• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Start » Vertreterbestellung EU

Vertreterbestellung EU

Falls Sie verpflichtet sind nach der DSGVO oder in Zukunft nach der ePrivacyVO einen Vertreter in der Union zu benennen, dann sind Sie bei uns in den richtigen Händen.

Mehr Informationen finden Sie auf 
www.data-union-representatives.com.

Datenschutz: Vertreterbestellung für die EU

Alle Unternehmen, die Waren oder Dienstleistungen in der Europäischen Union anbieten, aber selbst außerhalb der EU niedergelassen sind, müssen einen Datenschutz-Vertreter benennen. Diese Bestellungspflicht ist in der Europäischen Datenschutz-Grundverordnung (DSGVO) festgelegt und regelt den Umgang mit personenbezogenen Daten in den Mitgliedstaaten und darüber hinaus. Auf dieser Seite erfahren Sie mehr über die sogenannte Vertreterbestellung zu Zwecken des Datenschutzes und die Leistungen der Datenschutzexperten der KEDUA GmbH.

Vertreterbestellung: Worum geht es eigentlich?

Die DSGVO wurde am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht und ist seit 25. Mai 2018 anzuwenden. Sie hat zwei Hauptzwecke: Zum einen soll sie personenbezogene Daten von Menschen innerhalb der EU schützen, zum anderen den freien Datenaustausch im Binnenmarkt ermöglichen. Das gelingt mit umfangreichen Regelungen rund um die Verarbeitung personenbezogener Daten – inklusive EU-weiter Vereinheitlichung und Gültigkeit im Europäischen Wirtschaftsraum.

Für Familienbetriebe, mittelständische Unternehmen und international agierende Konzerne ergibt sich völlig unabhängig von der Geschäftsgröße und Mitarbeiterzahl Handlungsbedarf. Und zwar nicht nur für in der Union angesiedelte Firmen, sondern auch für solche, die außerhalb der EU niedergelassen, aber innerhalb der Staatengemeinschaft tätig sind. Denn Artikel 27 der DSGVO legt fest, dass diese Unternehmen einen Vertreter in der Union benennen müssen. Dieser vertritt den Verantwortlichen oder Auftragsverarbeiter bezüglich aller Datenschutz-Pflichten.

Die Datenschutzexperten – Ihr Partner für die rechtssichere Datenschutz-Vertreterbestellung

Sie sind verpflichtet, nach der DSGVO oder in Zukunft nach der ePrivacyVO einen Vertreter in der EU zu benennen? Dann sind Sie bei unseren Datenschutzexperten in guten Händen. Mit der KEDUA GmbH kommen Sie der Bestellungspflicht rechtssicher nach und wissen dank unserer Seminare genau Bescheid. Wir sind seit über 20 Jahren am Markt tätig und bieten Ihnen umfassende Beratungen zum Thema Datenschutz.


Benennen Sie die KEDUA GmbH als Ihren Vertreter in der Europäischen Union und profitieren Sie von

  • unseren top ausgebildeten Juristen, die sich täglich komplett dem Thema Datenschutz widmen,
  • unserer führenden Ausbildung in Deutschland für Datenschutzbeauftragte und Datenschutzkoordinatoren,
  • unserer engen Kooperation mit den Aufsichtsbehörden sowie
  • unserer Partnerschaft mit der DEKRA Certification GmbH.

Sie wissen nicht, ob Sie nach dem Marktortprinzip verpflichtet sind, einen Vertreter zu benennen? Oder Sie haben Fragen zur Vertreterbestellung? Dann nehmen Sie gern Kontakt mit uns auf. Unsere Datenschutzexperten sind für Sie da!

Die Rechtsgrundlage: Artikel 27 DSGVO

Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern

(1) In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.

(2) Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für
a) eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
b) Behörden oder öffentliche Stellen.

(3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.

(4) Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.

(5) Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.

Wo gilt die DSGVO?

Wo die EU-DSGVO rechtskräftig ist, regelt Artikel 3 Absatz 2, auf den Artikel 27 direkt im ersten Absatz Bezug nimmt.

Räumlicher Anwendungsbereich gemäß Artikel 3 DSGVO

(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

Kurz zusammengefasst: Die Regelungen der DSGVO sind nach Artikel 3 Absatz 2 gültig, wenn

  • personenbezogene Daten von Personen in der EU verarbeitet werden,
  • der Verantwortliche oder Auftragsverarbeiter keine Niederlassung in der EU im Europäischen Wirtschaftsraum (EWR) hat,
  • Waren und/oder Dienstleistungen in der EU/im EWR angeboten werden
  • oder das Verhalten von Personen in der EU/im EWR beobachtet wird.


Benennungspflicht und Ausnahmen

Die Benennungspflicht ergibt sich direkt aus Artikel 27 Absatz 1 der DSGVO und wird durch die Bestimmungen über den räumlichen Anwendungsbereich in Artikel 3 Absatz 2 näher definiert. Darüber hinaus gibt es jedoch auch Ausnahmen, die in Artikel 27 Absatz 2 nachzulesen sind. Hier erfahren Sie, ob Sie verpflichtet sind, einen Vertreter in der Europäischen Union zu benennen. Die Datenschutzexperten haben die drei Ausnahmen für Sie in der folgenden Tabelle zusammengefasst.

 Ausnahmen nach Artikel 27   Absatz 2Erläuterung
 gelegentlichHier bedarf es einer Betrachtung des Einzelfalls, denn was genau unter „gelegentlich“ zu verstehen ist, definiert die Verordnung nicht. Dabei müssen die Unternehmensgröße und das Verhältnis zur sonstigen Datenverarbeitung beachtet werden. In jedem Fall wird eine Regelmäßigkeit ausgeschlossen, was wiederum bedeutet, dass die Verarbeitung nicht planmäßig geschieht. 
 nicht   umfangreiche VerarbeitungZu den besonderen Datenkategorien im Sinne des Artikels 9 Absatz 1 gehören unter anderem die politische Überzeugung, ethnische und rassische Herkunft oder  Religionszugehörigkeit. Auch hier ist nicht näher bestimmt, was eine „nicht umfangreiche Verarbeitung“ darstellt. Es kommt also wieder auf die Menge der  personenbezogenen Daten und die Analyseintensität an. 
 kein RisikoDa bei der Verarbeitung personenbezogener Daten das Risiko für die Betroffenen als immanent anzusehen ist, geht es hier mehr um ein geringes Risiko, das noch vertretbar ist. Der Erwägungsgrund (ErwG) 75 der DSGVO kann für die Abwägung herangezogen werden. Er beinhaltet beispielsweise Diskriminierung, materielle, immaterielle sowie physische Schäden und Rufschädigung.


Darüber hinaus fallen öffentliche Stellen und Behörden außerhalb des EWR ebenfalls unter die Ausnahmen und verzichten auf die Vertreterbestellung. Das gilt auch für private Unternehmen, die behördliche Aufträge oder Aufgaben des öffentlichen Interesses ausführen.

Der Datenschutzvertreter

Bei der Vertreterbestellung kann eine natürliche oder juristische Person eingesetzt werden. Sie muss in jedem Fall in der EU niedergelassen sein, schriftlich benannt werden und öffentlich ersichtlich sein (Informationspflicht). Ihre Aufgabe ist es, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf alle Pflichten der DSGVO als Ansprechpartner zu vertreten.

Der Vertreter ist die erste Anlaufstelle für Behörden sowie betroffene Personen in der Union. Er nimmt Anfragen entgegen und ist befugt, in Vertretung Erklärungen abzugeben. Kommt es zu Datenschutzverstößen und ergeben sich daraus Rechtsfolgen, zum Beispiel Schadensersatzansprüche oder Bußgelder, richten sich diese jedoch direkt an den Verantwortlichen oder Auftragsverarbeiter.

Die Leistungen der Datenschutzexperten

Als Vertreter innerhalb der Union bietet Ihnen die KEDUA GmbH eine spezialisierte Dienstleistung, die sich an der DSGVO sowie an Ihren individuellen Bedürfnissen orientiert.
Unsere Leistungen der Vertreterbestellung umfassen für Sie insbesondere folgende Punkte:

  • Wir sind Anlaufstelle in Ihrem Namen für die Aufsichtsbehörden, Betroffene und sonstige Dritte.
  • Wir handeln in Ihrem Namen und Interesse für die obliegenden gesetzlichen Verpflichtungen.
  • Wir führen das Verzeichnis der Verarbeitungstätigkeiten für alle Prozesse innerhalb der Union.
  • Wir managen bei Verstößen das Durchsetzungsverfahren entsprechend Ihrer Interessenlage. 

Falls gewünscht, können Sie auch die Vertreterbestellung nach der geplanten ePrivacyVO auf die Datenschutzexperten der KEDUA GmbH übertragen.

Exkurs: die ePrivacyVO

Die ePrivacy-Verordnung (ePrivacyVO) sollte ursprünglich bereits 2018 zusammen mit der DSGVO in Kraft treten. Da sich die Mitgliedstaaten jedoch nicht auf einen gemeinsamen Gesetzentwurf einigen konnten, verzögerten sich die Verhandlungen.

Die ePrivacyVO soll Datenschutzrichtlinien in der elektronischen Kommunikation festlegen und diese Regelungen an jene der DSGVO annähern. Praktische Beispiele, die zukünftig in den Rechtsrahmen der ePrivacyVO fallen werden, finden sich beispielsweise beim Setzen von Cookies und Tracken von Nutzern im Internet.

Unter Berücksichtigung der andauernden Verhandlungen ist derzeit nicht mit einem Inkrafttreten vor 2023 zu rechnen. Zudem muss bedacht werden, dass eine 24-monatige Übergangsphase vorgesehen ist, sodass Neuregelungen frühestens ab 2025 gültig sein werden.

Neben der Vertreterbestellung können Sie gern unsere Leistungen rund um die ePrivacyVO in Anspruch nehmen. Informieren Sie sich zu aktuellen Themen auch in unserem Datenschutzblog!

FAQ

Brauche ich einen Datenschutzvertreter?

Ist Ihr Unternehmen in der EU tätig und verarbeitet personenbezogene Daten von Personen, die hier ansässig sind, der Sitz befindet sich jedoch außerhalb, ist es wahrscheinlich, dass Sie einen Vertreter bestellen müssen. Gern prüfen wir individuell in einem Gespräch mit Ihnen, ob die Verpflichtung auf Ihre Firma zutrifft.

Welche Funktionen sind mit der Vertreterbestellung verbunden?

Der Vertreter übernimmt die Rolle des Ansprechpartners und der Anlaufstelle – sowohl für Behörden als auch für betroffene Personen. Er reagiert mit Erklärungen auf Anfragen, immer in Vertretung des Verantwortlichen oder Auftragsverarbeiters.

Wer haftet bei Datenschutzverstößen?

Grundsätzlich haftet der Verantwortliche bzw. Auftragsverarbeiter. Der Vertreter fungiert ohne eigene Haftung. Er macht sich nur dann haftbar, wenn er im Außenverhältnis selbst gegen das Datenschutzrecht verstößt oder sich im Innenverhältnis über das Mandat seines Auftraggebers hinwegsetzt.

UNSERE PARTNER

Dekra badge
Vhs business
digit trade
Aawälte wecks
bvmw