Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nicht gelesen haben. Die heutige Etappe durch den Artikel 27 ist eher unspektakulär und hauptsächlich wichtig als Verbindungsweg zum Artikel 28 – der es in sich hat.
Worum Geht´s?
Die DS-GVO verpflichtet nach Artikel 3 Abs. 2 viele Verantwortliche und Auftragsverarbeiter außerhalb der EU – wenn sie personenbezogene Daten Betroffener verarbeiten,
- um ihr Verhalten in der EU zu beobachten oder
- um ihnen Waren/Dienstleistungen in der EU anzubieten.
Immer wenn Staaten – oder Staatenbünde wie die EU – über ihr eigenes Hoheitsgebiet hinausregieren wollen, haben sie dasselbe Problem: Wie setzt man sich im Ausland durch? (Man kann natürlich auch Regeln aufstellen ohne die Chance einer effektiven Umsetzung. Aber meist sieht das nicht gut aus.)
Artikel 27 klärt nur einen ganz kleinen Teil dieses Problems: Verantwortliche mit Sitz außerhalb der EU müssen Vertreter in der EU benennen und zwar als Ansprechpartner „insbesondere für die Aufsichtsbehörden und betroffene Personen“. Das „insbesondere“ heißt im üblichen juristischen Sprachgebrauch: Dies sind nur (besonders wichtige) Beispiele. Also dürfen auch Andere die Vertreter in DS-GVO-Fragen kontaktieren.
Die Benennung muss schriftlich erfolgen (Abs. 1), aber nicht gegenüber der Aufsichtsbehörde und auch nicht gegenüber den Betroffenen. Die Betroffenen erfahren vom Vertreter und seinen Kontaktdaten durch die Information nach Art. 13 (bzw. 14) Abs.1 lit. a. Die Aufsichtsbehörde liest entweder auch die Datenschutz-Information oder das Verarbeitungs-Verzeichnis; dort wird der Vertreter mit Kontaktdaten auch genannt (Art. 30 Abs. 1 Satz 2 lit. a). Beim Auftragsverarbeiter steckt die Nachricht ebenfalls im VVT (Art. 30 Abs. 2 lit. a).
Der Vertreter kann „zusätzlich … oder an … Stelle“ seiner Auftraggeber (Verantwortlicher/Auftragsverarbeiter) als Anlaufstelle für Datenschutzfragen dienen. Er kann auch die VVTs erstellen und muss sie der Aufsichtsbehörde auf Anforderung bereitstellen (siehe Art. 30 Abs. 1, 2 und 4). Außerdem muss er mit der Aufsichtsbehörde allgemein zusammenarbeiten (Art. 31).
Der Vertreter kann nicht in „irgendeinem“ EU-Staat ansässig sein, sondern nur in einem derjenigen Staaten, in denen sein Auftraggeber aktiv ist (also Betroffene beobachtet und/oder ihnen Waren/Dienstleistungen anbietet).
Was erreicht der Gesetzgeber? Vor allem kürzere Wege für die Aufsichtsbehörden und die Betroffenen. Allerdings: Wenn sich der Verantwortliche/Auftragsverarbeiter – auch – an diese DS-GVO-Vorschrift nicht hält, bleibt doch nur der lange, schwierigere Weg ins Ausland.
Was droht dem Vertreter? Erwägungsgrund 80 meint in Satz 6, bei Verstößen seiner Auftraggeber solle „der bestellte Vertreter Durchsetzungsverfahren unterzogen werden“. Im Normtext der DS-GVO findet sich dazu aber nichts. Artikel 82 gibt Schadenersatzansprüche nur gegen Verantwortliche und Auftragsverarbeiter. Ein Versehen des Gesetzgebers? Vielleicht.
Nach Artikel 58 Abs. 1 lit. a kann die Aufsichtsbehörde den Vertreter anweisen, Informationen bereitzustellen. Aber droht bei Verstößen Bußgeld? Artikel 83 erwähnt zwar in Abs. 5 lit. e die Pflichten zur Info-Bereitstellung, aber nicht den Vertreter. Und derselbe Artikel befasst sich in Abs. 4 lit. a zwar (u. a.) mit Verstößen gegen Artikel 30 und 31 (da sind ja auch Pflichten des Vertreters geregelt, siehe oben), meint aber ausdrücklich nur Fehlverhalten des Verantwortlichen und des Auftragsverarbeiters. Ein Versehen des Gesetzgebers? Höchstwahrscheinlich.
Fazit
Artikel 27 versucht im Rahmen des Möglichen, für die schwer greifbaren DSGVO-Akteure („weit weg“) einen leichter greifbaren Ansprechpartner („nah dran“) aufzubauen. Aber in der Umsetzung (Sanktionen gegen den greifbaren Ansprechpartner) hat der Gesetzgeber gepatzt. Schön wäre: Reparieren.
Etappenziel erreicht – gute Erholung vor dem nächsten Abschnitt!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
