Unternehmen ohne Niederlassung in der EU bzw. im EWR, die Daten von Personen in der EU verarbeiten, müssen einen Vertreter in der EU benennen (Art. 27 DSGVO). Dieser ist insbesondere Anlaufstelle für Aufsichtsbehörden und Betroffene in allen Fragen des Datenschutzrechts. Diese Pflicht wird aufgrund des bevorstehenden Ablaufs der Brexit Übergangsphase zum 31. Dezember 2020 vor allem für Unternehmen aus dem Vereinigten Königreich relevant.
1. Wann muss ich einen EU Vertreter benennen (Art. 27 DSGVO)?
Nach der EU-Datenschutzgrundverordnung (DSGVO) ist Ihr Unternehmen verpflichtet, einen Vertreter in der Europäischen Union (EU) zu benennen, der EU-Bürgern und Aufsichtsbehörden als Anlaufstelle in allen Fragen des Datenschutzes dient, wenn die folgenden beiden Voraussetzungen (a. und b.) vorliegen.
a. Ihr Unternehmen verfügt über keine Niederlassung in der EU
Dies ist der Fall, wenn Ihr Unternehmen
- keine Tochtergesellschaft in der EU hat,
- weder ein Büro, noch eine Produktions- oder Verkaufsstätte oder sonstige Zweigstelle in einem Mitgliedstaat der EU besitzt und
- keine sonstigen festen Einrichtungen in der EU besitzt.
b. Ihr Unternehmen verarbeitet Daten von Personen in der EU
Ihr Unternehmen verarbeitet die Daten von Personen in der Union entweder im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen (i) oder zur Beobachtung des Verhaltens dieser Personen (ii).
i. Angebot von Waren oder Dienstleistungen an Betroffene in der EU
Dies ist typischerweise der Fall, wenn Ihr Unternehmen
- Waren über einen Online-Shop verkauft,
- einen Online-Service oder eine App anbietet,
- Waren an Kunden in EU-Mitgliedstaaten liefert,
- Website unter Top-Level-Domains aus der EU betreibt, wie .de, .fr, .es oder .eu,
- auf der Website Sprachen von mindestens einem EU-Mitgliedstaat nutzt oder Währungen akzeptiert,
- ein besonderes Produkt-Branding für den EU-Markt nutzt,
- Marketing-Kampagnen auf den EU-Markt ausrichtet (z.B. Landing Pages für Besucher aus der EU, Gewinnspiele),
- besondere Kontaktdaten für EU-Verbraucher bereitstellt.
ii. Beobachtung des Verhaltens
Unter die DSGVO fällt auch die Verarbeitung von Daten zur Beobachtung des Verhaltens von Personen in der EU. Dies ist typischerweise der Fall, wenn Ihr Unternehmen
- Website-Besucher aus der EU mit Hilfe von Cookies oder Device Fingerprinting trackt,
- Daten über den Aufenthaltsort oder das Verhalten erfasst (z.B. durch Websites, mobile Apps oder Marktumfragen), oder
- Fitness-Tracker oder Online-basierte Dienste für personalisierte Diät- oder Gesundheitsanalysen anbietet.
2. Die Rolle des EU Vertreters
Der Vertreter in der Union dient für Ihr Unternehmen als Anlaufstelle für die Aufsichtsbehörden. Er ist ferner Kontakt für Personen, deren personenbezogene Daten verarbeitet werden, um die Ausübung von Betroffenenrechten nach der DSGVO zu ermöglichen. Zudem hält er ein Verzeichnis von Verarbeitungstätigkeiten für Ihr Unternehmen vor.
3. Dokumentationspflichten
Nach dem Rechenschaftsprinzip (Art. 5 Absatz 2 DSGVO) ist Ihr Unternehmen verpflichtet, Datenschutzanfragen von Betroffenen und ggf. auch Behörden zu dokumentieren. Der EU-Vertreter unterstützt Sie bei einer ordnungsgemäßen Dokumentation der eingehenden Anfragen.
4. Ablauf der Brexit Übergangsphase: Vereinigtes Königreich wird Drittland
Nach Ablauf der Brexit Übergangsphase zum 31. Dezember 2020 gilt das Vereinigte Königreich ab dem 1. Januar 2021 als Drittland im Sinne des Kapitels V der DSGVO. Im Vereinigten Königreich ansässige Unternehmen sollten deshalb prüfen, ob sie ab dem 1. Januar 2021 einen EU Vertreter gemäß Art. 27 DSGVO bestellen müssen.
5. Rechtsfolgen bei Verstößen
Ein Verstoß gegen die Benennung eines EU Vertreters ist bußgeldbewehrt und kann gemäß Art. 83 Abs. 4 lit. a DSGVO mit Bußgeldern von bis zu 10 Mio. EUR oder 2 % des weltweit erzielten Jahresumsatzes (je nachdem was höher ist) belegt werden.
PLANIT // LEGAL übernimmt für Ihr Unternehmen gerne die Rolle des EU Vertreters und die damit verbundenen Aufgaben. Sprechen Sie uns gern an unter mail@planit.legal.