DA+

Aufsatz : Der Vertreter in der Union gemäß Art. 27 DS-GVO : aus der RDV 6/2018, Seite 303 bis 309

Lesezeit 20 Min.

Mit Geltung der DS-GVO ist ein neues Geschäftsfeld im Bereich der Datenschutzorganisation entstanden. Unternehmen mit Sitz außerhalb der EU müssen unter Umständen einen in der Union niedergelassenen Vertreter benennen, der sowohl betroffenen Personen als auch Aufsichtsbehörden als Anlaufstelle dient. Die genaue Reichweite jener Vertretung, die Rechte, Pflichten und Haftungsrisiken des Vertreters ergeben sich dabei erst bei zweitem Hinsehen.

I. Überblick

1. Datenschutz-Richtlinie und altes BDSG

Der Vertreter in der Union ist keine völlig neue Erfindung. Bereits Art. 4 Abs. 2 der abgelösten Datenschutz-Richtlinie 95/46/EG kannte den Vertreter im Mitgliedsstaat.[1] Demnach hatte der Verantwortliche für die Datenverarbeitung im jeweiligen Hoheitsgebiet einen Vertreter zu benennen, sofern er im Gebiet der Gemeinschaft nicht niedergelassen war und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgriff, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen waren.

Der Bundesgesetzgeber verzichtete allerdings darauf, Art. 4 Abs. 2 RL 95/46/EG vollständig in nationales Recht umzusetzen. Daher lautete § 1 Abs. 5 Satz 3 BDSG a.F. lediglich: „Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen.“ Eine obligatorische Vertreterbestellung, geschweige denn eine Sanktionierung bei pflichtwidrigem Unterlassen, lag hierin keineswegs. Dementsprechend spielte der Vertreter im Mitgliedsstaat auch keine nennenswerte Rolle in der Praxis.[2]

2. Aktueller Textbefund

Der Vertreter in der Union wird nunmehr gem. Art. 4 Nr. 17 DS-GVO definiert als eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Art. 27 DSGVO bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt.[3] Die amtliche deutsche Fassung verwendet „Bestellung“ in Art. 4 Nr. 17 DS-GVO und „Benennung“ in Art. 27 Abs. 1 DS-GVO gleichbedeutend, im englischen Text heißt es jeweils „to designate“.

Art. 27 DS-GVO regelt sodann die weiteren Einzelheiten. Der Vertreter wird außerdem im Zusammenhang mit den Transparenzpflichten (Art. 13 Abs. 1 lit. a, Art. 14 Abs. 1 lit. a DS-GVO), dem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 und 2 DS-GVO) und den aufsichtsbehördlichen Untersuchungsbefugnissen (Art. 58 Abs. 1 lit. a DSGVO) behandelt. Art. 31 DS-GVO erstreckt das allgemeine Kooperationsgebot gleichermaßen auf den Vertreter.

Der Vertreter in der Union nach Art. 27 DS-GVO hat unterdessen mit der Vertretung betroffener Personen nach Art. 80 DS-GVO nichts zu tun. Er ist auch nicht Vertreter der betroffenen Personen im Rahmen einer Datenschutz-Folgenabschätzung i.S.v. Art. 35 Abs. 9 DS-GVO.[4] Die datenschutzrechtliche Vertretung ist schließlich nicht deckungsgleich mit der rechtsgeschäftlichen Stellvertretung iSd §§ 164 ff. BGB, wenngleich die zivilrechtlichen Vorschriften weitenteils ihrem Wesen nach anwendbar erscheinen.

3. Angebote und Gestaltungslösungen

Durch die flächendeckende Einführung des Marktortprinzips gem. Art. 3 Abs. 2 litt. a und b DS-GVO und die ausdrückliche Benennungspflicht in Art. 27 Abs. 1 DS-GVO wird ein Anreiz gesetzt, die Vertretung als gewerbliche Dienstleistung anzubieten. Derzeit wird der Markt für Vertreter in der Union aufgeteilt durch alteingesessene Datenschutzberatungen und -kanzleien, die die Vertretung als Sparte anbieten, spezialisierte Dienstleister, die sich ganz auf das Vertreterdasein konzentrieren, sowie Fachverbände, die die Vertretung als Sachleistung für ihre Mitglieder vorhalten.[5] Ggf. kommt auch die Vertretung durch einen gemeinsam Verantwortlichen oder Auftragsverarbeiter in Betracht, wenn diese sowieso in der Union ansässig sind.

Die Bedeutung der Vertreterfigur wird in Zukunft noch zunehmen. Die §§ 45p Abs. 1 Satz 1 Nr. 2, 66i Abs. 2 TKG sowie § 5 Abs. 1 NetzDG kennen den Zustellungsbevoll mächtigten im Inland und die Entwürfe der ePrivacyVO sehen die Vertreterbestellung jeweils in Art. 3 Abs. 2 vor. [6]

II. Aufgaben und Pflichten

Art. 27 Abs. 4 DS-GVO umreisst die gesetzlichen Vertretungsaufgaben. So hat der Vertreter insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als sog. Anlaufstelle zu dienen. Art. 4 Nr. 17 DS-GVO deutet an, dass sich die Vertretungshandlungen zudem auf darüber hinausgehende Pflichten richten können, die den Verantwortlichen oder Auftragsverarbeitern jeweils obliegen.

1. Anlaufstelle

Die Verpflichtung, als Anlaufstelle zu fungieren (engl. „to be adressed on all issues“), gleicht nur vordergründig derjenigen des Datenschutzbeauftragten in Art. 39 Abs. 1 lit. e DS-GVO (engl.: „to act as contact point on issues“). Mangels besonderer Fachkunde oder eigenständiger Beratungsund Überwachungsfunktion dient der Vertreter in der Union nicht als ebenbürtiger Sparringspartner. Stattdessen obliegt ihm in erster Linie die Entgegennahme von Anträgen, Schriftstücken, Auskunftsersuchen und behördlichen Weisungen sowie die Erteilung von Informationen, Vornahme von Meldungen etc. Sämtliche Korrespondenz ist in geeigneter Form (z.B. verschlüsselte Übertragung von Digitalisaten) an den Vertretenen weiterzuleiten.[7]

Schon gem. Art. 58 Abs. 1 lit. a DS-GVO verfügt die Aufsichtsbehörde über die Befugnis, den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Zudem führt der Vertreter gem. Art. 30 Abs. 1 und 2 DS-GVO das Verzeichnis von Verarbeitungstätigkeiten und stellt dieses auf Anfrage gem. Art. 30 Abs. 4 DS-GVO der Behörde zur Verfügung.

Sofern sich betroffene Personen zwecks Durchsetzung ihrer Betroffenenrechte an den Vertreter wenden, beginnt die Frist des Art. 12 Abs. 3 Satz 1 DS-GVO für die obligatorische Statusmeldung mit Eingang beim Vertreter. Auch die 72-Stunden-Frist des Art. 33 Abs. 1 Satz 1 DS-GVO beginnt, wenn dem Vertreter hinreichende Anhaltspunkte für das Vorliegen einer Datenschutzverletzung vorliegen.[8]

§ 44 Abs. 3 Satz 1 BDSG stellt klar, dass der Vertreter zumindest im zivilgerichtlichen Verfahren als bevollmächtigt gelten soll, Zustellungen entgegenzunehmen.[9] Fraglich ist, ob der Vertreter auch ohne diese Vorschrift bzw. innerhalb anderer Gerichtszweige für den Empfang gerichtlicher Schriftsätze zuständig ist.[10] Art. 27 Abs. 4 DS-GVO nennt zunächst Aufsichtsbehörden und betroffene Personen, die die Anlaufstelle nutzen können. Gerichte als eigenverantwortliche Stellen sind nicht deren „verlängerter Arm“. Allerdings nennt Art. 27 Abs. 4 DS-GVO Aufsichtsbehörden und Betroffene keineswegs enumerativ, sondern „insbesondere“. Zugang zum Vertreter als Anlaufstelle haben daher auch Gerichte und sämtliche weiteren Akteure auf dem Gebiet des Datenschutzrechts.[11]

Für Fragen außerhalb des Datenschutzrechts ist der Vertreter in der Union nicht zuständig. Im Bereich etwa des reinen Wettbewerbs-, Urheber-, Marken- oder Patentrechts weist ihm das Gesetz keine Aufgaben zu. Über den sachlichen Anwendungsbereich des Art. 2 Abs. 1 DS-GVO hinaus können dem Vertreter von dritter Seite keine zusätzlichen Geschäftsbereiche aufgebürdet werden.

2. Vertretung

a) Wissensvertretung

Die Vertretung stellt sich gem. Art. 27 Abs. 4 DS-GVO in erster Linie als Wissensvertretung (vgl. § 166 BGB analog) dar. Das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 und 2 DS-GVO muss ihm stets in aktueller Form vorliegen. Jede Erklärung, die beim Vertreter eingeht, gilt unmittelbar als dem Vertretenen zugestellt.

b) Pflichtenvertretung

Hinsichtlich der weiteren Pflichten bleibt Art. 4 Nr. 17 DSGVO vage. Auch ErwGr 80 trägt nicht zur Erhellung bei. Den Vertreter treffen zunächst die Pflichten, zu deren Erfüllung er gem. Art. 27 Abs. 4 DS-GVO ausdrücklich beauftragt wurde. Dies kann z.B. die Duplizierung weiterer Dokumentation bedeuten, wie etwa das Verzeichnis von Schutzverletzungen nach Art. 33 Abs. 5 DS-GVO oder der Nachweis von Einwilligungen nach Art. 7 Abs. 1 DS-GVO. Im Rahmen der Vertragsfreiheit kann der Vertreter beliebige weitere Pflichten übernehmen. Er tritt dann je nach Umfang der Vertretungsmacht mit Wirkung für und gegen den Vertretenen in dessen Namen auf.

c) Haftungsvertretung

Der Vertreter gehört nicht zum Kreis der originären Schadensersatzschuldner gem. Art. 82 Abs. 1 DS-GVO und auch nicht zu den Adressaten eines Bußgeldes gem. Art. 83 Abs. 4 litt. a-c DS-GVO.[12] Eine eigenständige Bußgeldhaftung des Vertreters gem. Art. 58 Abs. 2 lit. i iVm Art. 83 Abs. 5 lit. e DS-GVO wegen Nichtgewährung des Zugangs zu Informationen existiert ebenfalls nicht, da Zugang (engl. „access“) allein im Hinblick auf den Zugang zu Räumlichkeiten gem. Art. 58 Abs. 1 lit. f DS-GVO zu verstehen ist. Der Vertreter wird hingegen ausschließlich im Zusammenhang mit Art. 58 Abs. 1 lit. a DS-GVO genannt.

Demgegenüber kann schnell die Frage relevant werden, ob Schadensersatzansprüche bzw. Geldbußen gegen Verantwortliche bzw. Auftragsverarbeiter beim Vertreter in der Union vollstreckt werden können. In der Tat bräuchte es ein greifbares Verpflichtungs- und Vollstreckungssubjekt innerhalb der Union, wenn das Marktortprinzip effektiv durchgesetzt werden soll.[13]

ErwGr 80 Satz 6 sieht vor, dass der bestellte Vertreter bei Verstößen des Verantwortlichen oder Auftragsverarbeiters Durchsetzungsverfahren unterworfen werden sollte. Für die Herausgabe von Dokumentation gem. Art. 58 Abs. 1 lit. a DS-GVO und die Entgegennahme behördlicher und gerichtlicher Schriftsätze mag dies genügen.[14] Nach hiesiger Ansicht reicht ein Erwägungsgrund allerdings keineswegs aus, um den Vertreter per Gesetz gewissermaßen zum selbstschuldnerischen Bürgen (vgl. 767 ff. BGB) oder Vollstreckungsschuldner (vgl. § 2 Abs. 1 VwVG) zu erklären und ggf. weitergehenden Zwangsmaßnahmen zu unterwerfen.[15]

Die Erwägungsgründe mögen einen integralen Bestandteil von Unionsrechtsakten darstellen, sie sind jedoch nicht unmittelbar Inhalt und Gegenstand der betreffenden Regelung. Sie haben insbesondere keine unmittelbare normative Wirkung derart, dass sie Rechte und Pflichten zu begründen vermögen.[16] Erwägungsgründe enthalten also weder Tatbestand noch Rechtsfolge.[17] Sie übernehmen lediglich die Funktion einer amtlichen Auslegungshilfe, sofern Auslegungsbedarf besteht.[18] Ein solcher Bedarf zeigt sich hier nicht, da der verfügende Teil der DS-GVO eine Haftungsüberleitung auf den Vertreter überhaupt nicht vorsieht. Es handelt sich schlechthin um einen überschießenden Erwägungsgrund.[19]

Art. 27 Abs. 5 D-GVO erklärt lediglich, dass die Benennung eines Vertreters unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst erfolgt. „Unbeschadet“ (engl.: „without prejudice to“) bleiben aber gerade die rechtlichen Schritte gegen die Vertretenen. Von rechtlichen Schritten gegen den Vertreter ist nicht die Rede. Eine eigenständige Bußgeldhaftung des Vertreters, wie sie in Art. 79 Abs. 3a RatsE eine Zeitlang enthalten war,[20] hat sich während des Gesetzgebungsverfahrens schlichtweg nicht durchgesetzt.[21] Lediglich dann, wenn der Vertreter gem. Art. 27 Abs. 4 DS-GVO beauftragt wird, die Funktion einer Zahlstelle zu übernehmen, kommt der Vertreter überhaupt als Schuldner bzw. Vollstreckungsgegner in Betracht. Wer in Rechtshändel mit dem Vertreter eintritt, ist daher gut beraten, sich die genaue Reichweite der Vertretungsmacht darlegen zu lassen.

