DSGVO-Vertreter
Die Datenschutz-Grundverordnung (DSGVO) erwähnt an mehreren Stellen einen „Vertreter“. Häufig wird angenommen, es sei der gesetzliche Vertreter einer juristischen Person gemeint, also etwa der Geschäftsführer einer GmbH. Dem ist aber nicht so! Stattdessen ist der Vertreter nach der DSGVO eine eigene datenschutzrechtliche Institution. Hier erfahren Sie mehr über die rechtlichen Grundlagen und unsere Dienstleistung.
Wo finden sich Regelungen zum DSGVO-Vertreter?
In Art. 4 Nr. 17 DSGVO wird der Begriff bzw. Ausdruck „Vertreter“ definiert als
„[...] eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt“.
In Art. 27 DSGVO finden sich dann konkrete Vorgaben dazu, wann und wie ein Vertreter zu benennen ist und was seine Aufgaben sind. Die Legaldefinition aus Art. 4 als auch Art. 27 DSGVO sind die beiden wichtigsten gesetzlichen Normen zum Vertreter in der DSGVO.
Wer muss einen DSGVO-Vertreter benennen?
Zur Beantwortung dieser Frage muss man sich zunächst den räumlichen Anwendungsbereich der DSGVO anschauen. Diese gilt nämlich nicht nur für Unternehmen und Behörden innerhalb der EU, sondern unter bestimmten Voraussetzungen auch für Stellen außerhalb der EU.
Art. 3 Abs. 2 DSGVO besagt:
„Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.“
Die von Art. 3 Abs. 2 DSGVO angesprochenen Verantwortlichen oder Auftragsverarbeiter außerhalb der EU müssen einen Vertreter in der EU benennen, wenn der räumliche Anwendungsberiech eröffnet ist.
Von dieser Pflicht bestehen jedoch nach Art. 27 Abs. 2 DSGVO zwei Ausnahmen:
Erstens müssen Behörden oder öffentliche Stellen keinen Vertreter benennen.
Zweitens muss kein DSGVO-Vertreter benannt werden,
- wenn die Datenverarbeitung nur gelegentlich erfolgt,
- nicht umfangreich bezüglich besonderer Datenkategorien (zum Beispiel Gesundheitsdaten) ist oder keine Daten über strafrechtliche Verurteilungen und Straftaten enthält
- und voraussichtlich nicht zu einem Risiko für die Betroffenen führt.
Wie muss ein DSGVO-Vertreter benannt werden?
Die Benennung des Vertreters muss ausdrücklich und schriftlich erfolgen. Schriftlich meint dabei „in Schriftform“ – also mit einer handschriftlichen Unterschrift. Eine Benennung per E-Mail (Textform) genügt also nicht. Benannt werden können natürliche oder juristische Personen. Der Vertreter kann dabei auch eine externe Person sein, muss also nicht Teil des Verantwortlichen oder Auftragsverarbeiters ein. Im Übrigen gibt es keine gesetzlich geregelten formellen Voraussetzungen an die Person. Anders als beim Datenschutzbeauftragten wird also keine besondere Fachkunde oder ähnliches gefordert, auch wenn solche Qualifikationen natürlich sinnvoll sind.
Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird. Es muss aber weder für jeden Mitgliedstaat ein Unionsvertreter benannt werden, in dem sich die betroffenen Personen aufhalten, noch muss in jedem dieser Mitgliedstaaten der Vertreter niedergelassen sein. Werden also Daten aus mehreren Mitgliedstaaten der EU verarbeitet, reicht ein Vertreter.
Wenn gegen die Pflicht zur Benennung eines Vertreters verstoßen wird, kann dies als Ordnungswidrigkeit nach Art. 83 Abs. 4 lit. a DSGVO geahndet werden. Verantwortliche und Auftragsverarbeiter außerhalb der EU sollten die Benennungspflicht daher ernst nehmen.
Aufgaben und Pflichten
Die Aufgabe des Vertreters ist es, insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Datenverarbeitung als Anlaufstelle zu dienen. Der Vertreter soll so die Erreichbarkeit des Verantwortlichen oder Auftragsverarbeiters für Aufsichtsbehörden und Betroffene in der EU sicherstellen und damit die Durchsetzbarkeit der DSGVO gewährleisten. Art. 31 DSGVO verpflichtet den Vertreter zur Zusammenarbeit mit den Aufsichtsbehörden.
Nach Art. 30 Abs. 1 Satz 1 DSGVO ist der Vertreter verpflichtet, das Verarbeitungsverzeichnis des Verantwortlichen zu führen, soweit die Datenverarbeitungen die Pflicht zur Benennung eines Vertreters begründen. Vertreter eines Auftragsverarbeiters müssen das Auftraggeberverzeichnis nach Art. 30 Abs. 2 DSGVO führen. Gemäß Art. 30 Abs. 4 DSGVO muss der Vertreter diese Verzeichnisse einer Aufsichtsbehörde auf Anfrage zur Verfügung stellen.
Empfänger von Sanktionen einer Aufsichtsbehörde oder Gesamtschuldner bei der Geltendmachung von Schadensersatzansprüchen ist der Vertreter nicht. Es können also keine Bußgelder gegen den Vertreter verhängt werden, für Verstöße des Verantwortlichen oder des Auftragsverarbeiters gegen die DSGVO. Auch ein Vertreter im zivilrechtlichen Sinne (§ 164 BGB) ist der Vertreter aus der DSGVO nicht. Er ist nicht qua Funktion zur Abgabe von Willenserklärungen im Namen des Verantwortlichen und Auftragsverarbeiters befugt.
Was muss sonst noch beachtet werden?
Der Name und die Kontaktdaten des Vertreters müssen in Informationstexten nach Art. 13 und 14 DSGVO genannt werden. Auch im Verarbeitungsverzeichnis und im Auftraggeberverzeichnis müssen Namen und Kontaktdaten des Vertreters genannt werden.
Ihre Ansprechpartner
Sie sind auf der Suche nach einem Vertreter gem. Art. 27 DSGVO? Dann sprechen Sie uns gerne an. Mit über 20-jähriger nationaler und internationaler Beratungserfahrung verfügen wir über die idealen Voraussetzungen diese Rolle für Sie zu übernehmen.
Sven Venzke-Caprarese, Volljurist
Geschäftsführer
E-Mail: svenzke-caprarese@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-318
datenschutz nord GmbH, Bremen
Dr. iur.
Christian Borchers, Volljurist
Geschäftsführer
E-Mail: office@re-move-this.datenschutz-sued.de
Telefon: +49 931 30 49 76-0
datenschutz süd GmbH, Würzburg
Sie brauchen Unterstützung außerhalb Deutschlands?
Als Unternehmensgruppe betreuen wir Sie natürlich auch außerhalb Deutschlands in vielen Sprachen. Nehmen Sie Kontakt mit uns auf!
Peter Suhren, Volljurist
Geschäftsführer
E-Mail: psuhren@re-move-this.first-privacy.com
Telefon: +49 421 69 66 32-822
FIRST PRIVACY GmbH, Bremen
Cihan Parlar, LL.M. (Tilburg)
Geschäftsführer
E-Mail: cparlar@re-move-this.first-privacy.com
Telefon: +31 20 211 7116
FIRST PRIVACY B.V., Amsterdam
Kennen Sie schon unseren Blog?
Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge.