DSGVO: Wann müssen außereuropäische Unternehmen einen „EU-Vertreter“ bestellen?
Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das ab 25. Mai 2018 anzuwenden ist. In diesem Blog werden vorab einige Fragen veröffentlicht (Härting, Datenschutz-Grundverordnung, 2016).
Unternehmen, die in Europa keine Niederlassung unterhalten, aber europäischen Bürgern Waren oder Dienstleistungen anbieten oder „Tracking“ bzw. „Profiling“ in Europa vornehmen, müssen gemäß Art. 27 Abs. 1 DSGVO einen EU-Vertreter bestellen.
Die Verpflichtung aus Art. 27 Abs. 1 DSGVO gilt für den Verantwortlichen ebenso wie für den Auftragsverarbeiter:
„In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.”
Art. 3 Abs. 2 DSGVO lautet:
“Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.”
Für die Anwendbarkeit europäischen Datenschutzrechts und die Verpflichtung zur Bestellung eines EU-Vertreters reicht es somit aus, dass
- dass Bürgern in Europa Waren oder Dienstleistungen angeboten werden (Art. 3 Abs. 2 lit. a DSGVO) oder
- dass das Verhalten von Bürgern „beobachtet“ wird, während sie sich in Europa aufhalten (Art. 3 Abs. 2 lit. b DSGVO).
Merke:
Die Auftragsverarbeitung in einem Drittland kann nach Art. 3 Abs. 2 DS-GVO dazu führen, dass der Auftragsverarbeiter umfassend zur Einhaltung europäischen Datenschutzrechts verpflichtet wird und gemäß Art. 27 Abs. 1 DSGVO einen EU-Vertreter bestellen muss.
Dies gilt allerdings nicht bei jeder Verarbeitung von Daten europäischer Bürger, sondern nur dann, wenn es einen Zusammenhang gibt mit einem Angebot von Waren oder Dienstleistungen an europäische Bürger oder mit einer „Beobachtung“ europäischer Bürger.
Art. 27 Abs. 2 lit. b DS-GVO sieht Ausnahmen von der Verpflichtung zur Bestellung eines Vertreters vor, wenn die Datenverarbeitung
- nur „gelegentlich“ erfolgt und
- nicht in größerem Umfang sensitive Daten gemäß Art. 9 Abs. 1 DS-GVO und Art. 10 DS-GVO umfasst und
- Risiken für die Rechte und Pflichten einzelner Bürger unwahrscheinlich erscheinen unter Berücksichtigung der Art, der Umstände, des Umfangs und des Zwecks der Datenverarbeitung.