Vertreter innerhalb der EU nach Art. 27 DSGVO

Die Bestimmungen der DSGVO finden nicht nur dann Anwendung, wenn personenbezogene Daten innerhalb der EU verarbeitet werden, sondern auch dann, wenn Daten durch nicht in der EU ansässige Unternehmen verarbeitet werden, von Personen, die sich in der EU befinden. Werden diesen betroffenen Personen innerhalb der EU Waren oder Dienstleistungen angeboten oder wird deren Verhalten innerhalb der EU beobachtet (insbesondere durch sog. Tracking von Internetaktivitäten), dann gilt für diese Personen ebenfalls der Anwendungsbereich der DSGVO (Art. 3 DSGVO).

Verantwortliche oder Auftragsverarbeiter, die nicht in der EU ansässig sind, aber innerhalb der EU Waren oder Dienstleistungen anbieten, müssen deswegen einen innerhalb der EU ansässigen Vertreter benennen. Dieser Vertreter dient in erster Linie als Anlaufstelle für Aufsichtsbehörden, damit die Einhaltung der DSGVO von EU-externen Unternehmen überprüft- und ggf. durchgesetzt werden kann. Der Vertreter kann aber auch betroffenen Personen bei Fragen im Zusammenhang mit der Verarbeitung von ihren personenbezogenen Daten als zusätzliche oder eigenständige Anlaufstelle dienen.

Die DSGVO sieht vor, dass der nicht in der EU ansässige Auftraggeber und der Vertreter einen schriftlichen Vertrag zur Benennung des Vertreters schließen (Art. 27 Abs. 1 DSGVO). Als Gegenstand der Vertretung sind in erster Linie folgende Pflichten des Vertreters zu regeln:

· Vorhaltung des vom Auftraggeber zur Verfügung gestellten Verarbeitungsverzeichnisses iSv Art. 30 Abs. 1 bzw. 2 DSGVO

· Führung des eigenen Verzeichnisses für Datenverarbeitungen, die seine Tätigkeit als Vertreter betreffen

· Zusammenarbeit mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben iSv Art. 31 DSGVO

· Bereitstellung von erforderlichen Informationen an Aufsichtsbehörden iSv Art. 58 Abs. 1 lit. a DSGVO

Vom Vertretenen, d.h. dem Auftraggeber ist der Name und die postalische Anschrift des Vertreters im Rahmen seiner Informationspflicht nach Art. 13, 14 DSGVO bereitzustellen.

Zu beachten ist, dass der Vertreter seine Aufgaben gegenüber dem Auftraggeber rein weisungsgebunden erfüllt. Eigener Entscheidungsspielraum steht dem Vertreter z.B. bei der Beantwortung von eingehender Korrespondenz nicht zu. Aus diesem Grund kann nach allgemeiner Ansicht der Datenschutzbeauftragte des zu vertretenden Unternehmens nicht gleichzeitig als dessen Vertreter nach Art. 27 DSGVO benannt werden, auch wenn er ansonsten die Voraussetzungen eines Vertreters im Sinne von Art. 4 Nr. 17 DSGVO erfüllt, nämlich eine in der EU niedergelassene natürliche oder juristische Person ist. Die Weisungsgebundenheit des Vertreters würde ansonsten in direktem Konflikt mit der gesetzlich geregelten Weisungsfreiheit des Datenschutzbeauftragten nach Art. 38 Abs. 3 S. 1 DSGVO stehen.

Wenn sie weitere Fragen zur Erforderlichkeit eines EU-Vertreters, gesetzlich geregelte Ausnahmen von der Bestellungspflicht oder zur Gestaltung eines Vertrags nach Art. 27 DSGVO haben, dann melden Sie sich gerne bei uns.

Autorin: Katharina Gündel - GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay