Bußgeldrisiko bei fehlendem DSGVO-Vertreter
Kurz gelesen:
Auch für Unternehmen ohne Niederlassung in der EU ist Datenschutz längst kein Randthema mehr. Wer Waren oder Dienstleistungen an EU-Bürger anbietet, muss einen EU-Vertreter nach Art. 27 DSGVO bestellen. Die europäischen (Datenschutz-) Aufsichtsbehörden kontrollieren die Einhaltung der Benennungspflicht und verhängen z.T. empfindliche Bußgelder, wenn der Vertreter fehlt oder nicht korrekt benannt wird. Gerade für internationale Unternehmen ist daher besondere Sorgfalt geboten: Ein Verstoß ist nicht nur schnell entdeckt und führt zu finanziellen Konsequenzen, sondern erhöht auch das Risiko umfangreicher Folgeprüfungen durch die Aufsichtsbehörden.
1. Bestellpflicht nach Art. 27 DSGVO
Mit der DSGVO verfolgt der europäische Gesetzgeber ein klares Ziel: Wer mit Daten europäischer Bürger arbeitet, soll in Europa auch erreichbar sein. Aus diesem Grund verpflichtet Art. 27 DSGVO Unternehmen ohne eigene Niederlassung in der EU zur Bestellung eines in der EU ansässigen Vertreters. Diese Pflicht greift immer dann, wenn ein Unternehmen eigene Produkte oder Dienstleistungen gezielt EU-Bürger adressiert. Auch Unternehmen, die das Verhalten von Personen in der EU analysieren, etwa durch Cookies, Tracking oder Profiling, sind in aller Regel betroffen.
Der Vertreter übernimmt dabei eine zentrale Funktion: Er ist die offizielle Anlaufstelle für Aufsichtsbehörden und betroffene Personen innerhalb der EU. Er hält die datenschutzrelevanten Unterlagen bereit, unterstützt bei Anfragen und sorgt so für einen reibungslosen Ablauf bei der Datenschutz-Compliance des Unternehmens.
2. Einfache Überprüfbarkeit für die Aufsichtsbehörden
Die europäischen (Datenschutz-) Aufsichtsbehörden kontrollieren aktiv, ob Unternehmen ihrer Pflicht zur Benennung eines EU-Vertreters nachkommen. Dabei kommt den Aufsichtsbehörden zugute, dass sie vergleichsweise einfach überprüfen können, ob ein Unternehmen seiner Bestellpflicht nachkommt. Durch eine kurze Internetrecherche können die Aufsichtsbehörden meist problemlos feststellen, ob ein Unternehmen Waren und/oder Dienstleistungen (auch) auf dem europäischen Markt anbietet und ob das Unternehmen dabei ohne eigene europäische Niederlassung handelt. Wird der Vertreter in der Datenschutzerklärung des Unternehmens dann auch nicht genannt, ist dies ein starkes Indiz dafür, dass es den Vertreter nicht gibt. Selbst wenn doch ein Vertreter benannt worden sein sollte, liegt jedenfalls ein Verstoß gegen die Nennpflicht nach Art. 13 Abs. 1 Buchst. a DSGVO vor.
3. Bußgeldrahmen und behördliche Bußgeldpraxis
Dass ein Verstoß gegen die Bestellpflicht nach Art. 27 DSGVO kein „Kavaliersdelikt“ ist, zeigt der Bußgeldrahmen den Art. 83 DSGVO dafür vorsieht. Danach kommt für einen Verstoß gegen die Bestellpflicht nach Art. 27 DSGVO ein Bußgeld von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes des Unternehmens (je nachdem, welcher Betrag höher ist) in Betracht.
Zum Leidwesen von Unternehmen sind Bußgelder für Verstöße gegen Art. 27 DSGVO auch nicht bloß theoretischer Natur. So verhängte etwa die niederländische Datenschutzaufsicht ein Bußgeld i.H.v. 525.000 Euro gegen das Unternehmen locatefamily.com, weil es keinen EU-Vertreter benannt hatte. Gegen Clearview AI verhängte die italienische Aufsichtsbehörde aus dem gleichen Grund ein Bußgeld i.H.v. 600.000 Euro.
4. Auslöser für weitere aufsichtsbehördliche Kontrollen
Hinzukommt, dass Unternehmen, welche die Benennungspflicht ignorieren auch die Tür für umfassendere (Folge-)Prüfungen und -Maßnahmen der Aufsichtsbehörden öffnen. Die rechtliche Logik dahinter ist eindeutig: Der EU-Vertreter soll sicherstellen, dass betroffene Personen ihre Rechte (z.B. auf Auskunft, Berichtigung oder Löschung ihrer Daten) gegenüber dem Verantwortlichen oder Auftragsverarbeiter effektiv geltend machen können. Wird ein solcher Ansprechpartner nicht benannt, ist das nicht möglich.
Eine Aufsichtsbehörde könnte die fehlende Bestellung eines Vertreters als Anhaltspunkt dafür nehmen, dass das betreffende Unternehmen auch in anderen Bereichen des Datenschutzes nachlässig handelt. Denn aus Sicht der Behörden liegt die Vermutung nahe, dass ein Unternehmen, das bereits bei einer so grundlegenden Pflicht nachlässig agiert, möglicherweise auch andere DSGVO-Anforderungen missachtet. Im für das Unternehmen ungünstigsten Fall kann das zur Konsequenz haben, dass ein Verstoß gegen die Bestellpflicht eines Vertreters eine umfassende Prüfung des gesamten Datenverarbeitungskonzepts des Unternehmens oder zumindest größerer Teile davon nach sich zieht.
5. Was müssen Unternehmen tun?
- Prüfen Sie, ob Ihr Unternehmen anhand der oben aufgeführten Kriterien vertreterpflichtig ist.
- Falls dies der Fall ist: Benennen Sie für Ihr Unternehmen einen Vertreter, der in der EU niedergelassen ist.
- Nehmen Sie den EU-Vertreter als Kontaktperson in die Datenschutzinformation Ihres Unternehmens auf.
- Stellen Sie sicher, dass der EU-Vertreter Zugang zu allen notwendigen geschäftsinternen Informationen hat, um Anfragen von Behörden oder Betroffenen beantworten zu können.