UK-Niederlassung allein erfüllt EU-Vertreterpflicht nicht
Kurz gelesen:
Nicht erst seit der Einführung der DSGVO im Jahre 2018 wickeln viele amerikanische und chinesische Unternehmen ihre europäischen Geschäftsaktivitäten über UK (insb. London) ab. Was viele Unternehmen nach wie vor aber übersehen: UK ist seit Ende 2020 kein EU-Mitglied mehr. Die DSGVO verpflichtet datenverarbeitende Stellen aber regelmäßig zur Benennung eines in der EU niedergelassenen Vertreters als datenschutzrechtlichen Ansprechpartner für Betroffene und Aufsichtsbehörden.
1. Wer braucht einen EU-Vertreter nach Art. 27 DSGVO?
Die EU-Vertreterpflicht nach Art. 27 DSGVO trifft allgemein alle Unternehmen, die keine Niederlassung in der EU haben, wenn sie als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von EU-Bürgern verarbeiten und ihre Geschäftstätigkeit auf den EU-Markt ausgerichtet ist. Letzteres kann insbesondere dann gegeben sein, wenn das Unternehmen eine Website in EU-Sprachen unterhält, Waren und/oder Dienstleistungen in EU-Ländern anbietet, Preise in € ausweist, EU-spezifische Werbung schaltet oder EU-Domains (z.B. „.de“) verwendet.
Warum eine Niederlassung in UK für einen EU-Vertreter nach der DSGVO nicht ausreicht
Vor dem Brexit war das UK EU-Mitglied, weshalb ausländische Unternehmen (z.B. aus den USA oder China) mit einer UK-Niederlassung keinen separaten EU-Vertreter benötigten. Die UK-Niederlassung erfüllte diese Funktion automatisch. Seit dem Brexit am 1. Januar 2021 ist das UK jedoch ein Drittstaat, weswegen die Berufung eines gesonderten EU-Vertreters rechtlich erforderlich geworden ist. Für ausländische Unternehmen, die weder eine Niederlassung in der EU noch im UK haben, kann es sogar erforderlich sein sowohl einen EU-Vertreter als auch einen UK-Vertreter zu berufen.
2. Aufgaben eines EU-Vertreters
Ein EU-Vertreter fungiert für Ihr Unternehmen als datenschutzrechtlicher Ansprechpartner in der EU, d.h. er bearbeitet Betroffenenanfragen und ist Kontaktstelle und Zustellungsbevollmächtigter für Ihr Unternehmen gegenüber den Aufsichtsbehörden im Datenschutz. Daneben führt der EU-Vertreter das nach Art. 30 DSGVO vorgeschriebene Verarbeitungsverzeichnis für Ihr Unternehmen.
3. Was müssen Unternehmen nun tun?
• Prüfen Sie, ob Ihr Unternehmen anhand der oben aufgeführten Kriterien vertreterpflichtig ist.
• Falls dies der Fall ist: Benennen Sie für Ihr Unternehmen einen Vertreter, der in der EU niedergelassen ist.
• Nehmen Sie den EU-Vertreter als Kontaktperson in die Datenschutzinformation Ihres Unternehmens auf.
• Stellen Sie sicher, dass der EU-Vertreter Zugang zu allen notwendigen geschäftsinternen Informationen hat, um Anfragen von Behörden oder Betroffenen beantworten zu können.
4. Was inteqrity als EU-Vertreter auszeichnet
Mit unserer jahrzehntelangen Erfahrung als spezialisierte Rechtsanwälte im Datenrecht und als externe Datenschutzbeauftragte verstehen wir genau, worauf es bei der DSGVO-Compliance ankommt, und können komplexe Sachverhalte pragmatisch und lösungsorientiert bearbeiten. Aufgrund unserer tiefgreifenden Branchenkenntnisse können wir branchenspezifische Besonderheiten berücksichtigen und maßgeschneiderte Lösungen für Ihr Unternehmen zu entwickeln, wenn nötig. Besonders wertvoll sind unsere langjährig gewachsenen, vertrauensvollen Kontakte zu den Datenschutz-Aufsichtsbehörden, die sich in kritischen Situationen in der Vergangenheit bereits als entscheidender Vorteil erwiesen haben. inteqrity bietet Ihnen nicht nur formale Compliance, sondern echte datenschutzrechtliche Expertise, wenn Sie sie wirklich brauchen.