Representatives of controllers or processors not established in the Union /
Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
What is a representative?
Your company is internationally positioned? Do you offer goods or services to EU citizens? You do not have a branch in the EU? Then you probably need a representative in the EU!
The EU Data Protection Regulation (GDPR), which has been applicable to all companies since 25.05.2018, also applies to all non-EU companies that offer their services in the EU. Art. 27 (1) GDPR commits such companies to appoint a representative in the EU. A violation of this rule could potentially lead to a loss of confidence in potential customers, but also lead to a fine.
Only if your personal data processing is done on an occasional basis and is unlikely to pose a risk to the rights and freedoms of natural persons can you waive the right to a representative in the EU. However, online service providers in particular should not regularly benefit from this exemption, as most online services rely on the processing of personal data.
The representative is mandated by the controller or the processor to serve as a focal point for the supervisory authorities and the data subjects. In this capacity, he is the contact person for all matters relating to the processing of personal data. According to §44 BDSG he is also an authorized representative for the receipt of legal documents.
As a communication interface to the company, the agent does not have to be a lawyer or privacy advocate. The GDPR makes no special demands on the person. Nevertheless, it makes sense if the representative knows the regulations of the GDPR. Only then can incoming documents be checked and possible deadlines monitored.
In order for the commissioning to be complete and effective, an authorization is necessary. This mandate defines the duties of the representative. In addition, the representative must be made public on the basis of several provisions of the GDPR. In order for the persons concerned to be able to get in touch with the representative, the representative must be named in the information obligations (Articles 13 and 14 GDPR). In addition, this information must also be recorded in the list of processing activities (Article 30 GDPR).
Note
Appointment of a representative does not exclude that the supervisory authorities or the persons concerned directly contact the controller or the processor. Both ways are gem. DSGVO allowed. Also, the responsibility for compliance with the provisions of data protection laws is not transferred to the representative, all obligations remain with the contracting company. As a link between the supervisory authorities, the persons concerned and the company, the agent assumes no liability. The liability of the company is neither reduced nor excluded.
Was ist ein Vertreter?
Ihr Unternehmen ist international aufgestellt? Sie bieten Waren oder Dienstleistungen EU-Bürgern an? Sie haben keine Niederlassung in der EU? Dann brauchen Sie sehr wahrscheinlich einen Vertreter in der EU!
Die EU-Datenschutzgrundverordnung (EU-DSGVO), welche seit dem 25.05.2018 von allen Unternehmen anzuwenden ist, betrifft auch alle Unternehmen ohne Sitz in der EU, die ihre Leistungen jedoch in der EU anbieten. Art. 27 Abs. 1 DSGVO verpflichtet solche Unternehmen einen Vertreter in der EU zu bestellen. Ein Verstoß gegen diese Vorschrift kann möglicherweise zu einem Vertrauensverlust bei potenziellen Kunden führen, aber auch mit einem Bußgeld führen.
Nur wenn Ihre Verarbeitung personenbezogener Daten nur gelegentlich erfolgt und wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, können Sie auf einen Vertreter in der EU verzichten. Gerade Anbieter von Onlinediensten dürften regelmäßig jedoch nicht von dieser Befreiung profitieren, da die meisten Onlinedienste auf die Verarbeitung von personenbezogenen Daten angewiesen sind.
Der Vertreter wird vom Verantwortlichen oder vom Auftragsverarbeiter beauftragt, als Anlaufstelle für die Aufsichtsbehörden und für die betroffenen Personen zu dienen. In dieser Funktion steht er als Ansprechpartner für sämtliche Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten bereit. Gem. §44 BDSG ist er zudem ein Bevollmächtigter für den Erhalt von Rechtsdokumenten.
Als Kommunikationsschnittstelle zum Unternehmen muss der Vertreter weder Jurist noch Datenschützer sein. Die DSGVO stellt keine besonderen Anforderungen an die Person. Trotzdem ist es sinnvoll, wenn der Vertreter die Vorschriften der DSGVO kennt. Nur dann können eintreffenden Dokumente geprüft und mögliche Fristen überwacht werden.
Damit die Beauftragung vollständig und wirksam ist, ist eine Bevollmächtigung notwendig. In dieser Vollmacht sind die Aufgaben des Vertreters festgehalten. Zudem ist der Vertreter auf Grund mehrerer Vorschriften der DSGVO öffentlich zu machen. Damit die Betroffenen in der Lage sind mit dem Vertreter in Kontakt zu treten, ist der Vertreter in den Informationspflichten (Art. 13 u. 14 DSGVO) zu benennen. Zudem sind diese Angaben auch im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu vermerken.
Hinweis
Die Benennung eines Vertreters schließt nicht aus, dass die Aufsichtsbehörden oder die Betroffenen direkt an den Verantwortlichen oder an den Auftragsverarbeiter wenden. Beide Wege sind gem. DSGVO zulässig. Auch wird die Verantwortung für die Einhaltung der Vorgaben der Datenschutzgesetze nicht auf den Vertreter übertragen, alle Pflichten verbleiben beim beauftragenden Unternehmen. Als Bindeglied zwischen den Aufsichtsbehörden, den betroffenen Personen und dem Unternehmen übernimmt der Vertreter keine Haftung. Die Haftung des Unternehmens wird weder verringert, noch ausgeschlossen.
