Mit diesem Beitrag wollen wir die Notwendigkeit der Bestellung eines EU-Representatives beleuchten und die mit dieser Stellung verbunden Verantwortlichkeiten darstellen, die sich aus dieser Position ergeben. Zum einen gehen wir auf die Aufgaben des Vertreters sowie des Vertretenen ein und thematisieren die Haftung.
Der Inhalt im Überblick
Wann brauche ich einen EU-Representative?
Der Vertreter nach Art. 27 Abs. 1 DSGVO oder auch EU-Representative benannt, wird immer dann benötigt, wenn der Vertretene, seines Zeichens ein Verantwortlicher nach Art. 4 Nr. 7 DSGVO oder ein Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO keine Niederlassung in der EU, mithin im Geltungsbereich der DSGVO hat, sondern vielmehr in einem Drittstaat. Der Vertretene nach dem in Art. 3 Abs. 2 DSGVO verankerten Marktortprinzip aber gleichwohl in der EU Waren oder Dienstleistungen an betroffene natürliche Personen anbietet oder deren Verhalten in der EU beobachtet.
- Es muss also eine zielgerichtete Verarbeitung personenbezogener Daten betroffener Personen, die sich in der EU befinden, vorliegen, unabhängig von deren Staatsangehörigkeit/Rechtsstatus (EG 14) und
- die konkrete Datenverarbeitung muss sich auf das Anbieten von Waren oder Dienstleistungen (auch unentgeltlich) oder Verhaltensbeobachtung in der EU beziehen.
Zielgerichtete Datenverarbeitung in der EU
Soweit die Waren und Dienstleistungen an Personen außerhalb der EU angeboten werden oder die Verhaltensbeobachtung außerhalb der EU erfolgt, ist das auch dann irrelevant, wenn die natürliche Person in die EU einreist und ihr die Waren und Dienstleistungen weiterhin zur Verfügung gestellt werden bzw. die Verhaltensbeobachtung weiterhin erfolgt. Der Verantwortliche oder Auftragsverarbeiter muss vielmehr offensichtlich beabsichtigen, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten (EG23), die reine Zugänglichkeit in der EU ist hierfür nicht ausreichend.
Für die Zielgerichtetheit einer Datenverarbeitung ist auf deren Zwecke und Mittel abzustellen, die von dem Verantwortlichen bestimmt werden. Insoweit muss bei einem Auftragsverarbeiter untersucht werden, ob dessen Aktivitäten mit den gezielten Tätigkeiten des Verantwortlichen im untrennbaren Zusammenhang stehen.
Sowohl der nicht in der EU ansässige Verantwortliche als auch der Auftragsverarbeiter müssen deren eigene nationale Vorschriften einhalten und wenn Sie Art. 3 Abs. 2 DSGVO unterfallen zudem die datenschutzrechtlichen Bestimmungen, wie sich diese aus der DSGVO ergeben.
Keine EU-Niederlassung vorhanden
Der Verantwortliche und der Auftragsverarbeiter, die zielgerichtet Waren und Dienstleistungen an Betroffene in der EU anbieten bzw. deren Verhalten beobachten, dürfen keine Niederlassung in der EU haben. In Art. 4 Abs. 16 DSGVO ist der Begriff Hauptniederlassung definiert. Dieser Begriff ist jedoch nicht identisch mit dem in Art. 3 DSGVO verwendeten Begriff der Niederlassung. Als Niederlassung ist in diesem Zusammenhang nicht nur der Ort zu verstehen, an dem das Unternehmen seinen Sitz oder sein Gewerbe eingetragen hat, vielmehr kann das jeder Ort sein, an dem eine tatsächliche und effektive Tätigkeit des Unternehmens mittels einer festen Einrichtung ausgeführt wird. Wobei die Tätigkeit auch geringfügig sein kann.
Ausnahmen von der Benennungspflicht
Ein EU-Representative ist gem. Art. 27 Abs. 2 DSGVO dann nicht erforderlich, wenn die Datenverarbeitung als zeitliche Komponente nur gelegentlich, d.h. vereinzelt und mit der qualitativen Komponente, d.h. keine umfangreiche Datenverarbeitung von Daten im Sinne von Art. 9 Abs. 1 und Art. 10 DSGVO, erfolgt und diese mit einer Prognoseentscheidung für ein geringes Risiko einhergeht.
Wie erfolgt die Benennung zum EU-Representative?
In Art. 4 Nr. 17 DSGVO ist der Vertreter, will heißen der EU-Representative, wie er in Art. 27 Abs. 1 DSGVO vorgesehen ist, definiert. Die unterschiedliche Wortwahl der Bestellung in Art. 4 Nr. 17 DSGVO und der Benennung in Art. 27 Abs.1 DSGVO ist in gleichem Sinne gemeint. Die Benennung muss jedoch ausdrücklich, d.h. nicht konkludent erfolgen, wie sich das aus Art. 27 Abs. 1 DSGVO i.V.m. EG 80 ergibt und schriftlich aus Gründen der Beweisbarkeit und Rechtssicherheit. Weiterhin strittig ist, ob die gesetzliche Schriftform nach §§ 126, 126 a BGB erforderlich ist oder ob ggf. die Textform gem. § 126 b BGB ausreichend wäre.
Wesentlich ist, dass die Information über den EU-Representative für Externe jedoch leicht zugänglich ist. Dies geschieht etwa auf der Website, allerdings besteht keine proaktive Meldepflicht gegenüber den Aufsichtsbehörden. Auf Nachfrage muss aber gem. Art. 31, 58 Abs. 1 lit. a DSGVO der Vertreter gegenüber der Aufsichtsbehörde benannt werden.
Der Umfang der Befugnisse eines EU-Representatives ergibt sich aus Art. 27 Abs. 4 i.V.m. EG 80 S. 5. Im Gegensatz zum Datenschutzbeauftragten ist er grundsätzlich weisungsgebunden und dient als Anlaufstelle (EG 80 S. 2) für Aufsichtsbehörden und Betroffenen, des Weiteren soll er im Namen des Vertretenen tätig werden. Erklärungen, die gegenüber dem EU-Representative für den Vertretenen abgegeben werden, müssen als unmittelbar wirksam gelten, sonst würde die Regelung ins Leere laufen. Allerdings muss noch geklärt werden, ob der Vertreter nach Art. 27 DSGVO tatsächlich als Vertreter im Sinne von § 164 BGB handelt. Jedenfalls muss der Vertrag zwischen Vertretenem und Vertreter im Innenverhältnis die Aufgaben und Befugnisse klar regeln.
Welche Aufgaben treffen den EU-Representative?
Was der Vertreter als Anlaufstelle konkret zu machen hat, ergibt sich zum einen aus Art. 27 Abs. 4 DSGVO i.V.m. EG 80 S. 5 sowie aus dem Vertrag mit dem Vertretenen. Im Wesentlichen handelt es sich hierbei um folgende Aufgaben:
- Führen und Vorlage eines Verarbeitungsverzeichnisses Art. 27 Abs. 4 und 30 Abs. 4 DSGVO
- Pflicht zur Bereitstellung der Inhalte der Auskünfte und die Pflicht zur unmittelbaren Vorlage nach Art. 27 Abs. 4 DSGVO an die Aufsichtsbehörden
- Auskunftspflicht gegenüber den Behörden Art. 58 Abs. 1 lit. a DSGVO
- Ansprechpartner für Behörden und Betroffene auch in Bezug auf die Durchsetzung von Rechtsvorschriften nach Art. 50 DSGVO
Praktisch bedeutet dies, dass der Vertretene dem EU-Representative den Zugriff auf die Verzeichnisse in der aktuellen Fassung geben muss, denn verantwortlich für den primären Inhalt des Verarbeitungsverzeichnisses ist nach der EDSA (Europäischer Datenschutzausschuss) der Vertretene. Der EU-Representative muss dieses nur jederzeit vorlegen können. Der Vertreter muss seine Aufgaben entsprechend dem Vertrag mit dem Vertretenen erfüllen, hierzu gehört, dass er in Bezug auf die Einhaltung der Verordnung und die zu treffenden Maßnahmen mit den Aufsichtsbehörden zusammenarbeiten muss, d.h. der Vertreter muss in der Lage sein, den Informations- und Verfahrensaustausch zwischen Vertretenem und Aufsichtsbehörde zu führen.
Auswahl und Fachkunde des EU-Representatives
Vertreter kann sowohl eine natürliche als auch eine juristische Person sein, die in der EU niedergelassen ist, wie sich dies aus der Legaldefinition in Art. 4 Nr. 17 DSGVO ergibt.
Eine besondere Fachkunde wird derzeit von der DSGVO nicht verlangt. Nicht möglich ist, dass die Vertretung von dem Datenschutzbeauftragten übernommen wird, da dieser gem. Art. 38 Abs. 3 DSGVO weisungsfrei agiert. Wesentlich für die Funktionsausübung ist jedoch, ob der Vertreter
- vertrauenswürdig ist und über die
- persönlichen Fähigkeiten sowie die
- organisatorische Ausstattung
verfügt, die Pflichten eines EU-Representatives sachgerecht zu erfüllen.
Welche Aufgaben hat der Vertretene?
Bestellt ein Verantwortlicher oder Auftragsverarbeiter, der seinen Sitz nicht in der EU hat, einen Vertreter, so treffen ihn die folgenden Pflichten:
- Informationspflicht gegenüber Betroffenen nach Art. 13 Abs. 1 Nr. a oder Art. 14 Abs. 1 Nr. a DSGVO
- Führen des Verarbeitungsverzeichnisses Art. 30 DSGVO
- Zusammenarbeit mit der Aufsichtsbehörde Art. 31 DSGVO
Wegen der Stellung des Art. 27 DSGVO in dem Abschnitt I Kapitel IV „Allgemeine Bestimmungen“ ergibt sich, dass die Verletzung der Pflicht zur Vertreterbestellung gem. Art. 83 Abs. 4 DSGVO zu einem Bußgeld führen kann.
Die Haftung des EU-Representatives
Grundsätzlich haftet der EU-Representative nicht für den Vertretenen, jedoch ist Art. 27 Abs. 5 DSGVO so zu verstehen, dass rechtliche Schritte nicht nur gegenüber dem Vertretenen, sondern auch gegenüber dem EU-Representative eingeleitet werden können. Allerdings besteht keine substitutive Haftung des Vertreters anstelle des Vertretenen, so dass der Vertretene sich einer Haftung nicht dadurch entziehen kann, weil er einen Vertreter bestellt. Jedoch sollen die Aufsichtsbehörden in die Lage versetzt werden, gegenüber dem nicht in der EU ansässigen Vertretenen Durchsetzungsverfahren einzuleiten. Dies umfasst daher auch Abhilfemaßnahmen und Geldbußen, die an den Vertretenen gerichtet sind.
Eine unmittelbare Haftung des EU-Representative ist nur in den Fällen begründet, in denen er seinen eigenen primären Obliegenheitsverpflichtungen aus Art. 30 und 58 Abs. 1 DSGVO nicht nachkommt.
Art. 27, 3 DSGVO gewährleisten im Zusammenspiel einen umfassenden Schutz der Betroffenenrechte in der EU aber auch in Bezug auf Datenströme von exterritorialen Verantwortlichen und Auftragsverarbeitern außerhalb der EU deren Datenverarbeitung einen zielgerichteten Bezug zu natürlichen Personen in der EU aufweist.
Moin Dr. Datenschutz,
nur kurz z.K., dass mit dem Brexit es nun auch gm Art 27 UK GDPR eine entsprechende Pflicht zur Bestellung eines UK Representative gibt. Das kann dann auch das eine oder andere EU-Unternehmen treffen, sofern dieses UK-Daten verarbeitet und keine Niederlassung vor Ort hat, siehe dp-dock.com . Auch Serbien hat den Serb-Representative eingeführt… weiß nur keiner ;-)
viele Grüße, auch an Nils Haag
AB