Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Floriane Vita, Unsplash
Strafe für Fehlen der EU-Vertretung: Sind Sie gut aufgestellt?
Die DSGVO spricht Betroffenen Rechte im Umgang mit ihren Daten zu. Damit Betroffene diese auch tatsächlich wahrnehmen können, müssen Organisationen ohne Niederlassung in der EU eine Vertretung bestellen, wenn sie vom Marktortprinzip betroffen sind – dazu gleich mehr. Ohne entsprechende EU-Vertretung können mitunter hohe Strafen auf Organisationen zukommen.
Wir haben für Sie zusammengefasst, wer eine EU-Vertretung benötigt, wie genau sie funktioniert und welche Strafen bei Nichteinhaltung zu erwarten sind.
Wer eine EU-Vertretung benötigt
Für Verantwortliche und Auftragsverarbeitende aus Drittstaaten sieht Art. 3 Abs. 2 DSGVO das sogenannte Marktortprinzip vor. Dies besagt, dass Organisationen eine Vertretung in der EU bestellen müssen, wenn sie Waren oder Dienstleistungen in der EU anbieten oder Personen dort beobachten (z.B. Tracking oder Profiling) und im Zuge dessen personenbezogene Daten verarbeiten.
Die Vertretung muss in einem der Mitgliedsstaaten niedergelassen sein, in dem sich die betroffenen Personen befinden.
Allerdings gibt es einige Ausnahmen:
- Behörden oder öffentliche Stellen
- Nur gelegentliche Verarbeitung
- Keine umfangreiche Verarbeitung besonderer Datenkategorien
- Umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO
Die Ausnahmen gelten allerdings nur dann, wenn sich aus der Art, den Umständen, dem Umfang und dem Zweck der Verarbeitung voraussichtlich keine Risiken für die Rechte und Freiheiten natürlicher Personen ergeben.
Wie die EU-Vertretung funktioniert
Die Vertretung wird von Verantwortlichen oder Auftragsverarbeitenden ausdrücklich bestellt und schriftlich beauftragt und dient als Anlaufstelle für Betroffene und Aufsichtsbehörden. Sie vertritt die Verantwortlichen bezüglich ihrer sich aus der DSGVO ergebenen Pflichten.
Für Betroffene soll es möglichst einfach sein, Auskunft zu erhalten und weitere Rechte auszuüben, wie beispielsweise der Nutzung personenbezogener Daten zu widersprechen sowie Daten löschen zu lassen. Daher sollten die Kontaktinformationen der Vertretung leicht zugänglich sein – etwa über die Website. Eine Meldepflicht gegenüber Behörden besteht allerdings nicht.
Da die Vertretung nur stellvertretend für die Verantwortlichen agiert, sollten die konkreten Aufgaben und Befugnisse in einem Vertrag festgehalten werden. Darunter fallen in der Regel das Führen und Vorlegen eines Verarbeitungsverzeichnisses und die Auskunftspflicht gegenüber Behörden und die Ermöglichung der Durchsetzung von Betroffenenrechte innerhalb der EU.
Je nach Größe der Organisation und dem Umfang der Datenverarbeitung kann es zudem sinnvoll sein, mehrere Vertretungen zu benennen.
Geldbußen bei Nicheinhaltung
Unternehmen aus Drittländern, die trotz einer Pflicht keine EU-Vertretung bestellen, müssen unter Umständen mit hohen Geldstrafen von bis zu zehn Millionen Euro und teuren Klagen rechnen. Das ist auch der Website locatefamily.com passiert.
Nach dutzenden Beschwerden erteilte die niederländische Aufsichtsbehörde eine Geldbuße von 525.000€, weil die Firma keine EU-Vertretung bestellt und personenbezogene Daten ohne Einverständnis veröffentlicht hat.
Da die Firma keine Datenschutzvertretung in der EU hat, konnten Betroffene ihre Daten nicht einfach von der Website entfernen lassen. Das stellt einen Verstoß gegen die DSGVO dar und war neben der unrechtmäßigen Veröffentlichung von Daten ein Hauptgrund für die Geldbuße. Darüber hinaus soll die Firma gezwungen werden, eine Vertretung einzurichten: Sie muss alle zwei Wochen weitere 20.000€ Strafe zahlen (bis maximal 120.000€) solange sie keine Vertretung bestellt hat.
Wenn Organisationen ohne Niederlassung in der EU personenbezogene Daten von EU-Bürger:innen verarbeiten, sollten sie sich also gründlich informieren, ob sie eine EU-Vertretung benötigen. So lassen sich teure Geldbußen vermeiden und die Rechte der Betroffenen schützen.
Sie benötigen eine EU-Vertretung?
Quellen
Dr. Datenschutz (2021): “Der EU-Representative – Aufgaben, Stellung und Haftung“, 08. März 2021, https://www.dr-datenschutz.de/der-eu-representative-aufgaben-stellung-und-haftung/, letzter Zugriff am 12. Juli 2021.
European Data Protection Board (2021): „Dutch DPA imposes fine of €525,00 on Locatefamily.com”, 12. Mai 2021, https://edpb.europa.eu/news/national-news/2021/dutch-dpa-imposes-fine-eu525000-locatefamilycom_en, letzter Zugriff am 12. Juli 2021.
Lampmann, Arno (o. J.): „EU-Vertreter nach Art. 27 Datenschutz-Grundverordnung (DSGVO)“, https://www.lhr-law.de/thema/datenschutzrecht/representative-eu-gdpr/, letzter Zugriff am 12. Juli 2021.
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung