Art. 27 der Datenschutz-Grundverordnung regelt die Pflicht von nicht inner­halb der euro­päi­schen Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen, die Per­so­nen inner­halb Euro­pas Waren oder Dienst­leis­tun­gen anbie­ten,  die Bestel­lung eines in Euro­pa ansäs­si­gen „Ver­tre­ters“. Da sich in der Pra­xis die Geschäfts­tä­tig­kei­ten der Unter­neh­men jedoch meist nicht auf ein ein­zel­nes EU-Land begren­zen, stellt sich viel­fach die Fra­ge, wie vie­le EU-Vertreter ein außer­eu­ro­päi­sches Unter­neh­men bestel­len muss und wie vie­le es sinn­vol­ler­wei­se bestel­len soll­te.

Dabei müs­sen uni­ons­frem­de Ver­ant­wort­li­che bei der Bestel­lung meh­re­rer EU-Vertreter dar­auf ach­ten, dass Abstim­mun­gen unter den bestell­ten Ver­tre­tern und unge­klär­te Ver­ant­wort­lich­kei­ten kei­nes­falls zu einer Zustän­dig­keits­ver­wir­rung füh­ren.” – Mat­thi­as Her­kert

Arti­kel 27 ist ein wich­ti­ges Ele­ment zur Durch­set­zung der DSGVO in Dritt­län­dern, da die Auf­sichts­be­hör­den der EU-Mitgliedsstaaten in die­sen Län­dern kei­ne Hoheits­ge­walt aus­üben kön­nen und Art. 3 Abs. 2 der DSGVO den räum­li­chen Anwen­dungs­be­reich in dies auch auf Dritt­län­der aus­dehnt. Dem EU-Vertreter, in sei­ner Eigen­schaft als inner­halb der Uni­on zuver­läs­sig greif­ba­res Kommunikations‑, Verpflichtungs- und Voll­stre­ckungs­sub­jekt, kommt daher mit Blick auf die Rech­te der Betrof­fe­nen und die Befug­nis­se der Auf­sichts­be­hör­den eine zen­tra­le Bedeu­tung zu.

In der Pra­xis wird sich die Geschäfts­tä­tig­keit der von der Bestell­pflicht des Arti­kel 27 DSGVO betrof­fe­nen Unter­neh­men indes meist nicht auf ein ein­zel­nes euro­päi­sches Land begren­zen, son­dern sich viel­mehr auf meh­re­re, mög­li­cher­wei­se sogar alle Län­der der Uni­on erstre­cken. Für die Erfül­lung der gesetz­li­chen For­de­run­gen stellt sich in die­ser Situa­ti­on im ers­ten Schritt die Fra­ge, wie vie­le EU-Vertreter ein Unter­neh­men bestel­len muss, um sei­nen nor­mier­ten Pflich­ten nach­zu­kom­men.

Gesetz­lich kla­re Situa­ti­on beim Umfang der zu bestel­len­den EU-Vertreter

Die Daten­schutz­grund­ver­ord­nung ist an die­ser Stel­le ein­deu­tig. Gefor­dert wird die Bestel­lung eines (!) in der EU nie­der­ge­las­se­nen EU-Vertreters. Die for­ma­le Bestell­frist ist soweit mit der Bestel­lung eines ein­zel­nen Ver­tre­ters – in Form einer natür­li­chen oder juris­ti­schen Per­son – bereits erfüllt. Wer­den die Waren oder Dienst­leis­tun­gen hier­bei nur in einem Land der Uni­on ange­bo­ten, muss der EU-Vertreter sei­ne Nie­der­las­sung zwin­gend in die­sem Land haben (Art. 27 Abs. 3 DSGVO). Befin­den sich die Per­so­nen, an die sich die Leis­tungs­an­ge­bo­te rich­ten in meh­re­ren Staa­ten der Uni­on, kann der außer­eu­ro­päi­sche Unter­neh­mer inner­halb die­ser Län­der frei wäh­len.

Für die Pra­xis stellt sich daher fast regel­mä­ßig die Fra­ge wie vie­le EU-Vertreter sinn­vol­ler­wei­se fak­tisch bestellt wer­den sol­len und in wel­chen euro­päi­schen Ziel­län­dern die­se ihren Sitz haben soll­ten.

