Hintergrund und Zielsetzung
Muss ein Unternehmen, das seinen Sitz nicht in der Union hat, an die Datenschutzgrundverordnung (DS-GVO) halten? Kommen Globalisierung und Vernetzung der Welt an der DS-GVO vorbei? Die DS-GVO ist doch eine Europäische Gesetzgebung. Sind Unternehmen mit Sitz in Drittländern von der DS-GVO betroffen und darauf verpflichtet, sobald sie Waren und Dienstleistungen an in der Union lebenden Personen anbieten wollen?
In diesem Artikel möchte ich den Fall beleuchten, wie die DS-GVO anzuwenden ist, wenn ein Verantwortlicher (z. B. ein Unternehmen) ohne Niederlassungen in der Union seinen Sitz in einem Drittland, z. B. der Schweiz, hat und wie dieses Unternehmen dann rechtskonform seine Dienste in der Union anbieten kann (Hinweis: Wenn im Folgenden der „Verantwortliche“ genannt wird, ist gleichzeitig auch immer „oder Auftragsverarbeiter“ gemeint).
Welche Unternehmen konkret betroffen sind
Zunächst ist es wichtig, den räumlichen Anwendungsbereich feststellen. Der sachliche Anwendungsbereich soll hier nicht betrachtet werden.Im Artikel 3 Satz 2 der DS-GVO wird für dieses Beispiel der so genannte „Räumliche Anwendungsbereich“ folgendermaßen definiert:
„Diese Verordnung findet Anwendung auf die Verbreitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; (...)“1.
Was bedeutet das konkret? Mehrere Aspekte sind hier herauszuheben: Der Unternehmer hat keine Niederlassung in der Union. Er bietet Leistungen an, die sich an Personen richten, die sich in der Union „befinden“, d. h. die Personen, deren personenbezogene Daten verarbeitet werden, müssen nicht einmal Bürger eines europäischen Mitgliedsstaates sein2.
Zuletzt erfolgt der Hinweis „(…) unabhängig davon, ob (…) eine Zahlung zu leisten ist;“. Die Gültigkeit der DS-GVO ist hier gänzlich unabhängig davon, ob ein Vertrag geschlossen wurde3.
Interessant ist auch Artikel 3 Absatz 2 lit. b, der besagt, dass die Verordnung auch Anwendung findet, „(…) wenn die Datenverarbeitung im Zusammenhang damit steht (…) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.“
Im Erwägungsgrund 24 wird spezifiziert, dass unter dem „Beobachtung“ Internetaktivitäten fallen, die nachvollzogen und anschließend einer möglichen Verarbeitung unterliegen, um z. B. ein Profil einer Person zu erstellen. Hiermit ist also z. B. die Verfolgung und die Aufzeichnungen des Klick-Verhaltens, des Kauf-Verhaltens mittels Cookies, Tags, Pixel (z. B. Facebook Pixel) usw. gemeint4, sofern das Verhalten des Betroffenen „in der Union“ erfolgt5. Um den Rahmen nicht zu sprengen, möchte ich auf weitere Inhalte des Artikel 3 nicht eingehen.
Zusammenfassend lässt sich feststellen:
- Es geht um Unternehmen, die keine Niederlassung in der Union haben,
- die Leistungen anbieten, die sich an Personen richten, die sich in der Union
befinden oder - das Verhalten betroffener Personen beobachten, wenn das Verhalten in der Union
stattfindet.
Aber was haben Unternehmen zu beachten, wenn Sie unter diesen Fall des räumlichen Anwendungsbereiches fallen?
Die Lösung: Ein Vertreter in der Union
Antworten hierzu finden wir im Artikel 27 Satz 1 der DS-GVO: „In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union (…)“. Das heißt, der Verantwortliche muss einen Vertreter benennen, dies hat schriftlich zu erfolgen.
Wer kann Vertreter sein?
Vertreter kann eine Privatperson, ein Unternehmen oder ein Verein sein. Er muss schriftlich benannt werden und seinen Sitz in der Union haben. Der Vertreter muss auch nicht zur Organisation des Verantwortlichen gehören6. Wichtig ist, dass der Vertreter nicht gleichzeitig der Datenschutzbeauftragte sein kann. Der Vertreter hat nach dem Erwägungsgrundatz 80 S. 5 ein Mandat und ist an die Weisungen seines Auftraggebers gebunden. Der Datenschutzbeauftragte muss unabhängig von den Weisungen des Auftraggebers handeln können7.
Sinn und Zweck der Vertreters
Da das Unternehmen als Verantwortlicher keine Niederlassung in der Union hat, benötigt die Aufsichtsbehörde eine Anlaufstelle für die Kontaktaufnahme und diese auch als Ziel für mögliche Durchsetzungsmaßnahmen. Auch betroffene Personen sollen wissen, an wen sie sich wenden können. Die Benennungspflicht eines Vertreters dient damit den Interessen Dritter, denen die Durchsetzung Ihrer Rechte und Vorgaben der DS-GVO ermöglicht werden8.
Voraussetzung für die Benennung
Wie bereits erwähnt, muss der Artikel 3 Absatz 2 der DS-GVO Anwendung finden (siehe Abschnitt: „Welche Unternehmen konkret betroffen sind“). Die Benennung hat zudem schriftlich zu erfolgen. Allerdings geht aus dem Gesetz nicht klar hervor, ob die Benennung, die Beauftragung oder die Bestellung schriftlich erfolgen muss9.
Die Vorgaben scheinen hier inkonsistent zu sein, allerdings lässt sich festhalten, „(…) dass der Vorgang, der eine natürliche oder juristische Person zum Vertreter in der Union macht, also die konkrete Angabe zur Person, ihrer Anschrift und ihrer Funktion als Vertreter, schriftlich erfolgen muss“10.
Eine weitere Voraussetzung ist, dass der Vertreter in einem der Mitgliedsstaaten niedergelassen sein muss, in dem sich betroffene Personen befinden, denen Waren oder Dienstleistungen angeboten werden und deren Daten verarbeitet werden (oder deren Verhalten beobachtet wird). Es ist allerdings nicht erforderlich, einen Vertreter pro Mitgliedsstaat zu benennen. In Artikel 27 Absatz 3 wird lediglich von „einem der Mitgliedsstaaten“ gesprochen11.
Ausnahmen
Von der Benennungspflicht gibt es folgende Ausnahmen:
Die Verarbeitung personenbezogener Daten erfolgt nur gelegentlich, es erfolgt keine umfangreiche Verarbeitung besonderer Datenkategorien nach Artikel 9 Absatz 1 DS-GVO oder keine Verarbeitung von Daten strafrechtlicher Verurteilungen und Straftaten, die Datenverarbeitung führt nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen12.
Darüber hinaus sind Behörden oder öffentliche Stellen ausgenommen13.
Verhältnis des Vertreters zum Verantwortlichen
Der Erwägungsgrundsatz 80, S. 2 DS-GVO besagt, dass der Vertreter im Namen des Verantwortlichen tätig ist und den Behörden als Anlaufstelle dient. Er vertritt das verantwortliche Unternehmen in Bezug auf die jeweils nach der DS-GVO obliegenden Pflichten (Art. 4, Nr. 17 DS-GVO). Der Vertreter soll somit im Namen des Verantwortlichen tätig sein, in Bezug auf die dem Verantwortlichen obliegenden Pflichten an seiner Stelle handeln und ihn bezüglich seiner Pflichten vertreten. Damit handelt er in fremden Namen unter Vorliegen einer gesetzlichen Vertretungsmacht. Das verantwortliche Unternehmen bleibt jedoch weiterhin verantwortlich. Nach Art. 4 Abs. 2 RL 95/46/EG „tritt der Vertreter nicht in die Rechte und Pflichten des Vertreters ein“14.
Allerdings hat der Vertreter keine eigenen großen Entscheidungsspielräume. Nach dem Erwägungsgrundsatz 80 S. 5 DS-GVO hat sich der Vertreter bei Erfüllung seiner Aufgaben an das durch das durch den Auftraggeber erteilte Mandat zu richten. D. h. der Auftraggeber legt den Umfang der Vertretungsbefugnis fest15.
Aber was geschieht, wenn der Verantwortliche nicht gemäß den gesetzlichen Anforderungen handelt. Kann der Vertreter hierfür zivil- oder strafrechtlich belangt werden? Das Problem ist, dass dies in den mitgliedsstaatlichen Umsetzungsvorschriften nicht einheitlich geregelt ist. In einigen Mitgliedsstaaten kann der Vertreter mit Geldbußen und Strafen direkt belangt werden, in anderen sind derartige Maßnahmen nicht vorgesehen16.
Pflichten des Vertreters
Wie bereits erwähnt, fungiert der Vertreter als Anlaufstelle für Anfragen durch die Aufsichtsbehörde und auch für deren Durchsetzungsmaßnahmen sowie als Kontakt für Anfragen betroffener Personen.
Gesetzlich verpflichtet bleibt das verantwortliche Unternehmen selbst, das wird auch nicht auf den Vertreter übertragen. Der Vertreter unterstützt den Auftraggeber lediglich, diesen Pflichten nachzukommen und vertritt ihn bei deren Erfüllung17.
