Benennung EU-Vertreter nach DSGVO

EU-Vertreter nach DSGVO


Wir sind Ihr fachkundiger Ansprechpartner und Unions-Vertreter gemäß Artikel 27 DSGVO in Deutschland.


Jetzt anfragen

Bekannt von

Warum ist ein EU-Vertreter zu benennen?

Gemäß Art. 27 der DSGVO müssen Unternehmen außerhalb der EU, die personenbezogene Daten von EU-Bürgern verarbeiten, unter bestimmten Umständen einen EU-Vertreter benennen. Dieser EU-Vertreter ist Ihre Schnittstelle zu den Datenschutzbehörden der Union und den betroffenen Personen. Er agiert als Ansprechpartner für Fragen zum Datenschutz und unterstützt Sie bei der Erfüllung Ihrer Verpflichtungen gemäß der DSGVO.

Das Marktortprinzip

Die DSGVO gilt gemäß Art. 3 der DSGVO nicht nur für Verantwortliche und Auftragsverarbeiter, die eine Niederlassung in der Union besitzen. Das europäische Datenschutzrecht ist nach der Vorschrift bereits dann einzuhalten, wenn sich das unternehmerische Angebot auf einen nationalen Markt in der EU richtet oder die Datenverarbeitung der Beobachtung des Verhaltens von Personen dient, die sich in der EU „befinden“. Ob es sich bei den in der Union "befindlichen" Personen um EU-Bürger handelt, ist hierbei nicht relevant.

Pflicht zur Benennung

Unternehmen ohne eigene Niederlassung in der EU sind nach Art. 27 DSGVO somit verpflichtet, einen EU-Vertreter zu benennen, wenn sie Waren oder Dienstleistungen auf einem europäischen Markt anbieten oder Tracking- und Profiling-Maßnahmen durchführen. Die Hürden zur Benennung eines EU-Vertreters liegen somit nicht hoch und die Anwendung der DSGVO, und damit auch der empfindlichen Sanktionen, entfalten ihre Wirkung auch gegenüber Unternehmen, die ausschließlich einen Unternehmenssitz außerhalb der EU aufweisen.

Art der Benennung

Die Benennung hat gemäß Art. 27 Abs. 1 DSGVO schriftlich zu erfolgen. Gemäß Art. 4 Nr. 17 DSGVO kann es sich bei dem Vertreter grundsätzlich um eine natürliche oder juristische Person mit einer Niederlassung in einem EU-Mitgliedsstaat handeln, auf den die Tätigkeit ausgerichtet ist. Kommen mehrere Mitgliedsstaaten in Betracht, besteht ein Wahlrecht. Eine besondere Qualifikation wird vom Gesetz zwar nicht explizit vorausgesetzt. Es liegt jedoch auf der Hand, dass analog zum externen DSB eine fachkundige Person zu benennen ist, die in der Lage ist, das Unternhemen bei der Erfüllung seiner Pflichten aus der Verordnung zu unterstützen.

Ausnahmen von der Benennungspflicht

Hier erfahren Sie, wann Sie keinen EU-Vertreter benennen müssen und welche Ausnahmen nach Art. 27 Abs. 2 DSGVO gelten

"Gelegentliche" Verarbeitung

Eine Ausnahme besteht, wenn eine Verarbeitung nur "gelegentlich" erfolgt und nicht die umfangreiche Verarbeitung sensibler Daten betrifft (vgl. Art. 9 und 10 DSGVO) und nicht zu einem Risiko für die Rechte und Freiheiten Betroffener führt, gem. Art. 27 Abs. 2 lit. a DSGVO.

Öffentliche Stellen und Behörden

Öffentliche Stellen und Behörden sind generell nicht zur Benennung eines EU-Vertreters verpflichtet, gem. Art. 27 Abs. 2 lit. b DSGVO.

Aufgaben und Funktionen des EU-Vertreters

Die Vertretung des Verantwortlichen oder Auftragsverarbeiters bezieht sich auf die Pflichten des Unternehmens, die sich aus der DSGVO ergeben.

Anlaufstelle für Behörden

Der Vertreter dient Datenschutz-Aufsichtsbehörden als Anlaufstelle bei sämtlichen Fragen zur Datenverarbeitung sowie der Einhaltung der Datenschutz-Grundverordnung.

Bindeglied zum Unternehmen

Der EU-Vertreter fungiert als vertetendes oder "zusätzliches" Bindeglied zu dem im Drittland niedergelassenen Unternehmen.  

Anlaufstelle für Betroffene

Er steht zudem den von der Verarbeitung Betroffenen als Anlaufstelle bei sämtlichen Fragen im Datenschutz zur Verfügung, welche die Verarbeitung oder Einhaltung der Verordnung betreffen.

Was heißt "insbesondere"?

Die genannten Aufgaben gelten nach Art. 27 Abs. 4 DSGVO "insbesondere": Es können zusätzliche Aufgaben vom EU-Vertreter übernommen werden.

Wissenwertes zum Unionsvertreter

Die wichtigsten Fragen und ANtowrten zur Benennung des EU-Vertreters nach DSGVO im Überblick

  • Besteht eine Haftung des EU-Vertreters?

    Der EU-Vertreter weist keine direkte Haftungsfunktion auf, so dass rechtliche Schritte, wie auch bei Unternehmen innerhalb der EU, sich im Falle von Verstößen grundsätzlich gegen den Verantwortlichen oder Auftragsverarbeiter in dem betreffenden Drittland richten, vgl. Art. 27 Abs. 5 DSGVO.

  • Müssen sich Dritte zuerst an den EU-Vertreter wenden?

    Nein. Sowohl Betroffene als auch Datenschutz-Aufsichtsbehörden haben ein Wahlrecht, sich bei Datenschutzverletzungen und anderen Anliegen an den EU-Vertreter oder direkt an das Unternehmen, mithin den Verantwortlichen oder Auftragsverarbeiter in dem betreffenden Drittland direkt zu wenden.

  • Welche Vorteile hat die Benennung für Unternehmen?

    Unternehmen haben einen fachkundigen Ansprechpartner für den Datenschutz in der EU, der sie bei allen Fragen und Problemen unterstützt. Ein EU-Vertreter ermöglicht zudem eine effektive Kommunikation mit den Datenschutzbehörden in der EU. Darüber hinaus kann ein EU-Vertreter das Vertrauen der Kunden stärken und potenzielle Bußgelder und rechtliche Konsequenzen vermeiden.

  • Wie viele EU-Vertreter braucht ein Unternehmen?

    Grundsätzlich ist ein Vertreter in der EU ausreichend, wenn das Unternehmen mehrere Niederlassungen in Drittstaaten hat. Unter Umständen sollte in Erwägung gezogen werden, mehrere Vertreter für verschiedene EU-Länder zu benennen. Das kann beispielsweise bei sehr umfassenden Verarbeitungsaktivitäten innerhalb der Union, aber auch bei sprachlichen Barrieren sinnvoll sein. Wir decken grundsätzlich den deutschsprachigen Raum (DE, AT, LU, BE).

  • Wann erfolgt eine Verarbeitung nur "gelegentlich"?

    Die "gelegentliche" Verarbeitung ist gleichbedeutend mit einer nur zeitlich begrenzten Verarbeitung, die im Umkehrschluss nicht regelmäßig oder permanent erfolgt. Beispielsweise kann ein in unregelmäßigen Abständen stattfindendes Event, bei dem eine Datenverarbeitung nicht der Kerntätigkeit zuzuordnen ist, von der Benennungspflicht ausgenommen sein.

  • Wann bezeichnet man eine Verarbeitung als "umfangreich"?

    Wann eine Verarbeitungstätigkeit als "umfangreich" gilt, bestimmt sich insbesondere nach den Faktoren Art, Umfang, Umstände und Zwecke der Verarbeitung. Indikatoren können eine hohe Anzahl an Datensätzen aber auch die Intensität der Verarbeitung oder Auswertung sein. Beispielsweise kann bei den meisten Software-Anwendungen sowie bei Tracking- oder Analyse-Technologien generell vom Ziel einer "umfangreichen" Verarbeitung ausgegangen werden, da diese auf die Verarbeitung einer hohen Anzahl von Daten ausgelegt sind.

Share by: