Loading…
Artikel 27 DSGVO verpflichtet nicht in der EU ansässige Verantwortliche und Auftragsverarbeiter, die Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU beobachten, dazu, schriftlich einen Vertreter zu benennen, der in einem der EU-Mitgliedstaaten niedergelassen ist, in denen sich diese betroffenen Personen befinden. Der Vertreter ist die zentrale Anlaufstelle für Aufsichtsbehörden und betroffene Personen.
Es gibt zwei eng gefasste Ausnahmen: (1) gelegentliche Verarbeitung mit geringem Risiko, die keine Daten besonderer Kategorien und keine Daten über strafrechtliche Verurteilungen umfasst, und (2) Behörden und öffentliche Stellen. Das Missverständnis dieser Ausnahmen ist der teuerste Fehler, den nicht in der EU ansässige Unternehmen machen.
Die unterlassene Benennung eines Vertreters ist ein Verstoß der Kategorie 4 nach Artikel 83(4) – Geldbußen von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Mehrere Aufsichtsbehörden (CNIL, die Hamburger Datenschutzbehörde, die spanische AEPD) setzen dies seit 2021 aktiv durch.
Artikel 27(1) DSGVO lautet:
"Findet Artikel 3 Absatz 2 Anwendung, so benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union."
Dieser kurze Satz begründet eine erhebliche operative Pflicht. Artikel 3(2) – die Klausel zum extraterritorialen Anwendungsbereich – gilt immer dann, wenn die Verarbeitung Folgendes betrifft: (a) das Anbieten von Waren oder Dienstleistungen an betroffene Personen in der EU oder (b) die Beobachtung des Verhaltens betroffener Personen in der EU.
Der Vertreter ist daher ein struktureller Anknüpfungspunkt für die Verarbeitung außerhalb der EU: ein Briefkasten in der Union, eine Anlaufstelle und ein Verantwortlichkeitsanker. Er steht zwischen Ihren Aktivitäten außerhalb der EU und den 27 nationalen Aufsichtsbehörden der EU.
Sie benötigen einen Vertreter, wenn Sie alle vier der folgenden Punkte erfüllen:
Zwei Klarstellungen sind in der Praxis wichtig:
Artikel 27(2) sieht zwei eng gefasste Ausnahmen vor:
Eine Verarbeitung, die (a) gelegentlich erfolgt, (b) nicht in großem Umfang Daten besonderer Kategorien nach Artikel 9 oder Daten über strafrechtliche Verurteilungen nach Artikel 10 umfasst und (c) unter Berücksichtigung von Art, Kontext, Umfang und Zwecken voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist ausgenommen.
Alle drei Bedingungen müssen erfüllt sein. Die EDPB-Leitlinien 3/2018 legen "gelegentlich" streng aus – es bedeutet einmalig oder sporadisch, niemals den regulären Geschäftsbetrieb. Kontinuierliches Tracking, wiederkehrende Analytics oder jeder laufende Datenfluss erfüllen die Voraussetzungen selten.
Behörden und öffentliche Stellen sind nicht verpflichtet, einen Vertreter zu benennen. Diese Ausnahme ist für kommerzielle Unternehmen selten relevant, aber bedeutsam für ausländische Regierungsbehörden, Zentralbanken und internationale Organisationen.
Artikel 27(4) definiert die Rolle des Vertreters:
"Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich oder anstelle des Verantwortlichen oder des Auftragsverarbeiters insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung Ansprechpartner zu sein, um die Einhaltung dieser Verordnung sicherzustellen."
Entscheidend ist, dass der Vertreter kein Ersatz für einen DPO ist. Die beiden Rollen können von verschiedenen Parteien wahrgenommen werden, und die DPO-Pflicht (Art. 37) wird durch andere Kriterien ausgelöst.
Artikel 27(3) verlangt, dass der Vertreter in einem der Mitgliedstaaten niedergelassen ist, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten verarbeitet werden. In der Praxis haben Sie Spielraum: Wenn Ihre EU-Nutzer über mehrere Mitgliedstaaten verteilt sind, können Sie denjenigen wählen, dessen Aufsichtsbehörde am besten zu Ihrem Geschäftsmodell passt.
Häufige Wahl: Irland (englischsprachig, technologiefreundlich), Deutschland (mehr Aufsichtsbehörden zu koordinieren, aber streng), die Niederlande (englischsprachige Aufsichtsbehörde), Frankreich (CNIL mit starkem Durchsetzungsruf) und Spanien (AEPD mit aktiver Durchsetzung).
Die Mechanik:
Die Identität und Kontaktdaten des Vertreters müssen den betroffenen Personen mitgeteilt werden (Artikel 13(1)(a) und 14(1)(a)). Konkret bedeutet dies, dass Name, Postanschrift und Kontakt-E-Mail des Vertreters angegeben werden müssen in:
Die unterlassene Veröffentlichung des Vertreters ist selbst ein Verstoß gegen die Transparenzpflichten (Artikel 12) und unterliegt den niedrigeren Geldbußen nach Artikel 83(4).
Artikel 27(5) ist eindeutig: Die Benennung eines Vertreters berührt nicht die rechtlichen Schritte, die gegen den Verantwortlichen oder Auftragsverarbeiter selbst eingeleitet werden könnten. Der Vertreter übernimmt keine Haftung für die zugrunde liegenden Verstöße des Verantwortlichen.
Der Vertreter kann jedoch Durchsetzungsmaßnahmen in Bezug auf seine eigenen Pflichten unterliegen – das Bereitstellen der Aufzeichnungen, die Zusammenarbeit mit Aufsichtsbehörden und seine Erreichbarkeit. Ein Vertreter, der seine mandatierte Funktion nicht erfüllt, riskiert die Aussetzung durch den bestellenden Verantwortlichen sowie einen Reputationsschaden im Markt für Vertreterdienste.
Die unterlassene Benennung eines Vertreters ist ein Verstoß gegen Artikel 27 selbst – ein Verstoß der Kategorie 4 nach Artikel 83(4) DSGVO. Die geltende Bußgeldobergrenze beträgt:
Die Durchsetzung verläuft seit 2021 stetig. Zu den bemerkenswerten Fällen zählen Maßnahmen der CNIL gegen US-basierte Ad-Tech-Unternehmen, die Untersuchung ausländischer Analytics-Anbieter durch Hamburg sowie Feststellungen der AEPD gegen internationale Werbenetzwerke. Selbst wenn das Fehlen eines Vertreters nicht alleinige Grundlage einer Geldbuße ist, signalisiert es oft eine umfassendere Compliance-Lücke, die Sanktionen verschärft.
Artikel 27 UK GDPR spiegelt die EU-Pflicht wider, gilt aber für nicht im Vereinigten Königreich ansässige Verantwortliche und Auftragsverarbeiter, die sich an Personen im Vereinigten Königreich richten. Seit dem 1. Januar 2021 sind der EU- und der UK-Vertreter getrennte Rollen – Sie benötigen beide, wenn Sie sich an beide Räume richten.
Praxistipp: Viele Unternehmen bestellen einen Vertreteranbieter, der über abgestimmte rechtliche Strukturen sowohl die EU- als auch die UK-Vertretung anbietet und so doppelte Prozesse für die Meldung von Datenpannen, die Kommunikation mit ICO/EDPB und Anfragen betroffener Personen vermeidet.
Nein. Der Vertreter muss in der EU/im EWR niedergelassen sein. Die Schweiz (trotz ihrer Gleichwertigkeit nach dem FADP) liegt für diesen Zweck außerhalb des EWR. Island, Liechtenstein und Norwegen qualifizieren sich.
Grundsätzlich, bevor Sie die in den Anwendungsbereich fallende Verarbeitung aufnehmen. In der Praxis behandeln Aufsichtsbehörden die Bestellung als Voraussetzung, die vor der wesentlichen Verarbeitung von Daten betroffener EU-Personen vorliegen muss. Eine rückwirkende Bestellung ist keine Verteidigung gegen frühere Nichteinhaltung.
Nur, wenn die Einheit die Anforderungen an Unabhängigkeit und Fachwissen der Artikel 37–39 erfüllt. Die meisten dedizierten Vertreteranbieter bieten beides als getrennte Dienste über getrennte Teams an, um Interessenkonflikte zu vermeiden.
Sie müssen umgehend einen Ersatz benennen und Ihre veröffentlichten Hinweise aktualisieren. Eine Lücke in der Vertretung während der fortgesetzten Verarbeitung von Daten betroffener EU-Personen ist ein Verstoß.
Nein. Ein Vertreter deckt die gesamte Verarbeitung in der EU/im EWR ab. Der Vertreter ist in einem Mitgliedstaat niedergelassen; welcher Mitgliedstaat gewählt wird, hängt davon ab, wo sich Ihre betroffenen Personen überwiegend befinden.
Nicht für sich genommen – der CDN-Anbieter ist ein Auftragsverarbeiter mit eigenen Pflichten. Die Frage ist, ob Ihre zugrunde liegende Geschäftstätigkeit auf EU-Nutzer ausgerichtet ist oder diese beobachtet. Bei den meisten ist das der Fall.
RegulatoryBridge bietet Dienste als EU-Vertreter und UK-Vertreter nach Artikel 27 in allen 27 EU-Mitgliedstaaten an. Zentrale Anlaufstelle, mehrsprachiger Support, transparente Festpreise, vollständige Abdeckung der Aufsichtsbehörden.