Datenschutz EU-Vertreter nach

Art. 27 DSGVO

Datenschutz EU-Vertreter

Die Anwendbarkeit des Europäischen Datenschutzrechts hängt nicht allein davon ab, ob ein Unternehmen seinen Sitz innerhalb der Europäischen Union hat. Auch Unternehmen z.B. mit Sitz in einem Drittstaat, z.B. USA, China, Kanada, Israel, Schweiz etc.  müssen die Europäische Datenschutz-Grundverordnung beachten, wenn sie betroffenen Personen innerhalb der EU-Waren oder Dienstleistungen anbieten oder ihr Verhalten innerhalb der EU beobachten. In derartigen Konstellationen verlangt die Datenschutz-Grundverordnung (DSGVO) von außereuropäischen Unternehmen, dass diese einen Datenschutz Vertreter EU nach Art. 27 DSGVO  benennen. 

 

 

kurz zusammengefasst:

  • Die Europäische Datenschutz-Grundverordnung kann auch für Unternehmen mit Ansässigkeit im Drittstaat unmittelbare Anwendung finden (sog. Marktortprinzip).
  • Unternehmen mit Niederlassung im Drittstaat müssen einen Datenschutz Vertreter EU bestellen nach Art. 27 DSGVO, wenn sie EU-Bürgern Waren oder Dienstleistungen anbieten oder ihr Verhalten innerhalb der EU beobachten
  • Der Datenschutz EU-Vertreter ist direkte Anlaufstelle für betroffene Personen (EU-Bürger), ist Adressat für die Aufsichtsbehörden und ist befugt als Zustellungsbevollmächtigter Anträge, Schriftstücke, Auskunftsersuchen und behördliche Anweisungen entgegenzunehmen
  • Der Datenschutz EU-Vertreter nach Art. 27 DSGVO unterstützt darüber hinaus bei der Einhaltung übrigen Datenschutz-Pflichten, z.B. Verzeichnis von Verarbeitungstätigkeiten, Einhaltung de Informationspflichten, etc.  
  • Neben der Vermeidung von Bußgeldrisiken fördert die Benennung eines Datenschutzvertreters die Visibilität der Compliance-Bemühungen in den lokalen Märkten

jetzt kostenloses erstgespräch vereinbaren!

Sie benötigen eine EU-Vertreter nach oder haben einen besonderen Handlungsbedarf im Datenschutz?

Kontaktieren Sie uns für ein unverbindliches Gespräch!

Zum Kontaktformular

Geeignet für:

Einzelunternehmen

Start-Ups

Vereine

Kleine und mittelständische Unternehmen

Multinationale Konzerne

Was ist ein EU-Vertreter nach DSGVO?

Der Datenschutz Vertreter EU nach Art. 27 DSGVO dient als zentrale Anlaufstelle für betroffene Personen und Aufsichtsbehörden bei sämtlichen Fragen zur Verarbeitung personenbezogener Daten, um diesen einen direkten Ansprechpartner innerhalb der EU bereitzustellen. Bei einem Datenschutz EU-Vertreter handelt es sich um eine in der EU ansässige natürliche oder juristische Person, die von einem außereuropäischen Unternehmen bestellt wurde. Der EU-Vertreter vertritt das im Drittstaat niedergelassene Unternehmen (Verantwortlicher oder Auftragsverarbeiter) in Bezug auf die ihnen jeweils nach der DSGVO obliegenden Pflichten. Die Idee hinter der Benennung eines Datenschutz EU-Vertreter nach Art. 27 DSGVO ist die verbesserte  internationale Durchsetzung der DS-GVO zu erhöhen.

Datenschutzberatung

Welche Aufgaben erfüllt ein Datenschutz Vertreter EU? 

Der Datenschutz EU-Vertreter nach Art. 27 DSGVO repräsentiert Unternehmen ohne Sitz der Europäischen Union. Er beantwortet sämtliche Fragen im Zusammenhang mit Datenverarbeitungen des außereuropäischen Verantwortlichen oder des Auftragsverarbeiters. Der EU-Vertreter ist direkte Anlaufstelle für betroffene Personen, ist Adressat für die Aufsichtsbehörden und ist befugt als Zustellungsbevollmächtigter Anträge, Schriftstücke, Auskunftsersuchen und behördliche Anweisungen entgegenzunehmen. Darüber hinaus obliegen dem Datenschutz EU-Vertreter nach Art 27 DSGVO folgende  Aufgaben:  

  • Dokumentation von Datenschutzverletzungen 
  • Bearbeitung von Betroffenenanfragen
  • Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO)
  • Dokumentation von Auftragsverarbeitungsprozessen (Art. 30 Abs. 2 DSGVO)
  • Zur Verfügung stellen des Verzeichnisses auf Anfrage der Behörde  (Art. 30 Abs. 4 DSGVO)
  • Erstellung von Datenschutzerklärungen (Art. 13 DSGVO)
  • Korrespondenz und Zusammenarbeit mit der Aufsichtsbehörde (Art 31 DSGVO)

Wer kann als EU-Vertreter nach DSGVO bestellt werden?

Es kann sowohl eine natürliche Person als auch eine juristische Person als Datenschutz Vertreter EU nach Art. 27 DSGVO benannt werden. Diese Person muss in einem der EU-Mitgliedstaaten niedergelassen sein. Die DSGVO stellt keine berufliche Mindestqualifikationen an den EU-Vertreter. Vor dem Hintergrund, dass der EU-Vertreter als Anlaufstelle für Aufsichtsbehörden und Betroffene fungiert, sollte dieser jedoch über fundiertes und nachweisbares Fachwissen auf dem Gebiet des Datenschutzrechts verfügen. Auf diese Weise ist es dem EU-Vertreter möglich seine Pflichten zuverlässig zu erfüllen und eingehende Anfragen rechtzeitig und hinreichend zur beantworten. Schließlich birgt der Erhalt (und die nicht hinreichende Bearbeitung) von Anfragen schwerwiegenden rechtlichen Risiken und potenzielle Haftungsfälle für das vertretene Unternehmen. 

 

 

Externe Datenschutzbeauftragte vor Laptop

In welcher Form muss die Benennung des EU-Vertreters erfolgen?

Der EU-Vertreter nach Art. 27 DSGVO muss ausdrücklich und schriftlich benannt werden. An die Ausgestaltung der Benennung zum Beispiel hinsichtlich der Dauer der Benennung, eines möglichen Widerrufs oder einer Kündigung sind keine besonderen Anforderungen gestellt. Es sollte eine klare Trennung zwischen Benennung und dem zu Grunde liegenden Vertragsverhältnis erkennbar sein. In der Praxis kann die Funktion des Datenschutzvertreters auf der Grundlage eines Dienstleistungsvertrags ausgeübt werden. Darin sollten insbesondere die Verantwortlichkeiten, Aufgaben und Befugnisse geregelt werden, die dem EUVertreter nach Art. 27 DSGVO obliegen. Eine Meldung der Benennung an die Aufsichtsbehörden ist nicht erforderlich. Der EU-Vertreter sollte in der Datenschutzerklärung sowie in dem Verzeichnis von Verarbeitungstätigkeiten benannt werden. 

Welche Unternehmen benötigen einen EU-Vertreter nach Art. 27 DSGVO?

Jedes Unternehmen mit Ansässigkeit in einem Drittstaat benötigt einen EU-Vertreter nach Art. 27 DSGVO, wenn es

  • über keine Niederlassung in der Europäischen Union verfügt und
  • Personenbezogene Daten von EU-Bürgern verarbeitet und
  • seine Geschäftsaktivitäten auf den EU-Markt ausrichtet, insbesondere:
    • das Anbieten von Waren und Dienstleistungen (siehe Beispiel 1)
    • das Verhalten von in der EU befindlichen Personen beobachtet (siehe Beispiel 2)
Datenschutz Vertreter EU
Datenschutz Vertreter EU

Gibt es Ausnahmen von der Pflicht zur Benennung eines EU-Vertreters nach Art. 27 DSGVO?

Nicht jedes außereuropäische Unternehmen ist zur Bestellung eines EU-Vertreters nach Art. 27 DSGVO verpflichtet. Denn die DSGVO sieht einige Ausnahmen vor. Demnach ist die Benennung eines EU-Repräsentanten nicht erforderlich, wenn die Datenverarbeitung

  • nur gelegentlich erfolgt,
  • nicht in größerem Umfang sensible Daten im Sinne des Art. 9 Abs. 1 EU-DSGVO (z.B. Angaben über die rassische oder ethnische Herkunft, Gesundheitsdaten oder genetische Daten),
  • nicht in größerem Umfang sensible Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 EU-DSGVO umfasst und
  • unter Berücksichtigung von Art, Umständen, Umfang und Zwecken der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.
  • Es handelt sich um eine Behörde oder öffentliche Stellen

Jedes außereuropäische Unternehmen muss seine Datenverarbeitungen unter Berücksichtigung der konkreten Umstände des Einzelfalls beurteilen. Bei der Prüfung der marktortbezogenen Kriterien im Hinblick auf eine unionsbezogene Verhaltensbeobachtung oder ein unionsbezogenes Produktangebot lohnt sich ein Blick in die Leitlinie zum räumlichen Anwendungsbereich des Europäischen Datenschutzausschusses

Marktortprinzip anwendbar: Welche Datenschutz-Pflichten ergeben sich für mein Unternehmen? 

Ergibt sich aus Art. 3 Abs. 2 eine Anwendung der Datenschutz-Grundverordnung, hat das im Drittstaat niedergelassene Unternehmen (Verantwortlicher bzw. der Auftragsverarbeiter) nach  Art. 27 DSGVO schriftlich einen Vertreter in der Union zu benennen. Darüber hinaus muss das außereuropäische Unternehmen (zusammen mit seinem EU-Vertreter) die folgenden Datenschutz-Pflichten erfüllen:

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten:

Alle datenschutzrelevanten Geschäftsprozesse mit Bezug auf den EU-Markt sind zu dokumentieren und fortlaufend zu aktualisieren (Art. 30 Abs.1 und Abs. 2 DSGVO).

Datenschutzerklärungen erstellen:

Die in der EU befindlichen betroffenen Personen sind mittels Datenschutzerklärung über die bevorstehende Datenverarbeitung zu informieren (Art. 13 DSGVO). 

Technische und organisatorische Maßnahmen (TOM) implementieren:

Der Schutz von personenbezogenen Daten muss mithilfe von Sicherheitsmaßnahmen sichergestellt werden. Je nach Digitalisierungsgrad und Ausgestaltung der Prozesse denkbare Maßnahmen: Firewalls, Endgeräte-Verschlüsselung, Passwortschutz, Multifaktor Authentifizierung, Double-Opt-In-Verfahren, etc. 

Einwilligungen dokumentieren:

Einwilligungserklärungen müssen die datenschutzrechtlichen Anforderungen erfüllen. Die erteilten Einwilligungen sollten entsprechend systemseitig dokumentiert werden, um der Nachweispflicht Sorge zu tragen.  

Auftragsverarbeiter managen:

Soweit für die marktortbezogenen Prozesse externe Dienstleister im Auftrag personenbezogene Daten verarbeitet werden, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden.  

Unterschied zwischen dem Datenschutzbeauftragten und einem EU-Vertreter

Ein EU-Vertreter ist nicht mit dem Datenschutzbeauftragten im Sinne von Art. 37 DS-GVO gleichzusetzen. Beide haben unterschiedliche Aufgaben und Pflichten: Ein Datenschutzbeauftragter berät das Unternehmen in Datenschutzfragen, ist nicht weisungsgebunden und soll die Compliance-Kultur innerhalb der verantwortlichen Stelle fördern. Der EU-Vertreter ist lediglich eine Anlaufstelle, die dem Mandat und den Anweisungen des Verantwortlichen unterliegt. Er steht für Anfragen und Beschwerden zur Verfügung und kann Verarbeitungstätigkeiten und Auftragsverarbeitungen dokumentieren.

Welche Strafen drohen, wenn kein EU-Vertreter nach Art. 27 DSGVO benannt wurde?

Die Pflicht zur Bestellung eines Vertreters innerhalb der EU ist in der DSGVO – in Abweichung von der Regelung der DSRL – strafbewehrt. Ein Verstoß gegen die Benennungspflicht des Art. 27 kann gem. Art. 83 Abs. 4 lit. a mit einer Geldstrafe von bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2 % des gesamten im vorangegangenen Jahr durch das Unternehmen weltweit erzielten Jahresumsatzes sanktioniert werden, je nachdem, welcher der Beträge höher ist.

Kosten Datenschutzbeauftragter

FAQ Datenschutz Vertreter EU:

Kann die EU-DSGVO auch für Unternehmen mit Sitz außerhalb der EU anwendbar sein?

Ja, mit der Datenschutz-Grundverordnung (DSGVO) wird der räumliche Anwendungsbereich des europäischen Datenschutzrechts auf Drittstaaten ausgeweitet. Durch das sogenannte Marktortprinzip müssen Vorgaben der EU-DSGVO auch Unternehmen ohne Niederlassung in der EU eingehalten werden. 

Wozu ein EU-Vertreter nach Art. 27 DSGVO?

Der EU-Vertreter ist direkte Anlaufstelle für betroffene Personen und die Datenschutz-Aufsichtsbehörden. Der Datenschutzvertreter unterstützt bei der fristgerechten und inhaltlich korrekten Beantwortung von datenschutzrechtlichen Anfragen und behördliche Anweisungen. 

Wann ist ein EU-Vertreter nach Art. 27 DSGVO erforderlich?

Unternehmen ohne Niederlassung in der EU müssen einen EU-Vertreter nach Art. 27 DSGVO benennen, wenn für sie die DSGVO aufgrund des sog Marktortprinzips Anwendung findet. Dies ist der Fall, wenn das außereuropäische Unternehmen seine Waren und Dienstleistungen auf dem europäischen Markt anbietet oder das Verhalten von in der EU befindlichen Personen beobachtet. 

Wie viele EU-Vertreter nach Art. 27 DSGVO braucht mein Unternehmen?

Grundsätzlich wird nur ein EU-Vertreter benötigt, auch wenn das außereuropäische Unternehmen seine Waren- und Dienstleistungen in mehreren EU-Staaten anbietet.

Welche Auswahlkriterien sollten für den Vertreter gelten?

Ein DSGVO-konformer Vertreter muss selbst seinen Sitz innerhalb der EU haben und er muss für Anfragen von Aufsichtsbehörden oder Betroffenen auch tatsächlich erreichbar sein. Zudem empfiehlt es sich, bei ihm auf eine angemessene Qualifikation im Datenschutzumfeld zu achten, da bei einer falschen Einschätzung der Dringlichkeit oder Wichtigkeit einer Anfrage schnell Verstöße gegen die DSGVO und damit hohe Bußgelder drohen können.

Kontaktieren Sie uns!

gerne beantworten wir ihre fragen zum thema datenschutz und it-sicherheit.

hier unverbindlich anfragen

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Querstraße 2
65203 Wiesbaden

Telefon

+49 611 445 010 04

e-mail

kontakt@alphatech-consulting.de

Wir arbeiten zertifiziert

Social Media