Eine Benennungspflicht besteht gemäß Art. 27 Abs. 1 DSGVO für alle Verantwortlichen oder Auftragsverarbeiter, die Art. 3 Abs. 2 DSGVO unterfallen.

Das heißt:

• es befindet sich keine Niederlassung innerhalb der EU/des EWR​
• es werden personenbezogene Daten von Personen innerhalb der EU verarbeitet​
• es werden Waren und/oder Dienstleistungen in der EU/dem EWR angeboten oder​
• es wird das Verhalten betroffener Personen innerhalb der EU/des EWR beobachtet.​

Ziel dieser Norm ist es, sowohl den betroffenen Personen als auch den Aufsichtsbehörden eine Anlaufstelle zu bieten. Art. 3 Abs. 2 DSGVO erweitert den räumlichen Anwendungsbereich für bestimmte Fälle auf Drittländer aus, in denen die Aufsichtsbehörden der Mitgliedsstaaten keine Hoheitsgewalt besitzen und insofern die Gefahr bestünde, dass die Pflichten der dort ansässigen Auftragsverarbeiter ins Leere laufen. Damit ist der Vertreter ein wichtiges Instrument zur Effektivierung der Rechtsdurchsetzung als auch zur Wahrung der Betroffenenrechte aus Art. 12 ff. DSGVO.

Auf alle Fälle! Die Rechte und Pflichten, Aufgaben, Funktionen und Anforderungen unterscheiden sich erheblich.

Der Datenschutzbeauftragte fungiert als verlängerter Arm einer Datenschutzbehörde innerhalb eines Unternehmens, um eine Compliance-Kultur zu fördern. Der benannte Vertreter fungiert eher wie ein lokaler Ansprechpartner bzw. Mittelsmann für international tätige Unternehmen mit Sitz außerhalb der Europäischen Union.

Unternehmen ohne Niederlassung in der EU sind nach Art. 27 DSGVO verpflichtet, einen Vertreter in der EU zu benennen, damit die Datenschutzbehörden sie leichter und mit weniger juristischen Komplikationen erreichen und im schlimmsten Fall sanktionieren können.

Grundsätzlich hat der EU-Vertreter in der Union folgende gesetzliche Aufgaben:

• Er ist der Kontakt für Personen, deren personenbezogene Daten verarbeitet werden, um die Ausübung von Betroffenenrechten nach der DSGVO zu ermöglichen.
• Er dient für Ihr Unternehmen als Anlaufstelle für die Aufsichtsbehörden.
• Er hält ein Verzeichnis von Verarbeitungstätigkeiten Ihres Unternehmens vor (falls vorhanden).

Hinzu ergibt sich für Sie nach Art. 5 Abs. 2 DSGVO, dem Rechenschaftsprinzip, eine Dokumentationspflicht, welche Sie dazu verpflichtet, Datenschutzanfragen von Betroffenen und Behörden zu dokumentieren. Mittels unseres Ticketsystems und dem monatlichen Tätigkeitsbericht unterstützen wir Sie als EU-Vertreter mit der ordnungsgemäßen Dokumentation der eingehenden Anfragen.

In der Regel finden beim EU-Vertreter keine Vor-Ort-Termine bei Ihnen am Hauptstandort statt.

Wir stehen grundsätzlich neben regionaler Präsenz, für feste Ansprechpartner und bieten Ihnen sehr gerne eine Betreuung oder ein Meeting bei Ihnen nach Ihren Vorstellungen optional an.

Sofern kein EU-Vertreter nach Art. 27 DSGVO entsprechend der gesetzlichen Anforderungen benannt wird und die außereuropäische Organisation der Benennungspflicht nach Art. 27 unterliegt, kann die zuständige Aufsichtsbehörde bei einem Verstoß eine Benennung anordnen und zusätzlich ein Bußgeld verhängen.

In der Vergangenheit kam es bereits zu diesem Fall:

Im Jahr 2018 leitete die Niederländische Aufsichtsbehörde im Fall „Locatefamily.com“ ein Bußgeldverfahren in Höhe von 525.000€ ein, da Locatefamily.com nicht der Verpflichtung zur schriftlichen Benennung eines Vertreters in der Europäischen Union nachgekommen ist.

Weitere Informationen / Quellen:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/20210512_boetebesluit_ap_locatefamily.pdf

https://enforcementtracker.com/