1. Juni 2021
Die niederländische Datenschutzbehörde (AP) verhängte ein Bußgeld in Höhe von 525.000 Euro gegen einen nicht in der EU ansässigen Website-Anbieter, weil er es versäumt hatte, einen EU-Vertreter gemäß Art. 27 DSGVO zu benennen. Zusätzlich wurde der Betreiber der Website verpflichtet, weitere 20.000 Euro für jeden zwei-Wochen Zeitraum zu zahlen, in denen er keinen EU-Vertreter benannt hat (bis zu einem Maximum von 120.000 Euro).
Der Anbieter der Website bietet eine Plattform für alle, die nach Kontaktdaten von Personen suchen, zu denen sie den Kontakt verloren haben, indem sie deren Namen, Adresse, Wohnort und teilweise deren Telefonnummer erfragen können. Die Website ist öffentlich zugänglich und enthält Daten von Personen sowohl innerhalb als auch außerhalb der EU. Die Dienste auf der Website werden auch für Personen in der EU angeboten.
Aufgrund des breiten Anwendungsbereichs der DSGVO unterliegen Unternehmen, die innerhalb der EU geschäftlich tätig sind, häufig auch dann deren Bestimmungen, wenn sie nicht über eine Niederlassung in der EU verfügen. Gemäß Artikel 27 (1) DSGVO müssen Unternehmen, die (i) nicht in der EU niedergelassen sind und (ii) Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU überwachen, einen Vertreter in der Union benennen, es sei denn, eine der (sehr begrenzten) Ausnahmen gemäß Artikel 27 (2) DSGVO findet Anwendung.
Für die Benennung gelten keine besonderen Bedingungen, außer dass sie schriftlich und ausdrücklich erfolgen muss. Als EU-Vertreter kann gemäß Artikel 27 (3) DSGVO jede natürliche oder juristische Person mit Sitz in der EU benannt werden. Die Rolle des EU-Vertreters besteht in erster Linie darin, lokale Anlaufstelle für EU-Personen und EU-Datenschutzaufsichtsbehörden zu sein und das Nicht-EU-Unternehmen in Bezug auf seine jeweiligen Pflichten unter der DSGVO zu vertreten. Zu seinen Aufgaben gehört es aber auch, ein Verzeichnis der Verarbeitungstätigkeiten des vertretenen Unternehmens zu führen. Eine genauere Übersicht über die Pflichten des EU-Vertreters finden Sie hier.
Die niederländische Datenschutzaufsicht AP stellte fest, dass der Webseitenbetreiber im vorliegenden Fall personenbezogene Daten von betroffenen Personen verarbeitet, die sich in der EU befinden. Beim Aufruf der fraglichen Website würden Name, Adresse und Wohnort von Personen innerhalb und außerhalb der EU angezeigt. Solche personenbezogenen Daten von in der EU ansässigen Personen würden verarbeitet, um über die Website Dienstleistungen, z. B. für Familienzusammenführungen und Schultreffen, anzubieten. Nach Ansicht der AP ist es offensichtlich, dass sich diese Dienste auch an in der EU ansässige Personen richten und in mehreren EU-Ländern angeboten würden.
Die AP stellte außerdem fest, dass der Betreiber der Website als für die Verarbeitung Verantwortlicher im Sinne von Artikel 4 DSGVO zu qualifizieren sei, da er personenbezogene Daten mit dem Ziel verarbeite, sie jedem zur Verfügung zu stellen, der nach einer bestimmten Person sucht. Der Website-Betreiber kontrolliere die Registrierung personenbezogener Daten auf seiner Website sowie die Löschung der Daten und habe daher die Kontrolle über die Rechte der betroffenen Personen und die Verarbeitung personenbezogener Daten und bestimme somit die Zwecke und Mittel dieser Verarbeitung.
Die AP kam daher zu dem Schluss, dass die DSGVO gemäß ihres Artikel 3 (2) anwendbar sei. Der Website-Betreiber sei daher verpflichtet, gemäß Artikel 27 (1) DSGVO einen Vertreter in der EU zu benennen, was er nicht getan habe.
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Richard Gläser
von mehreren Autoren
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Alexander Schmalenberger, LL.B.