Selbst, wenn man Art. 27 Abs. 5 DS-GVO unter dem Eindruck von ErwGr 80 Satz 6 DS-GVO dahingehend missverstehen wollte, dass den Vertreter umfassende Vollstreckungsmaßnahmen treffen,[22] ist in der Sache kaum damit gedient. Zum einen ist zweifelhaft, ob der Vertreter überhaupt solvent genug ist, auflaufende Forderungen zu bedienen.[23] Zum anderen bedarf es lediglich der einseitig erklärten Niederlegung des Amtes,[24]um sich der Zahlungsverpflichtung zu entziehen.

III. Benennung

1. Pflicht zur Benennung, Ausnahmen und frei willige Benennung

Ausgangspunkt der Benennungspflicht gem. Art. 27 Abs. 1 DS-GVO ist die Verarbeitung durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter im Sinne von Art. 3 Abs. 2 DS-GVO. Die betroffenen Personen müssen sich dabei in der Union befinden. Die jeweilige Datenverarbeitung muss außerdem im Zusammenhang damit stehen, betroffenen Personen in der Union kostenpflichtige oder kostenfreie Waren oder Dienstleistungen anzubieten[25] oder das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.[26]

Art. 27 Abs. 1 DS-GVO gilt unabhängig vom herrschenden Datenschutzniveau außerhalb der Union, d.h. ungeachtet dessen, ob die Datenverarbeitung im Europäischen Wirtschaftsraum[27] bzw. Geltungsbereich eines Angemessenheitsbeschlusses der Kommission stattfindet.[28]

Die Bestellpflicht gilt gem. Art. 27 Abs. 2 lit. a DS-GVO nicht für eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Art. 9 Abs. 1 DS-GVO oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Sämtliche Ausnahmetatbestände müssen kumulativ gegeben sein. Warum die in Rede stehende Verarbeitung nicht zu einem Risiko führt, sollte nachvollziehbar begründet und dokumentiert werden.

Art. 27 Abs. 2 lit. b DS-GVO enthält eine weitere Ausnahme für Behörden und sonstige öffentliche Stellen. Sie gilt selbst dann, wenn die öffentliche Stelle am Wettbewerb teilnehmen sollte.

Ohne Vorliegen einer gesetzlichen Benennungspflicht oder zwecks paralleler Benennung in mehreren Mitgliedsstaaten besteht die Möglichkeit einer freiwilligen Bestellung. Zwar ist diese, anders als beim Datenschutzbeauftragten in Art. 37 Abs. 4 Satz 1 Hs. 1 DS-GVO, nicht expressis verbis in der Verordnung enthalten. Sie entspricht jedoch einem effizienten Betroffenenrechte-Management nach Art. 12 Abs. 1 DS-GVO bzw. einer aktiven Zusammenarbeit mit der Aufsichtsbehörde über Art. 31 DS-GVO hinaus.

2. Form der Benennung

a) Schriftform?

Art. 4 Nr. 17 DS-GVO sieht eine schriftliche Bestellung vor. Die echte Schriftform nach deutschem Verständnis meint gem. nach § 126 Abs. 1 BGB eine Urkunde mit eigenhändiger Namensunterschrift. Wie an anderer Stelle in der DSGVO ist jedoch auch hier offen, welche genauen Anforderungen der Unionsgesetzgeber an die Schriftlichkeit stellt. So regelt bspw. Art. 28 Abs. 9 DS-GVO ausdrücklich, dass der schriftliche Vertrag über die Auftragsverarbeitung auch in einem elektronischen Format geschlossen werden kann. Das Verzeichnis von Verarbeitungstätigkeiten ist gem. Art. 30 Abs. 3 DS-GVO schriftlich zu führen, was wiederum in einem elektronischen Format erfolgen kann.

Eine entsprechende gesetzliche Klarstellung fehlt für die Vertreterbestellung. Dennoch ist nicht einzusehen, warum diese an die strengste Form gebunden sein soll, während etwa die Benennung eines Datenschutzbeauftragten völlig formfrei erfolgen kann. Insoweit dürfte die Einhaltung der Textform[29] im Sinne von § 126b BGB für die Vertreterbestellung ausreichen.[30] Sie bietet ausreichend Gewähr, die Erklärung auf Dauer unverändert wiederzugeben und somit auch den Anforderungen an die Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO zu genügen. Darüber hinaus wird der Vertreter sowieso in Art. 13 Abs. 1 lit. a, Art. 14 Abs. 1 lit a, Art. 30 Abs. 1 lit. a und Art. 30 Abs. 2 lit. a DS-GVO den relevanten Verkehrskreisen zur Kenntnis gebracht. Insofern dürften keine Zweifel an der Authentizität einer Benennung nach § 126b BGB bestehen.

Eine aktive Mitteilungspflicht gegenüber der Aufsichtsbehörde existiert nicht.[31] Sie ist auch nicht in Art. 31 DS-GVO hineinzulesen.[32] Da die Aufsichtsbehörden bislang keine dedizierten Formulare für die Vertreter-Meldung bereitgestellt haben, dürften überobligatorische Meldungen dort idR versanden.

b) Auftragsverarbeitung?

Der Vertreter in der Union kann nicht selbst Teil des Verantwortlichen oder Auftragsverarbeiters sein. Anderenfalls handelte es sich unmittelbar um eine Niederlassung i.S.v. Art. 3 Abs. 1 DS-GVO, wodurch die Benennungspflicht für einen Vertreter entfiele.

Wird der Vertreter als Anlaufstelle tätig, verarbeitet er unweigerlich personenbezogene Daten. Da er hierzu gem. Art. 27 Abs. 4 DS-GVO „beauftragt“ wird, liegt die Vermutung nahe, dass es sich um eine Auftragsverarbeitung nach Art. 28 Abs. 3 DS-GVO handeln könnte. Der Blick in die amtliche englische Textfassung offenbart jedoch, dass Auftrag nicht gleich Auftrag ist: Art. 27 DS-GVO rekurriert auf „to mandate“, Art. 28 DS-GVO hingegen auf „to process on behalf“.

Zugleich sieht Art. 27 Abs. 4 DS-GVO vor, dass der Vertreter nicht nur zusätzlich zum Verantwortlichen oder Auftragsverarbeiter auftreten kann, sondern auch statt seiner. Die Kooperationspflicht des Art. 31 DS-GVO trifft den Vertreter qua Gesetz unmittelbar. Hiermit dürfte ein signifikanter Spielraum eigenverantwortlicher Entscheidungsgewalt verbunden sein, der mit der strengen Weisungsgebundenheit eines Auftragsverarbeiters gänzlich inkompatibel ist. Ein Auftragsverarbeitungsvertrag ist daher für die Vertreterbenennung nicht das richtige Instrument.

Die Rechtfertigung der Datenverarbeitung durch den Vertreter erfolgt stattdessen im Rahmen der Erfüllung einer rechtlichen Pflicht des Verantwortlichen gem. Art. 6 Abs. 1 lit. c, Abs. 3 Satz 1 lit. a iVm Art. 27 Abs. 1 DS-GVO. Für Auftragsverarbeiter sind dieselben rechtlichen Pflichten nach Art. 28 Abs. 3 lit. a DS-GVO einschlägig. Sofern besondere Kategorien von Daten betroffen sein sollten, greift Art. 9 Abs. 2 lit. g DS-GVO für Verantwortliche und Auftragsverarbeiter gleichermaßen ein.

c) Standardvertragsklauseln?

Sofern der Verantwortliche oder Auftragsverarbeiter in einem unsicheren Drittstaat ansässig ist, muss für die Übermittlung von personenbezogenen Daten seitens des Vertreters kein angemessenes Datenschutzniveau hergestellt werden. Die Übermittlung erfolgt im Rahmen der gesetzlich vorgesehenen und vertraglich festgelegten Vertretungsaufgaben. Art. 27 Abs. 4 DS-GVO ist insoweit spezieller als die Artt. 44 ff. DS-GVO. Die Erstreckung des Schutzniveaus wird nicht mittels geeigneter Garantien vorgenommen,[33] sondern folgt unmittelbar aus Art. 3 Abs. 2 litt. a und b DS-GVO. Es erschiene geradezu hanebüchen, wenn dem Vertreter die Übermittlung wegen des fehlenden Schutzniveaus versagt wäre und die Betroffenen daraufhin selbst den unmittelbaren Kontakt mit dem Verantwortlichen oder Auftragsverarbeiter herstellen müssten.

3. Persönliche Voraussetzungen

Die DS-GVO macht kaum Vorgaben, welche Eigenschaften der Vertreter mitbringen muss, um für eine Benennung in Frage zu kommen. Art. 4 Nr. 17 DS-GVO stellt lediglich klar, dass sowohl natürliche als auch juristische Personen das Amt ausüben können. Die natürliche Person muss zumindest beschränkt geschäftsfähig sein (vgl. § 165 BGB).

Nach Art. 27 Abs. 3 DS-GVO muss der Vertreter in einem der Mitgliedstaaten niedergelassen sein, in denen sich die betroffenen Personen befinden, deren Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird. Der Begriff der Niederlassung ist grds. inhaltlich identisch mit demjenigen in ErwGr 22 S. 2 und 3. Der Vertreter ist allerdings keine Niederlassung des Verantwortlichen oder Auftragsverarbeiters.[34] Bei EU-weiter Verarbeitung genügt eine Niederlassung des Vertreters.[35]

Der Vertreter wird nicht aufgrund seiner beruflichen Qualifikation und seines Fachwissens benannt, wie dies beim Datenschutzbeauftragten gem. Art. 37 Abs. 5 DS-GVO der Fall ist.[36]

Etwaige Interessenkonflikte wurden vom Unionsgesetzgeber in Art. 27 DS-GVO ebenfalls nicht berücksichtigt. Solange sichergestellt ist, dass es nicht zu einer unzulässigen Vermengung von Daten verschiedener Verantwortlicher kommt, ist der Vertreter daher als mandantenfähig anzusehen. Das bedeutet, dass ein auf Vertretung spezialisierter Dienstleister für unterschiedliche, ggf. auch konkurrierende Auftraggeber auftreten kann.[37]

Ein Teilzeit-Datenschutzbeauftragter mit Niederlassung in der Union kann ggf. darüber hinaus als Vertreter beauftragt werden.[38] Ein Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DS-GVO besteht bei bloßer Aufgabenerfüllung als Anlaufstelle nicht. Nur wenn die Vertreterposition vertraglich mit weiteren Aufgaben i.S.v. Art. 4 Nr. 17 DS-GVO aufgeladen wird,[39] könnten diese im Einzelfall mit dem Amt des Datenschutzbeauftragten inkompatibel sein.

4. Beendigung

Die DS-GVO trifft keinerlei Aussagen hinsichtlich der Beendigung der Vertretung. Einen Abberufungsschutz wie in Art. 38 Abs. 3 Satz 2 DS-GVO gibt es für den Vertreter nicht. Insofern können beide Seiten den Auftrag kündigen, ggf. unter Berücksichtigung zivilrechtlicher Kündigungsfristen (vgl. § 621 BGB).

Erlischt die Vertretungsmacht, muss dies nach außen kommuniziert werden. Anderenfalls dürfen sich betroffene Personen und Aufsichtsbehörden entsprechend der §§ 170 f. BGB auf den Fortbestand der Vertreterbestellung verlassen – mit den vollen rechtlichen Konsequenzen sowohl für den Verantwortlichen oder Auftragsverarbeiter sowie den Vertreter selbst.[40]

5. Pflichtwidrige Nichtbenennung

Sofern es der Verantwortliche oder der Auftragsverarbeiter entgegen Art. 27 Abs. 1 DS-GVO unterlässt, einen Vertreter in der Union zu benennen, ist die Verhängung eines Bußgeldes gem. Art. 58 Abs. 2 lit. i iVm Art. 83 Abs. 4 lit. a DS-GVO möglich. Die Höhe der Geldbuße kann bis zu 10.000.000 € oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen.

Behörden und sonstige öffentliche Stellen sind nicht wegen § 43 Abs. 3 BDSG oder landesrechtlichen Äquivalenten ausgenommen[41], sondern unterliegen schon gem. Art. 27 Abs. 2 lit. b DS-GVO keiner Benennungspflicht.

IV. Zusammenfassung

Der Vertreter in der Union ist eine natürliche oder juristische Person mit Niederlassung in einem Mitgliedsstaat. Verantwortliche und Auftragsverarbeiter sind zur Benennung verpflichtet, wenn sie selbst keine Niederlassung innerhalb der Union haben, aber trotzdem gem. Art. 3 Abs. 2 DS-GVO europäisches Datenschutzrecht einhalten müssen.

Die gesetzlich zugewiesene Aufgabe des Vertreters besteht zunächst darin, als Anlaufstelle für betroffene Personen, Aufsichtsbehörden und alle anderen Akteure auf dem Gebiet des Datenschutzrechts zu dienen. Insofern nimmt er Anfragen, Anträge, Schriftsätze, Weisungen und sonstige Korrespondenz entgegen und leitet diese an den Vertretenen weiter. Er führt das Verarbei- tungsverzeichnis parallel zum Vertretenen und macht dieses auf Anfrage der Aufsichtsbehörde zugänglich. Der Vertreter kann weitere Aufgaben auf dem Gebiet des Datenschutzrechts übertragen bekommen, seine Vertretungsmacht richtet sich dann nach der im Innenverhältnis vereinbarten Reichweite.

Der Vertreter ist nicht selbst Auftragsverarbeiter. Die Verarbeitung zu Zwecken der Vertretung stützt sich stattdessen auf gesetzliche Erlaubnistatbestände. Als Geschäftsmodell taugt die Vertretung im Übrigen sehr gut: Der gesetzlich vorgesehene Aufwand ist überschaubar, insbesondere erfolgt die Benennung nicht im Hinblick aufbesondere Fachkunde im Datenschutzrecht. Grundsätzlich kann der Vertreter beliebig viele Aufträge annehmen, solange eine saubere Mandantentrennung erfolgt. Auch die Haftungsrisiken sind minimal, denn der Vertreter muss keine Vollstreckung von Schadensersatzansprüchen oder Bußgeldern gegen die Vertretenen bei sich fürchten.

Dr. Lorenz Franck ist Referent bei der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) in Bonn sowie Lehrbeauftragter für Datenschutzrecht an der TH Köln.

[1] Hierzu einst Art.-29-Datenschutzgruppe, WP 179 v. 16.12.2010, S. 23. Vgl. auch Art. 17 Abs. 1 und 2 RL 2012/19/EU zum Bevollmächtigten für Hersteller von Elektro- und Elektronik-Altgeräten.

[2] Eingehend Dammann, in: Simitis, BDSG, 8. Aufl. 2014, § 1 Rn. 231 ff.

[3] Vgl. auch Art. 1 Abs. 2 lit. j RL 90/385/EWG idF der RL 2007/47/EG, im Anschluss hieran § 3 Nr. 16 MPG

[4] Irrig Martini, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 4

[5] Vgl. etwa https://international.eco.de/eco-data-protection-service/.

[6] BayLDA, Synopse der eprivacy-VO, https://www.lda.bayern.de/ media/eprivacy_synopse.pdf. Die ePrivacyVO soll die in die Jahre gekommene ePrivacy-Richtlinie 2002/58/EG i.d.F. der RL 2009/136/EG ablösen. Sie regelt den Schutz von Grundrechten und Grundfreiheiten natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste. Neu wird u.a. ein eigenständiges Datenschutzrecht für juristische Personen und Maschinezu-Maschine-Kommunikation sein.

[7] Ggf. kann dem Vertreter die eigenständige Bearbeitung von Sachvorgängen übertragen werden, siehe unten Pkt. II. 2 b.

[8] Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 33 Rn. 40.

[9] Zur Europarechtswidrigkeit der BDSG-Vorschrift Piltz, in: Gola, DSGVO, 2. Aufl. 2018, Art. 27 Rn. 4.

[10] Vgl. § 171 ZPO, § 7 VwZG oder § 56 Abs. 2 VwGO, neuerdings auch § 5 Abs. 1 Satz 2 und 3 NetzDG.

[11] Ein parallel gelagertes Problem betrifft Auskunftsersuchen, die gem. Art. 15 Abs. 1 Var. 1 DS-GVO negativ beschieden werden. Auch diese Antragsteller nutzen den Vertreter als Anlaufstelle, ohne im eigentlichen Sinne Betroffene zu sein, vgl. Franck in: Gola, DS-GVO 2. Aufl. 2018, Art. 15 Rn. 6.

[12] A.A. offenbar Martini, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 5.

[13] Berechtigte Zweifel an der Geeignetheit des Vertreters äußert Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 46.

[14] Siehe oben Pkt. II. 1.

[15] So auch die h.M., Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 44; Schlender, in: Gierschmann/Schlender/Stentzel/Veil, DS-GVO, 2018, Art. 27 Rn. 21; Hartung, in: Kühling/Buchner, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 21 ff.; Bertermann, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 12; Martini, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 55; Kremer, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 27 Rn. 65; Ingold, in: Sydow, DS-GVO, 2. Aufl. 2018, Rn. 11; Thomale, in: Auernhammer, DS-GVO, 2017, Art. 27 Rn. 11. A.A. Hanloser in: Wolff/Brink, Datenschutzrecht, 24. Ed. 2017, Art. 27 Rn. 10; EDSA, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), v. 16.11.2018, S. 23.

[16] Ausführlich VGH Baden-Württemberg, Beschl. v. 11.06.2013, Az. A 11 S 1158/13, BeckRS 2013, 52670.

[17] Vgl. Europäische Union, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken, Luxemburg, 2. Aufl. 2015, Ziffer 10.1.

[18] VG Stuttgart, Urt. v. 21.05.2007, Az.: 4 K 2563/07, https://openjur. de/u/355393.html; VGH Baden-Württemberg, Beschl. v. 11.06.2013, Az. A 11 S 1158/13, BeckRS 2013, 52670.

[19] Zum allgemeinen Problem überschießender Erwägungsgründe auch Gola, K&R 2017, 145 ff.

[20] Ratsdok. 11013/13, v. 21.06.2013, S. 211.

[21] Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 47 m.w.N.

[22] Hanloser in: Wolff/Brink, Datenschutzrecht, 24. Ed. 2017, Art. 27 Rn. 1/10; EDSA, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), v. 16.11.2018, S. 23.

[23] Die Bemessung des Bußgeldes richtet sich nach Art. 83 Abs. 2 Satz 2 litt a-k DS-GVO, also ausschließlich Aspekten aus der Sphäre des Vertretenen, hierzu eingehend Hartung in: Kühling/Buchner, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 23.

[24] Vgl. unten Pkt. III. 4.

[25] Siehe ErwGr 23

[26] Siehe ErwGr 24

[27] Hieran vermag auch § 1 Abs. 6 BDSG nichts zu ändern, da es an einer Öffnungsklausel hinsichtlich Art. 27 DS-GVO fehlt.

[28] Anders zuvor in Art. 25 Abs. 2 lit. a KommE & ParlE, es handelt sich insoweit schwerlich um ein Redaktionsversehen.

[29] Englische Textfassung: „in writing“.

[30] So auch Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 15 f.; Kremer in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 27 Rn. 27. A.A. Martini in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 19.

[31] Anders beim Datenschutzbeauftragten gem. Art. 37 Abs. 7 DS-GVO und auch beim Bevollmächtigten in der Union gem. Art. 14 Abs. 2 RL 93/42/EWG idF der RL 2007/47/EG für Medizinprodukte.

[32] Kooperation nur „auf Anfrage“. Im Ergebnis ebenso Martini, in: Paal/ Pauly, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 24 f.; Hartung, in: Kühling/ Buchner, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 13. Art. 31 DS-GVO darf nicht über den konkret festgelegten Pflichtenkatalog der DS-GVO überdehnt werden, vgl. auch Franck, RDV 2018, 157, 159 zur Übersetzung von Dokumentation.

[33] Es gibt überhaupt keine geeigneten Standardvertragsklauseln für die Vertreterbenennung durch einen Auftragsverarbeiter im Drittland. Die Controller-to-Processor-Klauseln der Kommission passen nicht, weil der Vertreter für den Auftragsverarbeiter tätig wird und nicht umgekehrt.

[34] Arg. e Art. 27 Abs. 1 i.V.m. Art. 3 Abs. 2 DS-GVO. Siehe auch oben Pkt. III. 2. b.

[35] So auch Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 18.

[36] Zutreffend Martini, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 25

[37] Martini in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 27; EDSA, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), v. 16.11.2018, S. 20.

[38] A.A. Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 27 Rn. 6; Kremer in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 27 Rn. 16; EDSA, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), v. 16.11.2018, S. 20.

[39] Z.B. die Entscheidung, dass ein Betroffenenantrag exzessiven Charakter besitzt und gem. Art. 12 Abs. 5 Satz 2 lit. b DS-GVO nicht berücksichtigt wird.

[40] A.A. irrig Schwartmann/Hermann, in: Schwartmann/Jaspers/Thüsing/ Kugelmann, DS-GVO/BDSG, 2018, Art. 4 Rn. 239.

[41] Derzeit in zehn Bundesländern, vgl § 28 DSG BW, Art. 22 BayDSG, § 28 BlnDSG, § 31 Abs. 3 DSG Bbg, § 23 Abs. 3 BremDSG, § 36 Abs. 2 HDSG, § 22 Abs. 3 DSG M-V, § 33 Abs. 4 DSG NRW, § 24 Abs. 3 DSG RP, § 61 Abs. 4 ThürDSG.