Internationale Unter­nehmen, die in den europäischen Markt expandieren, müssen in bestimmten Situationen die Vorgaben der Daten­schutz­grund­ver­ordnung (DSGVO) umsetzen, auch wenn der Sitz des Unter­nehmens sich im Aus­land befindet. Eine be­sondere Rolle kommt dabei dem Vertreter zu.

Einleitung

Für Unternehmen mit Sitz außerhalb der EU besteht die Pflicht zur Umsetzung der DSGVO, wenn sie im Rahmen der Tätigkeiten in der EU personenbezogene Daten verarbeiten. Auch wenn keine Niederlassung besteht, muss die DSGVO berücksichtigt werden, wenn Waren oder Dienstleistungen in der EU angeboten und im Zusammenhang damit personenbezogene Daten von in der Union befindlichen Personen verarbeitet werden.

Für die europäischen Aufsichtsbehörden ist es bisweilen schwierig, mit den verantwortlichen Unternehmen in Kontakt zu kommen, um datenschutzrechtliche Fragen zu klären. Diesem Umstand trägt Artikel 27 DSGVO Rechnung, welcher die Bestellung eines sogenannten „Vertreters“ regelt. Wenn ein auf dem europäischen Markt agierendes Unternehmen über keine Niederlassung in der EU verfügt, muss ein in der EU niedergelassener Vertreter benannt werden. Der Vertreter agiert als Ansprechpartner und Anlaufstelle des Unternehmens für die Datenschutz-Aufsichtsbehörden und für die Personen, deren Daten verarbeitet werden. Die Verantwortung für die Datenverarbeitung und die Einhaltung der geltenden Datenschutznormen liegt weiterhin unmittelbar bei dem verarbeitenden Unternehmen. Der Vertreter übernimmt im Wesentlichen für das Unternehmen die Kommunikation im Falle von Datenschutz-Anfragen.

Wenn beispielsweise ein europäischer Kunde eines US-amerikanischen Handels­unter­nehmens eine Anfrage über seine gespeicherten Daten stellen möchte, müsste er sich hierzu nicht direkt an das Unternehmen in den USA wenden, sondern könnte seine Frage stattdessen an den Vertreter stellen.

Aufgaben und Rolle des Vertreters

Um seine Aufgabe wahrnehmen zu können, sollte der Vertreter von seinem Auftraggeber immer über den aktuellen Stand zur Umsetzung der Datenschutz-Maßnahmen informiert und in die diesbezüglichen Verfahren einbezogen werden. Darüber hinaus sollte der Vertreter über gute Kenntnisse der datenschutzrelevanten Geschäftsprozesse beim Auftraggeber verfügen. Schließlich muss durch die Organisation der innerbetrieblichen Kommunikationsstrukturen und die Einbindung des Vertreters in diese eine fristgerechte Beantwortung von datenschutzbezogenen Anfragen sichergestellt werden. Auch hier gilt, dass es zwar Aufgabe des Vertreters ist, etwaige Fragen gegenüber Dritten zu beantworten. Aber in die Verantwortung des Unternehmens als Auftraggeber fällt es, für die fristgerechte Bereitstellung der benötigten Auskünfte und Informationen sowie für deren Richtigkeit zu sorgen.

Um die Erreichbarkeit des Vertreters sicherzustellen, muss das Unternehmen im Rahmen seiner Transparenz- und Informationspflichten über den Namen und die Kontaktdaten des Vertreters informieren, beispielsweise in der Datenschutzerklärung der Webseite bzw. in an die Kunden gerichteten Datenschutz-Informationsblättern. Der Umfang der gesetzlich vorgeschriebenen Angaben zum Vertreter geht dabei über die Informationen zum Datenschutzbeauftragten hinaus. Während vom Daten­schutz­be­auftragten lediglich Kontaktdaten bekannt gemacht werden müssen, muss der Vertreter zusätzlich namentlich benannt werden. Zusammenfassend betrachtet, fordert die Rolle des Vertreters in vielen Aspekten eine ähnliche Einbindung in die Kommunikationsstrukturen des Unternehmens wie die Rolle des betrieblichen Datenschutzbeauftragten. 

Fazit

Bis auf wenige Ausnahmen müssen auch außerhalb der EU ansässige Unternehmen die DSGVO berücksichtigen, wenn sie auf dem europäischen Markt tätig sind. Sie sind dann den gleichen Anforderungen und Sanktionsmöglichkeiten ausgesetzt, wie in der EU ansässige Unternehmen. Davon betroffene Unternehmen sollten, sofern noch nicht erfolgt, etwaigen Handlungsbedarf bezüglich Datenschutz und IT-Sicherheit identifizieren und entsprechende Maßnahmen ergreifen. Unternehmen, die keine Niederlassung in der EU betreiben, sollten insbesondere die Benennung eines in der EU ansässigen Vertreters prüfen.