Zu Content springen
Deutsch – Schweiz
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Was ist eine «EU-Vertretung» im Sinne der EU-DSGVO?

Zur Orientierung: Um (erfahrungsgemäss aufgekommenden) Missverständnissen vorzubeugen ist zunächst klarzustellen, dass das Konzept einer «EU-Vertretung» ausschliesslich von der DSGVO-Seite zu betrachten ist. Für die Schweiz gibt es ein ähnliches, jedoch völlig Schweiz-eigenes (und für dieses Thema nicht relevantes) Konzept, das in Artikel 14 (Vertretung) nDSG normiert ist.

Im Rahmen der Schaffung eines einheitlichen europäischen Datenschutzstandards ist die EU-DSGVO nicht nur für Dienstleister mit Niederlassungen in der EU bzw. im EWR, sondern darüber hinaus anwendbar.

Dies wird in Artikel 3 (Räumlicher Anwendungsbereich) DSGVO festgelegt, wo es heisst:

« (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

  1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
  2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

(3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. »

Eine EU-Vertretung ist eine in der EU niedergelassene «natürliche» oder «juristische» Person, die von einem nicht in der EU ansässigen «Verantwortlichen» oder »Auftragsbearbeiter» als deren jeweilige Vertretung bestellt wurde, um deren entsprechenden DSGVO-Obliegenheiten erfüllen zu können.

Somit agiert die EU-Vertretung als Anlaufstelle für Aufsichtsbehörden und betroffene (EU) Personen im entsprechenden Mitgliedstaat für sämtliche Fragestellungen im Zusammenhang mit Datenbearbeitungen des Verantwortlichen oder des Auftragsverarbeiters.

Verglichen mit einem in der EU bestellten «Datenschutzbeauftragten» grenzt sich ein EU-Vertreter von einem Datenschutzbeauftragten gerade dadurch ab, dass das Aufgabenfeld eines «Datenschutzbeauftragten» wesentlich umfangreicher ist.

Artikel 27 DSGVO, in Verbindung mit dem (zwar unverbindlichen aber dennoch äusserst wichtigen) Erwägungsgrund 80 der DSGVO, ist hier sowohl die massgebliche Normierung als auch wesentliche Orientierung bei der Festlegung vom Erfordernis einer EU-Vertreter-Benennung. Dort heisst es:

Artikel 27 (Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern) DSGVO

«(1) In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.

(2) Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für

  1. eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, [...]

(3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.

(4) Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere fürAufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.

(5) Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.»

Erwägungsgrund 80 (Zur Benennung einer EU-Vertretung) DSGVO

« 1 Jeder Verantwortliche oder Auftragsverarbeiter ohne Niederlassung in der Union, dessen Verarbeitungstätigkeiten sich auf betroffene Personen beziehen, die sich in der Union aufhalten, und dazu dienen, diesen Personen in der Union Waren oder Dienstleistungen anzubieten – unabhängig davon, ob von der betroffenen Person eine Zahlung verlangt wird – oder deren Verhalten, soweit dieses innerhalb der Union erfolgt, zu beobachten, sollte einen Vertreter benennen müssen, es sei denn, die Verarbeitung erfolgt gelegentlich, schließt nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten ein und bringt unter Berücksichtigung ihrer Art, ihrer Umstände, ihres Umfangs und ihrer Zwecke wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich oder bei dem Verantwortlichen handelt es sich um eine Behörde oder öffentliche Stelle.

2 Der Vertreter sollte im Namen des Verantwortlichen oder des Auftragsverarbeiters tätig werden und den Aufsichtsbehörden als Anlaufstelle dienen.

3 Der Verantwortliche oder der Auftragsverarbeiter sollte den Vertreter ausdrücklich bestellen und schriftlich beauftragen, in Bezug auf die ihm nach dieser Verordnung obliegenden Verpflichtungen an seiner Stelle zu handeln.

4 Die Benennung eines solchen Vertreters berührt nicht die Verantwortung oder Haftung des Verantwortlichen oder des Auftragsverarbeiters nach Maßgabe dieser Verordnung.

5 Ein solcher Vertreter sollte seine Aufgaben entsprechend dem Mandat des Verantwortlichen oder Auftragsverarbeiters ausführen und insbesondere mit den zuständigen Aufsichtsbehörden in Bezug auf Maßnahmen, die die Einhaltung dieser Verordnung sicherstellen sollen, zusammenarbeiten.

6 Bei Verstößen des Verantwortlichen oder Auftragsverarbeiters sollte der bestellte Vertreter Durchsetzungsverfahren unterworfen werden.»

Eine EU-Vertretung ist u. a. dann nicht erforderlichwenn eine Bearbeitung nur gelegentlich erfolgt und keine umfangreiche Bearbeitung besonderer Kategorien von Personendaten stattfinden, wie sie in Artikel 9 (Verarbeitung besonderer Kategorien personenbezogener Daten) Absatz 1 DSGVO definiert werden:

« (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. [...] »

«Verantwortliche» bzw. «Auftragsbearbeiter» müssen neben der «schriftlichen» Benennungsform (die von der DSGVO nicht weiter ausgeführt wird) für die «Designierung» einer EU-Vertretung ausserdem gemäss der Artikel 13 und 14 DSGVO, bei denen es um die Erfüllung strenger Informationspflichten geht, über das Vorhandensein einer EU-Vertretung in ihren Datenschutzerklärungen informieren.