Unternehmen, die nicht in der Europäischen Union niedergelassen sind, sind laut Datenschutz-Grundverordnung dazu verpflichtet, einen Vertreter innerhalb der EU für den Datenschutz zu benennen. Diese oft übersehene Pflicht ist in Art. 27 DSGVO geregelt und muss in bestimmten Fällen unbedingt beachtet werden. In diesem Beitrag geben wir Ihnen einen informativen Überblick über die Benennungspflicht eines EU-Vertreters und klären Sie über den Benennungsprozess sowie die Aufgaben eines EU-Vertreters auf.
Datenschutzrechtlich ging es im Jahr 2020 vorrangig um das Thema Datentransfers in Drittstaaten. Zwei wichtige Gerichtsentscheidungen des BGH (Planet 49 mit Bezug zur Einwilligungspflicht beim Setzen von Cookies) und des EuGH (Schrems II: Privacy-Shield ungültig) spielten sich zumindest mittelbar in diesen Bereichen ab und hatten zur Folge, dass viele Unternehmen Änderungen an Ihrer Website vornehmen mussten, um diese DSGVO-konform anbieten zu können.
Eine wenig bekannte und vielleicht oft übersehene Pflicht der DSGVO ist die von nicht in der Union niedergelassenen Unternehmen, einen Vertreter innerhalb der Union für den Datenschutz zu benennen. Geregelt ist dies in Art. 27 DSGVO und gilt in den Fällen, in denen eine Datenverarbeitung personenbezogener Daten im Zusammenhang mit in der Union angebotenen Waren oder Dienstleistungen stattfindet oder in denen das Verhalten der betroffenen Personen beobachtet werden soll, wenn dieses Verhalten in der EU erfolgt (sog. „Marktortprinzip“). Es kommt für die Anwendbarkeit der DSGVO nicht darauf an, ob der Betroffene für die Waren oder Dienstleistungen ein Entgelt bezahlt. Die Pflicht gilt sowohl für datenschutzrechtlich Verantwortliche als auch für Auftragsverarbeiter.
Checkliste: Muss ein Vertreter nach Art. 27 DSGVO benannt werden?
- Nicht in der EU niedergelassener Verantwortlicher oder Auftragsverarbeiter
- Datenverarbeitung steht im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen in der europäischen Union oder Beobachtung des Verhaltens betroffener Personen, soweit ihr Verhalten in der Union erfolgt.
- Die Datenverarbeitung nach 2) ist
a. nicht nur gelegentlich,
b. keine umfangreiche Verarbeitung besonderer Datenkategorien iSv. Art. 9 Abs. 1 oder
c. keine umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 und
d. die Verarbeitung führt unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem erheblichen Risiko für die Rechte und Freiheiten natürlicher Personen. - Die Pflicht zur Benennung eines Vertreters gilt nicht für Behörden oder öffentliche Stellen.
Aus der Checkliste ergibt sich, dass nicht in jedem Fall ein Vertreter zu benennen ist, sondern diese Pflicht durch die Ausnahmeregelung des Art. 27 Abs. 2 DSGVO entfallen kann. Aufgrund der unbestimmten Rechtsbegriffe in der durchzuführenden Risikoabschätzung nach Ziff. 3 lit. d kann die Beantwortung dieser Frage im Einzelfall schwierig werden. Eine Fehlbeurteilung kann zu einem Bußgeld nach Art. 80 Abs. 4 lit. a) DSGVO führen, da ein Verstoß gegen die Benennungspflicht bußgeldbewehrt ist.