EU-Vertretung

Strafe für Fehlen der EU-Vertretung: Sind Sie gut aufgestellt?

Die DSGVO spricht Betroffenen Rechte im Umgang mit ihren Daten zu. Damit Betroffene diese auch tatsächlich wahrnehmen können, müssen Organisationen ohne Niederlassung in der EU eine Vertretung bestellen, wenn sie vom Marktortprinzip betroffen sind – dazu gleich mehr. Ohne entsprechende EU-Vertretung können mitunter hohe Strafen auf Organisationen zukommen.

Wir haben für Sie zusammengefasst, wer eine EU-Vertretung benötigt, wie genau sie funktioniert und welche Strafen bei Nichteinhaltung zu erwarten sind. 

Wer eine EU-Vertretung benötigt

Für Verantwortliche und Auftragsverarbeitende aus Drittstaaten sieht Art. 3 Abs. 2 DSGVO das sogenannte Marktortprinzip vor. Dies besagt, dass Organisationen eine Vertretung in der EU bestellen müssen, wenn sie Waren oder Dienstleistungen in der EU anbieten oder Personen dort beobachten (z.B. Tracking oder Profiling) und im Zuge dessen personenbezogene Daten verarbeiten

Die Vertretung muss in einem der Mitgliedsstaaten niedergelassen sein, in dem sich die betroffenen Personen befinden.

Allerdings gibt es einige Ausnahmen

  • Behörden oder öffentliche Stellen
  • Nur gelegentliche Verarbeitung
  • Keine umfangreiche Verarbeitung besonderer Datenkategorien
  • Umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO 

Welche Organisationen eine EU-Vertretung benötigen, ist klar geregelt.

Die Ausnahmen gelten allerdings nur dann, wenn sich aus der Art, den Umständen, dem Umfang und dem Zweck der Verarbeitung voraussichtlich keine Risiken für die Rechte und Freiheiten natürlicher Personen ergeben

Wie die EU-Vertretung funktioniert

Die Vertretung wird von Verantwortlichen oder Auftragsverarbeitenden ausdrücklich bestellt und schriftlich beauftragt und dient als Anlaufstelle für Betroffene und Aufsichtsbehörden. Sie vertritt die Verantwortlichen bezüglich ihrer sich aus der DSGVO ergebenen Pflichten.

Für Betroffene soll es möglichst einfach sein, Auskunft zu erhalten und weitere Rechte auszuüben, wie beispielsweise der Nutzung personenbezogener Daten zu widersprechen sowie Daten löschen zu lassen. Daher sollten die Kontaktinformationen der Vertretung leicht zugänglich sein – etwa über die Website. Eine Meldepflicht gegenüber Behörden besteht allerdings nicht.

Da die Vertretung nur stellvertretend für die Verantwortlichen agiert, sollten die konkreten Aufgaben und Befugnisse in einem Vertrag festgehalten werden. Darunter fallen in der Regel das Führen und Vorlegen eines Verarbeitungsverzeichnisses und die Auskunftspflicht gegenüber Behörden und die Ermöglichung der Durchsetzung von Betroffenenrechte innerhalb der EU.

Je nach Größe der Organisation und dem Umfang der Datenverarbeitung kann es zudem sinnvoll sein, mehrere Vertretungen zu benennen.  

SVBM INstitut

Wir bieten laufend Web-Seminare und Workshops zu aktuellen Datenschutz- & Compliance-Themen an.

Sensibilisieren Sie Ihre Mitarbeitenden oder bilden Sie sich weiter!

Mehr erfahren

Geldbußen bei Nicheinhaltung

Bei Nichteinhalten der Vorgaben zur EU-Vertretung drohen mitunter hohe Geldstrafen.

Unternehmen aus Drittländern, die trotz einer Pflicht keine EU-Vertretung bestellen, müssen unter Umständen mit hohen Geldstrafen von bis zu zehn Millionen Euro und teuren Klagen rechnen. Das ist auch der Website locatefamily.com passiert. 

Nach dutzenden Beschwerden erteilte die niederländische Aufsichtsbehörde eine Geldbuße von 525.000€, weil die Firma keine EU-Vertretung bestellt und personenbezogene Daten ohne Einverständnis veröffentlicht hat.

Da die Firma keine Datenschutzvertretung in der EU hat, konnten Betroffene ihre Daten nicht einfach von der Website entfernen lassen. Das stellt einen Verstoß gegen die DSGVO dar und war neben der unrechtmäßigen Veröffentlichung von Daten ein Hauptgrund für die Geldbuße. Darüber hinaus soll die Firma gezwungen werden, eine Vertretung einzurichten: Sie muss alle zwei Wochen weitere 20.000€ Strafe zahlen (bis maximal 120.000€) solange sie keine Vertretung bestellt hat. 

Wenn Organisationen ohne Niederlassung in der EU personenbezogene Daten von EU-Bürger:innen verarbeiten, sollten sie sich also gründlich informieren, ob sie eine EU-Vertretung benötigen. So lassen sich teure Geldbußen vermeiden und die Rechte der Betroffenen schützen.

Sie benötigen eine EU-Vertretung?

Sprechen Sie uns an!

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Und Sie sind konstant auf dem Laufenden!

Newsletter Anmeldung

Quellen

Dr. Datenschutz (2021): “Der EU-Representative – Aufgaben, Stellung und Haftung“, 08. März 2021, https://www.dr-datenschutz.de/der-eu-representative-aufgaben-stellung-und-haftung/, letzter Zugriff am 12. Juli 2021.

European Data Protection Board (2021): „Dutch DPA imposes fine of €525,00 on Locatefamily.com”, 12. Mai 2021, https://edpb.europa.eu/news/national-news/2021/dutch-dpa-imposes-fine-eu525000-locatefamilycom_en, letzter Zugriff am 12. Juli 2021.

Lampmann, Arno (o. J.): „EU-Vertreter nach Art. 27 Datenschutz-Grundverordnung (DSGVO)“, https://www.lhr-law.de/thema/datenschutzrecht/representative-eu-gdpr/, letzter Zugriff am 12. Juli 2021. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies