NEWS

Datenschutz-News zum Brexit I: der EU-Vertreter nach Art. 27 DSGVO

Aufgrund der aktuellen Brexit-Entwicklungen und des hiermit verbundenen EU-UK-Abkommens, nehmen wir die Anfragen unserer Mandanten zum Anlass, um über die maßgeblichen neuen Anforderungen zu informieren. In den nächsten Wochen werden wir die wichtigsten Änderungen im Datenschutz beleuchten, die Unternehmen jetzt beachten müssen. Heute im Fokus: der EU-Vertreter gem. Art. 27 DSGVO.


Insbesondere britische Unternehmen sind von den dynamischen Entwicklungen stark betroffen. Das Vereinigte Königreich wird voraussichtlich ab Mai 2021 den Rang eines EU-Drittstaates einnehmen. Die EU wird ab diesem Zeitpunkt das britische Datenschutzniveau nicht länger als gleichrangig einstufen. Der Transfer personenbezogener Daten vom Kontinent ins Vereinigte Königreich bedarf in diesem Fall einer besonderen Rechtfertigung. Zwar strebt das Vereinigte Königreich eine erneute Anerkennung des Datenschutzniveaus an (durch Angemessenheitsbeschluss der EU-Kommission), um weiterhin einen reibungslosen Datenverkehr zu gewährleisten, jedoch ist der Zeitpunkt einer solchen Entscheidung bislang ungewiss. Daher werden in der Zwischenzeit zunächst weitere formale Anforderungen (z.B. Information der betroffenen Personen bei Datentransfers ins Vereinigte Königreich) für EU-Unternehmen und den im Vereinigten Königreich ansässigen relevant.

Zu den neuen formalen Anforderungen der DSGVO gehört auch, dass britische Unternehmen nach der Übergangsfrist einen EU-Vertreter benennen müssen (Art. 27 DSGVO). Da die Datenschutzgrundverordnung stets auf die Verarbeitung personenbezogener Daten von Personen mit Aufenthalt in der EU Anwendung findet, können auch verarbeitende Unternehmen, deren Geschäftssitz nicht innerhalb der EU gelegen ist, bei einem Verstoß mit empfindlichen Geldbußen sanktioniert werden.

Wir beobachten für Sie bereits seit letztem Jahr mit Spannung die Neuerungen rund um den Brexit. Damit Ihnen die Umsetzung dieser Compliance-Anforderungen reibungslos gelingt, unterstützen wir Sie gerne bei Ihren Fragen. Britische Unternehmen sollten sich frühzeitig – jetzt! – auf die Bestellung eines EU-Vertreters vorbereiten.

 

Ob Sie einen EU-Vertreter bestellen sollten, können Sie hier überprüfen:

Jetzt prüfen

 

Benötigt Ihr Unternehmen einen EU-Vertreter?

  • Bietet Ihr Unternehmen Personen mit Sitz in der Europäischen Union Waren oder Dienstleistungen an?
  • Überwacht oder beobachtet Ihr Unternehmen das Verhalten von Personen in der EU?

Wenn Ihr Unternehmen keinen Firmensitz in der EU hat und Sie eine oder beide Fragen mit „Ja“ beantwortet haben, sind Sie verpflichtet, für Ihr Unternehmen einen EU-Vertreter zu benennen.

Ausnahme:
Wenn in Ihrem Unternehmen die Verarbeitung personenbezogener Daten nur gelegentlich erfolgt und wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Trifft diese Ausnahme auf Ihr Unternehmen zu? Unsere Datenschutz-Experten beraten Sie gerne.

 

Welche Aufgaben hat der EU-Vertreter?

Der Vertreter wird durch den Verantwortlichen (Geschäftsführung des Unternehmens) oder den Auftragsverarbeiter (z.B. Dienstleister) beauftragt. Er soll insbesondere als Anlaufstelle und Ansprechpartner für Aufsichtsbehörden und betroffene Personen dienen. Der EU-Vertreter stellt damit das Bindeglied zwischen diesen und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar.

 

Inwiefern unterscheidet sich der EU-Vertreter vom Datenschutzbeauftragten?

