Zum Hauptinhalt springen

DSGVO EU-Vertreter

für Unternehmen ohne Niederlassung in der EU

Erweiterter Anwendungsbereich der DSGVO

Die DSGVO hat einen sehr weiten Anwendungsbereich: Unternehmen mit Geschäftstätigkeiten innerhalb der EU werden häufig Adressaten der DSGVO sein, selbst wenn sie nicht in der EU niedergelassen sind. Die DSGVO ist bereits anwendbar, wenn ein Nicht-EU-Unternehmen EU-Bürgern Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet.

Wer muss nach der DSGVO einen EU-Vertreter benennen?

Alle Unternehmen ohne Niederlassung in der EU, die EU-Bürgern Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten, müssen einen EU-Vertreter nach Art. 27 DSGVO benennen, unabhängig davon, ob die DSGVO sie als Verantwortliche oder Auftragsverarbeiter ansieht.

Die Schwelle ist hierbei sehr niedrig: Bereits das Anbieten einer an EU-Bürger ausgerichteten Website (bspw. aufgrund der Möglichkeit, Waren/Dienstleistungen in der EU zu bestellen, oder weil Währungen aus EU-Mitgliedsstaaten akzeptiert oder deren Sprachen verwendet werden) wird häufig das Erfordernis auslösen, einen EU-Vertreter zu benennen. Dasselbe gilt für jedes Tracking von EU-Bürgern, etwa mittels Cookie-Technologien oder Device Fingerprinting.

Pflichten und Rolle des Vertreters

Der EU-Vertreter soll als lokaler Ansprechpartner für EU-Bürger und Aufsichtsbehörden agieren und das Nicht-EU-Unternehmen in Bezug auf die ihm nach der DSGVO obliegenden Verpflichtungen vertreten. Die folgenden Anforderungen müssen erfüllt sein:

  • Der EU-Vertreter muss schriftlich benannt werden.
  • Der EU-Vertreter soll für das Nicht-EU-Unternehmen handeln und muss deshalb Vertretungsmacht besitzen.
  • Der EU-Vertreter muss ein Verarbeitungsverzeichnis (Artikel 30 DSGVO) bereithalten.
  • Der EU-Vertreter muss in einem EU-Mitgliedsstaat niedergelassen sein, in welchem sich auch Personen befinden, die von Handlungen des Unternehmens betroffen sind. Es muss nicht für jeden EU-Mitgliedsstaat ein eigener EU- Vertreter benannt werden.

One-Stop-Shop für Meldungen von Datenschutzverletzungen

Unternehmen, die einen EU-Vertreter benannt haben, profitieren von einem One Stop Shop bei der Meldung von Datenschutzverletzungen, die den Datenschutz-Aufsichtsbehörden nach Artikel 33 mitgeteilt werden. Grenzüberschreitend tätige Unternehmen ohne Niederlassung in der EU müssen sich anderenfalls - je nachdem, in welchen EU-Ländern Personen von der Datenschutzverletzung betroffen sind - an zahlreiche nationale Aufsichtsbehörden in der jeweiligen Landessprache wenden. Insbesondere vor dem Hintergrund, dass die Meldung im Regelfall binnen 72 Stunden erfolgen muss, stellt der One Stop Shop daher eine echte Erleichterung dar.

Bußgelder

Sollte ein Nicht-EU-Unternehmen seiner Verpflichtung, einen EU- Vertreter zu benennen, nicht nachkommen, können Bußgelder in Höhe von bis zu EUR 10.000.000 bzw. 2 % des weltweiten Unternehmens-Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.

Ein Verstoß gegen eine entsprechende Verpflichtung ist überdies leicht zu erkennen, da in Datenschutzerklärungen regelmäßig der Vertreter zu nennen ist; ist kein Vertreter benannt, liegt bereits hierin regelmäßig ein Verstoß gegen die Vorgaben der DSGVO.

Ausnahmen

Die Verpflichtung, einen EU- Vertreter zu benennen, gilt nicht für Fälle, denen der Gesetzgeber nur ein geringes Risiko für Persönlichkeitsrechte beimisst. Dies ist der Fall, wenn Verarbeitungen nur gelegentlich stattfinden, keine besonderen Kategorien personenbezogener Daten betreffen und höchstwahrscheinlich nicht zu einem hohen Risiko für die Rechte und Freiheiten Betroffener führen. All diese Bedingungen müssen kumulativ gegeben sein; deshalb ist es selten, dass ein in den räumlichen Anwendungsbereich der DSGVO fallendes Nicht-EU-Unternehmen von dieser Ausnahme profitieren wird.

Angebot für Kanzleien/Datenschutzberater

Gerne bieten wir unsere Dienstleistungen auch als Subunternehmer für Kanzleien und Datenschutzberater - sprechen Sie uns gerne an!
 

Kontakt aufnehmen