Vorhalten eines Verzeichnisses von Verarbeitungstätigkeiten und
• die Verpflichtung, mit Aufsichtsbehörden zusammenzuarbeiten (Art. 31 DSGVO).

So ist er gem. Art. 30 DSGVO verpflichtet, neben dem Verantwortlichen oder Auftragsverarbeiter ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

In diesem Verzeichnis müssen jedoch nur die Tätigkeiten protokolliert werden, die in den Anwendungsbereich der DSGVO nach Art. 3 Abs. 2 DSGVO fallen. Findet beispielsweise eine Verarbeitung personenbezogener Daten statt, die im Zusammenhang mit Waren und Dienstleistungen steht, die in der EU angeboten werden, greift Art. 27 DSGVO. Damit ist die Benennung eines EU-Vertreters Pflicht. Außerdem gilt die Benennungspflicht immer dann, wenn das Verhalten betroffener Personen beobachtet werden soll und dieses in der EU erfolgt.

Für die Anwendbarkeit der DSGVO kommt es dabei nicht darauf an, ob der Betroffene für die Waren oder Dienstleistungen ein Entgelt bezahlt. Die Pflicht gilt sowohl für datenschutzrechtlich Verantwortliche als auch für Auftragsverarbeiter. Als Betroffene gelten hier zunächst alle Individuen, deren personenbezogene Daten bspw. durch ein Unternehmen oder eine Behörde verarbeitet werden.

Dementsprechend ist der Vertreter für die Erfüllung dieser Pflichten auf Informationen des Verantwortlichen angewiesen. Eine Haftung für Verstöße gegen diese Pflichten besteht allerdings nur aus dem Vertragsverhältnis mit dem vertretenen Verantwortlichen. Ein behördliches Bußgeld droht dem Vertreter nicht.

Über die gesetzlich definierten Pflichten hinaus können weitere vertraglich vereinbart werden. Die Aufgaben und Pflichten des Vertreters sowie Fragen der Haftung sollten bei der Gestaltung des Vertrags dabei so eindeutig wie möglich geregelt werden. Dies dient dazu, Missverständnissen vorzubeugen.

Gemäß Datenschutzgrundverordnung gilt als „Verantwortlicher“ diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Sowohl bei Unternehmen als auch bei Behörden oder Vereinen gelten somit in letzter Konsequenz die jeweiligen Entscheidungsträger als Verantwortliche. In der Regel ist somit die Geschäftführung verantwortlich. Sofern der Verantwortliche die Verarbeitung der Daten bei einer anderen natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle im Auftrag verarbeiten lässt, gilt diese Stelle als „Auftragsverarbeiter“.

Aus Art. 27 DSGVO kann sich für Unternehmen ohne Sitz in der EU die Pflicht ergeben, einen Vertreter für den Datenschutz zu benennen. Diese Pflicht greift, wenn der räumliche Anwendungsbereich der DSGVO nach Art. 3 Abs. 2 DSGVO eröffnet ist.

Der räumliche Anwendungsbereich ist eröffnet, wenn ein Unternehmen eine Zweigstelle in einem EU-Mitgliedsstaat hat, in der Daten verarbeitet werden können. Auch wenn Unternehmen mit Sitz im EU-Ausland Waren und Dienstleistungen in der Union anbieten, greift die Benennungspflicht. Zuletzt müssen die Personen, deren Daten das Unternehmen verarbeitet in der EU leben oder sich dort aufhalten.

Der bestellte Vertreter muss in der EU niedergelassen sein und hat primär die Aufgabe, den von der Datenverarbeitung betroffenen Personen sowie Aufsichtsbehörden als Anlaufstelle zu dienen. Ferner muss er in der jeweiligen Landessprache kommunizieren können und sollte über eine gewisse Fachkompetenz und Zuverlässigkeit verfügen.

Eine Pflicht zur Beantwortung von Anfragen besteht nach der DSGVO nicht, sodass der Verantwortliche oder Auftragsverarbeiter weiter haftet. Der Vertreter muss der Aufsichtsbehörde nicht gemeldet werden, seine Kontaktdaten sind aber auf Anfrage mitzuteilen. Betroffenen Personen sind die Kontaktdaten des Vertreters hingegen unaufgefordert mitzuteilen.