Wann ist ein EU-Vertreter nötig? Bedeutung, Rolle & Aufgaben

Eine Niederlassung setzt nach Erwägungsgrund 22 der Datenschutz-Grundverordnung (DSGVO) eine „effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung“ voraus.

Ausdehnung des Anwendungsbereichs der DSGVO

Unterhält ein Verantwortlicher oder ein Auftragsverarbeiter keine Niederlassung innerhalb der EU, kommt die Frage nach dem (erweiterten) Anwendungsbereich der DSGVO ins Spiel. Sie ist auch für die Frage, ob ein Verantwortlicher einen EU-Vertreter nach Art. 27 DSGVO benennen muss, essenziell.

Hintergrund der Regelung zum EU-Vertreter ist, dass die Aufsichtsbehörde im Drittstaat keine Befugnisse besitzt. Das verlangt nach einem „Baustein“, um die DSGVO durchzusetzen.

Art. 27 DSGVO muss stets in Verbindung mit Art. 3 Abs. 2 DSGVO zum räumlichen Anwendungsbereich beurteilt werden. Denn diese Vorschrift ist wesentliche Voraussetzung dafür, ob ein Vertreter zu benennen ist oder nicht.

PRAXIS-TIPP: Ein bloßer Datentransit, z.B. über einen innereuropäischen Router, ohne tatsächliche Verarbeitung oder Kenntnisnahme, reicht nicht aus, um die Anwendbarkeit der DSGVO zu bejahen.

Die Beurteilung, ob die Datenverarbeitung die Voraussetzungen dafür erfüllt und damit den Anwendungsbereich auslöst, der Verantwortliche also einen EU-Vertreter bestellen muss, ist anhand von Indizien im Einzelfall zu ermitteln.

Indizien können z.B. sein die Absichten des Verantwortlichen, die Sprache der Website und der Top Level Domains (z.B. „de“ für Deutschland), Währungsangaben (€), Versandangebote nach Ländern sortiert, sonstiger Internetauftritt sowie eingesetzte T…