Es gibt auch Pflichten, die der Vertreter selbst erfüllen muss. Hierzu gehört z. B. das Führen des Verfahrensverzeichnisses (siehe Art. 30 Abs. 1 DS-GVO), welches der Vertreter ggf. den Aufsichtsbehörden auf Anfrage zur Verfügung stellen muss (siehe Art. 30 Abs. 4 DS-GVO). Der Vertreter ist nach Art. 31 DS-GVO zudem verpflichtet, mit den Aufsichtsbehörden zusammenzuarbeiten.
Verstößt das verantwortliche Unternehmen gegen gesetzliche Regelungen, kann der Vertreter nach Erwägungsgrundsatz 80, S. 6 auch selbst von behördlichen Durchsetzungsmaßnahmen betroffen sein. Was das Durchsetzungsverfahren genau beinhaltet und in welcher Form der Vertreter betroffen ist, ist nicht ganz klar und wird in Golas „DS-GVO, Datenschutz-Grundverordnung VO (EU) 2016/679 mit Blick auf verschiedene Aspekte diskutiert18.
Verstöße
Bei Verstößen haftet der Verantwortliche selbst, nicht sein Vertreter. Dieser soll nach Art. 27 Abs. 4 DS-GVO nur als Anlaufstelle für die zuständigen Aufsichtsbehörden dienen. Der Vertreter hat jedoch eigene Pflichten, die er erfüllen muss (siehe Abschnitt „Pflichten des Vertreters“). Verstößt er selbst gegen eine seiner eigenen Pflichten und erfüllt er die Voraussetzungen des Art. 83 Abs. 4 lit. a, so kann von der Aufsichtsbehörde auch gegen ihn direkt eine Geldbuße verhängt werden19.
Zusammenfassung
Unternehmen oder Auftragsverarbeiter, die keine Niederlassung in der Union haben, sind nicht automatisch von der DS-GVO befreit. Ganz im Gegenteil, bieten sie Dienste und Leistungen an und verarbeiten personenbezogene Daten, wobei die Empfänger Personen sind, die sich in der Union aufhalten und nicht einmal Bürger des jeweiligen Mitgliedsstaates sein müssen, sind sie an die Vorschriften der DS-GVO gebunden. Dies gilt sogar in dem Fall, wenn z. B. auf einer Internetseite lediglich das Klick-Verhalten eines Webseitenbesuchers getrackt wird und die Daten verarbeitet werden.
Unternehmen, die in diese Konstellation fallen, benötigen einen Vertreter, der seinen Sitz in der Union hat und der schriftlich benannt werden muss. Grundsätzlich bleibt das Unternehmen selbst verantwortlich und der Vertreter dient in erster Linie als Anlaufstelle. Der Vertreter ist auch an die Weisungen des Auftraggebers gebunden und kann damit nicht gleichzeitig Datenschutzbeauftragter sein. Er dient in erster Linie als Anlaufstelle für die Belange Aufsichtsbehörden. Grundsätzlich wird das verantwortliche Unternehmen bei Verstößen selbst belangt und nicht der Vertreter. Allerdings hat der Vertreter auch eigene Pflichten und bei Verstößen können Sanktionen gegen ihn verhängt werden.
Quellen
1) Art. 3 Abs. 2 lit. a DS-GVO
2) Gola u. a., Datenschutz-Grundverordnung, Art. 3, Rn. 24, S. 172.
3) Gola u. a., Art. 3, Rn. 28, S. 172.
4) Gola u. a., Art. 3, Rn. 32, S. 173.
5Gola u. a., ) Art. 3, Rn. 34, S. 174.
6) Gola u. a., Art. 27, Rn. 5f, S. 569.
7) DS-GVO Art. 38, Abs. 3
8) Gola u. a., Art 27, Rn. 8, S. 570.
9) Gola u. a., Art. 27, Rn. 13, S. 571.
10) Gola u. a., Art. 27, Rn. 14, S. 571.
11) Gola u. a., Art. 27, Rn. 17f, S. 572.
12) Gola u. a., Art. 27, Rn. 22, S. 572f.
13) Gola u. a., Art. 27, Rn. 31, S. 574.
14) Gola u. a., Art. 27, Rn. 33, S. 574.
15) Gola u. a., Art. 27, Rn. 34, S. 574f.
16) Siehe hierzu auch Artikel-29-Datenschutzgruppe Stellungnahme 08/2010 zum anwendbaren Recht, WP 179, S. 29
17) Gola u. a., Art. 27, Rn. 37, S. 575.
18) Gola u. a., Art. 27, Rn. 41ff, S. 576.
19) Gola u. a., Art. 27, Rn. 48f, S. 577f.