Fak­to­ren außer­halb des Daten­schut­zes bestim­men die sinn­vol­le Anzahl der EU-Vertreter

Wäh­rend die Bestim­mun­gen des Art. 27 DSGVO zur Ver­tre­tung von nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen die Bestel­lung eines ein­zel­nen EU-Vertreters aus­rei­chen lässt, ist auf der ande­ren Sei­te unstrit­tig, dass hier­durch die Mög­lich­keit der Bestel­lung wei­te­rer EU-Vertreter auf der ande­ren Sei­te nicht begrenzt ist. Gemeint ist viel­mehr die Bestel­lung „min­des­tens“ eines EU-Vertreters mit Nie­der­las­sung in einem euro­päi­schen Ziel­markt.

Zur Errei­chung der mit der Bestell­pflicht ver­folg­ten Zie­le, ins­be­son­de­re als Anlauf­stel­le bei sämt­li­chen Fra­gen im Zusam­men­hang mit der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten der Betrof­fe­nen inner­halb der EU und soweit zur ope­ra­ti­ven Durch­set­zung des Markt­ort­prin­zips, wird die Bestel­lung ledig­lich eines ein­zel­nen Ver­tre­ters in vie­len Fäl­len an prak­ti­sche Gren­zen sto­ßen. Neben den fast unver­meid­li­chen Sprach­hin­der­nis­sen soll­te bei der Bestel­lung des EU-Vertreters auch bedacht wer­den, dass die Daten­schutz­grund­ver­ord­nung unter ande­rem durch die Öff­nungs­klau­sel in den meis­ten euro­päi­schen Län­dern durch natio­na­les Daten­schutz­recht ergänzt wird. Auch die unter­schied­li­chen Aus­le­gun­gen der Bestim­mun­gen durch die in den ein­zel­nen EU-Staaten zustän­di­gen Auf­sichts­be­hör­den sowie ter­ri­to­ria­le Beson­der­hei­ten soll­ten dem EU-Vertreter jeden­falls bekannt sein, um eine rechts­si­che­re Ver­tre­tung des Ver­ant­wort­li­chen gewähr­leis­ten zu kön­nen.

Dabei müs­sen uni­ons­frem­de Ver­ant­wort­li­che bei der Bestel­lung meh­re­rer EU-Vertreter dar­auf ach­ten, dass Abstim­mun­gen unter den bestell­ten Ver­tre­tern und unge­klär­te Ver­ant­wort­lich­kei­ten kei­nes­falls deren Funk­ti­on als Anlauf­stel­le für alle Fra­gen und Aspek­te der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten behin­dern dür­fen oder für Auf­sichts­be­hör­den oder Betrof­fe­ne zu einer Zustän­dig­keits­ver­wir­rung füh­ren.

Fazit

Für die Beant­wor­tung der Fra­ge, wie vie­le EU-Vertreter ein uni­ons­frem­der Ver­ant­wort­li­cher bestel­len soll­te, ist in der Pra­xis regel­mä­ßig eine Ein­zel­fall­be­trach­tung erfor­der­lich. Die DSGVO lässt laut Art. 27 DSGVO bereits einen EU-Vertreter genü­gen. Ob jedoch die Bestel­lung meh­re­rer EU-Vertretern sinn­voll ist, hängt von wei­te­ren Kri­te­ri­en ab. Hier­bei wer­den ins­be­son­de­re die regu­la­to­ri­schen Beson­der­hei­ten der Ziel­märk­te, das indi­vi­du­el­le Geschäfts­mo­dell des Unter­neh­mens und die jewei­li­gen, ins­be­son­de­re wirt­schaft­li­chen Beson­der­hei­ten der betrof­fe­nen Uni­ons­staa­ten in die Ent­schei­dung mit ein­flie­ßen. Da für die Ver­tre­tung oft­mals spe­zia­li­sier­te Rechts­an­walts­kanz­lei­en bestellt wer­den, rücken über die dor­ti­gen Bera­ter Sprach­bar­rie­ren in vie­len Fäl­len in den Hin­ter­grund, wäh­rend, trotz aller Kohä­renz­be­mü­hun­gen, die Aus­le­gun­gen des euro­päi­schen Daten­schutz­rechts durch die in den Län­dern  zustän­di­gen Auf­sichts­be­hör­den eine ent­schei­den­de Rol­le spie­len kön­nen.

Was Sie noch interessieren könnte:

Können Betroffene in ein niedrigeres Schutzniveau einwilligen?

31. Mai 2021|

Die Anfor­de­run­gen an die Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten natür­li­cher Per­so­nen for­dert, dass der Ver­ant­wort­li­che geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche […]

Das neue Kirchliche Datenschutzmodell

26. Mai 2021|

Die Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten der Katho­li­schen Kir­che und der Kon­fe­renz der Beauf­trag­ten für den Daten­schutz in der Evan­ge­li­schen Kir­che […]

Autor des Arti­kels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter
MEHR ZUM AUTOR