Autor
Paul Voigt

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More
Autor
Paul Voigt

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More

1. Juni 2021

DSGVO-Bußgeld für die fehlende Benennung eines DSGVO-Vertreters

  • Briefing

Die niederländische Datenschutzbehörde (AP) verhängte ein Bußgeld in Höhe von 525.000 Euro gegen einen nicht in der EU ansässigen Website-Anbieter, weil er es versäumt hatte, einen EU-Vertreter gemäß Art. 27 DSGVO zu benennen. Zusätzlich wurde der Betreiber der Website verpflichtet, weitere 20.000 Euro für jeden zwei-Wochen Zeitraum zu zahlen, in denen er keinen EU-Vertreter benannt hat (bis zu einem Maximum von 120.000 Euro).

Worum ging es in dem Fall?

Der Anbieter der Website bietet eine Plattform für alle, die nach Kontaktdaten von Personen suchen, zu denen sie den Kontakt verloren haben, indem sie deren Namen, Adresse, Wohnort und teilweise deren Telefonnummer erfragen können. Die Website ist öffentlich zugänglich und enthält Daten von Personen sowohl innerhalb als auch außerhalb der EU. Die Dienste auf der Website werden auch für Personen in der EU angeboten.

Der EU-Vertreter unter der DSGVO

Aufgrund des breiten Anwendungsbereichs der DSGVO unterliegen Unternehmen, die innerhalb der EU geschäftlich tätig sind, häufig auch dann deren Bestimmungen, wenn sie nicht über eine Niederlassung in der EU verfügen. Gemäß Artikel 27 (1) DSGVO müssen Unternehmen, die (i) nicht in der EU niedergelassen sind und (ii) Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU überwachen, einen Vertreter in der Union benennen, es sei denn, eine der (sehr begrenzten) Ausnahmen gemäß Artikel 27 (2) DSGVO findet Anwendung.

Für die Benennung gelten keine besonderen Bedingungen, außer dass sie schriftlich und ausdrücklich erfolgen muss. Als EU-Vertreter kann gemäß Artikel 27 (3) DSGVO jede natürliche oder juristische Person mit Sitz in der EU benannt werden. Die Rolle des EU-Vertreters besteht in erster Linie darin, lokale Anlaufstelle für EU-Personen und EU-Datenschutzaufsichtsbehörden zu sein und das Nicht-EU-Unternehmen in Bezug auf seine jeweiligen Pflichten unter der DSGVO zu vertreten. Zu seinen Aufgaben gehört es aber auch, ein Verzeichnis der Verarbeitungstätigkeiten des vertretenen Unternehmens zu führen. Eine genauere Übersicht über die Pflichten des EU-Vertreters finden Sie hier.

Feststellungen der niederländischen Datenschutzaufsicht

Die niederländische Datenschutzaufsicht AP stellte fest, dass der Webseitenbetreiber im vorliegenden Fall personenbezogene Daten von betroffenen Personen verarbeitet, die sich in der EU befinden. Beim Aufruf der fraglichen Website würden Name, Adresse und Wohnort von Personen innerhalb und außerhalb der EU angezeigt. Solche personenbezogenen Daten von in der EU ansässigen Personen würden verarbeitet, um über die Website Dienstleistungen, z. B. für Familienzusammenführungen und Schultreffen, anzubieten. Nach Ansicht der AP ist es offensichtlich, dass sich diese Dienste auch an in der EU ansässige Personen richten und in mehreren EU-Ländern angeboten würden.

Die AP stellte außerdem fest, dass der Betreiber der Website als für die Verarbeitung Verantwortlicher im Sinne von Artikel 4 DSGVO zu qualifizieren sei, da er personenbezogene Daten mit dem Ziel verarbeite, sie jedem zur Verfügung zu stellen, der nach einer bestimmten Person sucht. Der Website-Betreiber kontrolliere die Registrierung personenbezogener Daten auf seiner Website sowie die Löschung der Daten und habe daher die Kontrolle über die Rechte der betroffenen Personen und die Verarbeitung personenbezogener Daten und bestimme somit die Zwecke und Mittel dieser Verarbeitung.

Die AP kam daher zu dem Schluss, dass die DSGVO gemäß ihres Artikel 3 (2) anwendbar sei. Der Website-Betreiber sei daher verpflichtet, gemäß Artikel 27 (1) DSGVO einen Vertreter in der EU zu benennen, was er nicht getan habe.

Bedeutung der Entscheidung

Die Entscheidung der AP zeigt, dass die Nichteinhaltung der Vertreterbenennungspflicht nach Art. 27 (1) DSGVO schwerwiegende Folgen haben kann. Aufgrund der Positionierung der EU-Kommission, dass sich die Ausweitung des territorialen Geltungsbereichs der DSGVO in den Durchsetzungsmaßnahmen der Datenschutzbehörden angemessen widerspiegeln solle, ist zu erwarten, dass die internationale Durchsetzung der DSGVO verstärkt Beachtung finden wird. Die Benennung eines EU-Vertreters ist in der Regel ein "Quick Win" aus DSGVO-Compliance-Sicht, da die Verpflichtung leicht erfüllt werden kann. Die Benennung eines EU-Vertreters dürfte von der EU-Aufsichtsbehörde in der Praxis auch als mildernder Umstand bei der Entscheidung über die Verhängung potenzieller Bußgelder für die Nichteinhaltung der DSGVO herangezogen werden.

Dabei ist die Benennung von DSGVO-Vertretern nicht nur für nicht-europäische Unternehmen von Relevanz: Das Vereinigte Königreich hat die Regelungen der DSGVO eins zu eins kopiert, inkl. der Vertreterregelungen. Bei einem Anbieten von Waren oder Dienstleistungen gegenüber im Vereinigten Königreich ansässigen Personen oder beim Beobachten deren Verhaltens ist ein „UK-GDPR-Vertreter“ nach Art. 27 UK GDPR zu benennen, wenn keine Niederlassung im Vereinigten Königreich besteht.

Ob die Benennung eines Vertreters die Durchsetzung von Maßnahmen der Aufsichtsbehörden tatsächlich erleichtert, ist jedoch offen: Im vorliegenden Fall scheint noch nicht klar zu sein, wie die AP das Bußgeld durchsetzen wird. Aus der Entscheidung geht hervor, dass die Datenschutzerklärung des bußgeldbehafteten Website-Betreibers keine Adresse enthält und der Domain-Name über einen Anonymisierungsdienst registriert ist.

Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren

Related Insights

Datenschutz & Cyber-Sicherheit

Practical Law - information security and cyber incident and data breach resources

16. August 2021
Briefing

von Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Klicken Sie hier für Details
Gaming

German gambling law – Update 2020/2021

7. Juli 2021
Briefing

von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Jan Feuerhake, LL.M. (Melbourne)

Klicken Sie hier für Details
DSGVO

GDPR EU-Representative

For companies without EU establishments

5. Juli 2021
Briefing

von Dr. Axel Frhr. von dem Bussche, LL.M. (LSE) und Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Klicken Sie hier für Details