Unternehmen, die nicht in der Europäischen Union niedergelassen sind, sind laut Datenschutz-Grundverordnung dazu verpflichtet, einen Vertreter innerhalb der EU für den Datenschutz zu benennen. Diese oft übersehene Pflicht ist in Art. 27 DSGVO geregelt und muss in bestimmten Fällen unbedingt beachtet werden. In diesem Beitrag geben wir Ihnen einen informativen Überblick über die Benennungspflicht eines EU-Vertreters und klären Sie über den Benennungsprozess sowie die Aufgaben eines EU-Vertreters auf.
Um herauszufinden, ob ein Vertreter nach Art. 27 DSGVO benannt werden muss, haben wir für Sie eine Checkliste zusammengestellt. Treffen alle der folgenden Aussagen zu, besteht die Benennungspflicht:
- Ihr Unternehmen hat keine Zweigstelle bzw. Niederlassung in der EU.
- Die Datenverarbeitung steht im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen in der Europäischen Union oder das Verhalten von betroffenen Personen, die sich in der EU befinden, wird beobachtet.
- Die Verarbeitung von personenbezogenen Daten ist
a. nicht nur gelegentlich,
b. betrifft eine umfangreiche Verarbeitung besonderer Datenkategorien iSv. Art. 9 Abs. 1 oder
c. betrifft eine umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 und im Falle von b. und c. führt
d. die Verarbeitung unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich zu einem erheblichen Risiko für die Rechte und Freiheiten natürlicher Personen. - Es handelt sich nicht um eine Behörde oder öffentliche Stelle.
Unter eine „Beobachtung des Verhaltens betroffener Personen“ fällt beispielsweise zielgruppenspezifische Werbung mithilfe von Tracking-Technologie. In diesem Fall dient die Datenverarbeitung vor allem zur Ermittlung, Vorhersage oder Überwachung von Verhalten, wie z. B. dem Surfverhalten von Kunden.
Aus Punkt 3 der Checkliste ergibt sich, dass nicht in jedem Fall ein Vertreter zu benennen ist, sondern diese Pflicht durch Ausnahmeregelungen entfallen kann (Art. 27 Abs. 2 DSGVO). Die Pflicht entfällt beispielsweise, wenn nur gelegentlich Daten verarbeitet werden. Im Einzelfall ist es jedoch durchaus schwierig abzuschätzen, ob ein Risiko für die „Rechte und Freiheiten natürlicher Personen“ besteht. Da ein Verstoß gegen die Benennungspflicht bußgeldbewehrt ist, kann eine Fehlbeurteilung zu einem Bußgeld nach Art. 83 Abs. 4 lit. a) DSGVO führen.