Ein EU-Vertreter ist nicht mit dem Datenschutzbeauftragten gleichzusetzen. Beide haben verschiedene Aufgaben und Pflichten: Ein Datenschutzbeauftragter berät das Unternehmen umfassend in Datenschutzfragen, ist nicht weisungsgebunden und soll die Compliance-Kultur innerhalb der verantwortlichen Stelle fördern. Der EU-Vertreter ist lediglich eine Anlaufstelle, die den Anweisungen des Verantwortlichen unterliegt. Er steht für Anfragen und Beschwerden zur Verfügung und kann Verarbeitungstätigkeiten und Auftragsverarbeitungen dokumentieren, hat darüber hinaus aber keine weiteren aktiven Aufgaben.

 

Wen können Sie als EU-Vertreter bestellen?

Der benannte EU-Vertreter muss in einem der EU-Mitgliedstaaten niedergelassen sein, in dem die Verarbeitung stattfindet. Er muss eine natürliche oder juristische Person sein, die vom Verantwortlichen oder Verarbeiter schriftlich benannt wird.

Da der Vertreter verpflichtet ist, mit Behörden und betroffenen Personen in einer Vielzahl von Fragen zu kommunizieren, ist es von Vorteil, wenn er über Sachkunde bezüglich der DSGVO und sonstiger datenschutzrechtlicher Bestimmungen verfügt. Darüber hinaus sollte Ihr Vertreter idealerweise ein gutes Verständnis für die Prozesse und Strukturen Ihres Unternehmens haben – für was und wie Ihr Unternehmen Daten verwendet. Der Vertreter verfügt idealerweise über Berufserfahrung in der Zusammenarbeit mit Behörden in den Bereichen Datenschutz(recht) und Compliance.

 

Wie können Sie einen EU-Vertreter bestellen?

Sie müssen den Vertreter schriftlich bevollmächtigen. Die Vollmacht sollte die Aufgaben des Vertreters enthalten. Aktuell ist eine Bestellung bei der für Sie zuständigen Aufsichtsbehörde nicht erforderlich.

Sie müssen den Vertreter jedoch in Ihren Datenschutzinformationen (und typischerweise Ihrer Datenschutzerklärung), und in Ihren Aufzeichnungen über die Verarbeitungstätigkeiten benennen.

 

Wie viele EU-Vertreter benötigen Sie?

Grundsätzlich wird nur ein Vertreter für die EU benötigt.

Je nach Größe Ihres Unternehmens und Umfang der Datenverarbeitung kann es jedoch sinnvoll sein, mehr als einen Vertreter zu beauftragen. Verschiedene Sprachen sowie kulturelle und rechtliche Besonderheiten in jedem EU-Mitgliedstaat können ggfs. für zusätzliche Schwierigkeiten sorgen.

 

Was sind die Folgen, wenn Sie keinen EU-Vertreter einsetzen, obwohl Sie einen benötigen?

Die Nichtbeachtung der Vorschrift kann mit hohen Bußgeldern bis zu 10 Millionen Euro oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs belegt werden, je nachdem, welcher der Beträge höher ist. Weiterhin kann ein Verstoß zu kostenintensiven Klagen in Deutschland oder anderen EU-Mitgliedstaaten führen, wenn Sie die Vorschriften nicht berücksichtigen.

 

Unsere Dienstleistungen

CLARIUS.LEGAL unterstützt Ihr Unternehmen bei der Einhaltung geltender Datenschutzbestimmungen.

Als EU-Vertreter übernehmen wir für Sie die folgenden Aufgaben:

  • Zusammenarbeit mit den Aufsichtsbehörden;
  • Stellung der direkten Kontaktperson für Betroffene und Aufsichtsbehörden;
  • Weiterleitung von Schreiben, Anfragen, Behördenbescheiden und etwaigen Bußgeldern an das Unternehmen;
  • Veröffentlichung der EU-Vertreterbestellung nach Außen (auf Wunsch);
  • Unterstützung bei der Erstellung von Verarbeitungsverzeichnissen;
  • Führung von Verarbeitungsverzeichnissen;
  • Dokumentation von Auftragsverarbeitungen;
  • Erstellung von Vorlagen für Datenschutzerklärungen, Informationsblätter und andere formelle Dokumente;
  • Bereitstellung erster Informationen zu Rechtsfragen der DSGVO oder der Datenschutzgesetze der Mitgliedsstaaten.


Wir beantworten nicht nur Ihre Fragen bezüglich der Einsetzung eines EU-Vertreters, sondern bieten Ihnen eine umfassende Datenschutzberatung. Gerne treten wir für Sie auch als externer Datenschutzbeauftragter auf.

Für weitere Informationen und ein konkretes Angebot sprechen Sie das CLARIUS.LEGAL-Team unter clarius@clarius.legal oder unter +49 40 257 660 900 an.