Vertreter in der Europäischen Union (Datenschutz-Grundverordnung)
Nicht in der Europäischen Union niedergelassene Verantwortliche oder Auftragsverarbeiter sind nach Art. 27 der Datenschutz-Grundverordnung verpflichtet, einen Vertreter in der Europäischen Union (auch Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern oder Artikel-27-Vertreter) zu bestellen, wenn sie personenbezogene Daten von in der EU ansässigen Personen verarbeiten.
Zweck
Der Zweck der Pflicht zur Benennung eines Vertreters in der Europäischen Union liegt darin, dass die Aufsichtsbehörden für ausländische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, eine Anlaufstelle für die Kontaktaufnahme und für mögliche „Durchsetzungsmaßnahmen“ erhalten.[1]
Erfordernis
Jeder außerhalb der Europäischen Union niedergelassene Verantwortliche oder Auftragsverarbeiter, auf den die Datenschutz-Grundverordnung nach Art. 3 Abs. 2 DSGVO Anwendung findet, ist gemäß Art. 27 DSGVO verpflichtet, einen Vertreter in der Europäischen Union zu bestellen.
Die Bestellung eines Vertreters in der Europäischen Union ist nicht erforderlich, wenn die Datenverarbeitung nur gelegentlich erfolgt, nicht in größerem Umfang sensible Daten im Sinne des Art. 9 DSGVO (beispielsweise Gesundheitsdaten) enthält und unter Berücksichtigung von Art, Umständen, Umfang und Zwecken der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Außerdem ausgenommen sind ausländische Behörden.
Bestellung
Vertreter kann grundsätzlich jede in der EU niedergelassene natürliche oder juristische Person sein. Der Vertreter darf für die gesamte EU oder für einen oder für mehrere Mitgliedstaaten benannt werden. Er muss sich jedoch nach Art. 27 Abs. 3 DSGVO in einem Mitgliedsstaat befinden, in dem sich Betroffene befinden, deren Daten (auch) verarbeitet werden. Mehrere verantwortliche Stellen dürfen auch die gleiche Person als Vertreter benennen, solange sich daraus keine Interessenkollision ergibt. Die Bestellung hat schriftlich zu erfolgen, dabei ist das Einhalten der Textform (E-Mail) ausreichend.[2]
Der Vertreter muss nach Art. 13 Abs. 1 Nr. 1 DSGVO in der Datenschutzerklärung angegeben werden.
Zu unterscheiden ist der Vertreter nach Art. 27 DSGVO vom Datenschutzbeauftragten. Es wird vertreten, dass der Vertreter nicht gleichzeitig Datenschutzbeauftragter sein könne, da er weisungsgebunden ist, der Datenschutzbeauftragte jedoch unabhängig handelt.[3]
Aufgaben
Der Vertreter fungiert innerhalb der Europäischen Union als Anlaufstelle des Unternehmens, an die sich Betroffene und Aufsichtsbehörden im Zusammen mit der Verarbeitung personenbezogener Daten wenden können. Des Weiteren hat der Vertreter die Aufgabe, den Verantwortlichen in Bezug auf die diesem nach der Datenschutz-Grundverordnung obliegenden Pflichten zu vertreten, insbesondere in Bezug auf Betroffenenrechte (Auskunft, Löschung etc.). Er ist dabei wie erwähnt an das Mandat des Auftraggebers gebunden.
Dabei kann sich der Vertreter jedoch nicht nur auf eine Durchleitung von Auskünften seines jeweiligen Auftraggebers an die Aufsichtsbehörde oder den Betroffenen beschränken. Denn er ist daneben gegenüber der Aufsichtsbehörde, auch auskunftspflichtiger Adressat aufsichtsbehördlicher Durchsetzungsverfahren, insbesondere wenn sein Auftraggeber gegen gesetzliche Pflichten verstößt (s. u.).[4]
Im deutschen Recht ist die Stellung des Vertreters im Zivilprozess in § 44 Abs. 3 Bundesdatenschutzgesetz konkretisiert. Danach gilt der Vertreter für Klagen von Betroffenen wegen eines Verstoßes gegen die Datenschutz-Grundverordnung als zustellungsbevollmächtigt.
Der Vertreter führt schließlich nach Art. 30 Abs. 1 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten für alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen.[5]
Praxis
Spezialisierte Rechtsanwaltskanzleien und IT-Beratungsunternehmen bieten die Tätigkeit als Vertreter als Dienstleistung an und vertreten unter Umständen viele ausländische Unternehmen gleichzeitig.
Haftung
Setzt der Vertreter sich über das Mandat des Auftraggebers hinweg, macht er sich im Innenverhältnis haftbar; der Auftraggeber muss sich das Handeln seines Vertreters allerdings zurechnen lassen. Im Außenverhältnis ist der Vertreter nur dann Adressat aufsichtsbehördlicher Bußgelder, wenn er selbst gegen das Datenschutzrecht verstößt;[6] ansonsten fungiert er lediglich als Vertreter des Verantwortlichen ohne eigene Haftung.[7] Dies gilt auch für zivilrechtliche Schadensersatzansprüche von Betroffenen.
Einzelnachweise
- ↑ Erwägungsgrund 80; Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 8.
- ↑ Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 16; unsicher Kühling/Buchner/Hartung, DS-GVO BDSG, 2. Aufl. 2018, Art. 27 Rn. 13.
- ↑ Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 6; Taeger/Gabel/Lang, 3. Aufl. 2019, Art. 27 Rn. 37.
- ↑ Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 41 ff.
- ↑ Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 38.
- ↑ Kühling/Buchner/Hartung, DS-GVO BDSG, 2. Aufl. 2018, Art. 27 Rn. 18.
- ↑ Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 10, 32 ff.; Kühling/Buchner/Hartung, DS-GVO BDSG, 2. Aufl. 2018, Art. 27 Rn. 23 f.