Zur Notwendigkeit einer EU-Vertretung an der Schnittstelle zur DSGVO
Ausgangslage
Gemäss Artikel 27 DSGVO müssen die meisten Unternehmen, die sich ausserhalb der EU bzw. des EWR (im Folgenden vereinfacht "EU") befinden, eine EU-Vertretung "designieren", wenn sie Personendaten von EU-Bürger:innen bearbeiten, in der EU jedoch keine "offizielle" Betriebsstätte ("Establishment") – beispielsweise eine Zweigniederlassung, ein Vertreterbüro oder eine andere nicht amtlich bzw. offiziell eingetragene Geschäftsstelle – haben.
Da Artikel 27 DSGVO die Basis zur Benennung einer EU-Vertretung darstellt, und betroffene Schweizer Unternehmen den Bezug zur eventuellen Benennungspflicht aus dem DSGVO-Kontext verstehen müssen, wird der entsprechende Gesetzestext aus der DSGVO hier vollständig für Referenzzwecke abgebildet:
Artikel 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder [Auftragsbearbeitern] DSGVO[1]
(1) In den Fällen [gemäss] Artikel 3 Absatz 2 benennt der Verantwortliche oder der [Auftragsbearbeiter] schriftlich einen Vertreter in der Union.
(2) Die Pflicht [gemäss] Absatz 1 des vorliegenden Artikels gilt nicht für
- eine [Bearbeitung], die gelegentlich erfolgt, nicht die umfangreiche [Bearbeitung] besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 ([Bearbeitung] besonderer Kategorien [von Personendaten]) oder die umfangreiche [Bearbeitung] von [Personendaten] über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 ([Bearbeitung] von [Personendaten] über strafrechtliche Verurteilungen und Straftaten) [einschliesst] und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der [Bearbeitung] voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
- Behörden oder öffentliche Stellen.
(3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren [Personendaten] Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen [bearbeitet] werden oder deren Verhalten beobachtet wird, sich befinden.
(4) Der Vertreter wird durch den Verantwortlichen oder den [Auftragsbearbeiter] beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der [Bearbeitung] zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.
(5) Die Benennung eines Vertreters durch den Verantwortlichen oder den [Auftragsbearbeiter] erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den [Auftragsbearbeiter] selbst.
Dazu auch der für Artikel 27 passende Erwägungsgrund (aus der DSGVO):
Erwägungsgrund 80 (zur Benennung einer EU-Vertretung) DSGVO
1 Jeder Verantwortliche oder [Auftragsbearbeiter] ohne Niederlassung in der Union, dessen [Bearbeitungstätigkeiten] sich auf betroffene Personen beziehen, die sich in der Union aufhalten, und dazu dienen, diesen Personen in der Union Waren oder Dienstleistungen anzubieten – unabhängig davon, ob von der betroffenen Person eine Zahlung verlangt wird – oder deren Verhalten, soweit dieses innerhalb der Union erfolgt, zu beobachten, sollte einen Vertreter benennen müssen, es sei denn, die [Bearbeitung] erfolgt gelegentlich, [schliesst] nicht die umfangreiche [Bearbeitung] besonderer Kategorien [von Personendaten] oder die [Bearbeitung] von [Personendaten] über strafrechtliche Verurteilungen und Straftaten ein und bringt unter Berücksichtigung ihrer Art, ihrer Umstände, ihres Umfangs und ihrer Zwecke wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich oder bei dem Verantwortlichen handelt es sich um eine Behörde oder öffentliche Stelle.
2 Der Vertreter sollte im Namen des Verantwortlichen oder des [Auftragsbearbeiters] tätig werden und den Aufsichtsbehörden als Anlaufstelle dienen.
3 Der Verantwortliche oder der [Auftragsbearbeiter] sollte den Vertreter ausdrücklich bestellen und schriftlich beauftragen, in Bezug auf die ihm nach dieser Verordnung obliegenden Verpflichtungen an seiner Stelle zu handeln.
4 Die Benennung eines solchen Vertreters berührt nicht die Verantwortung oder Haftung des Verantwortlichen oder des [Auftragsbearbeiters] nach [Massgabe] dieser Verordnung.
5 Ein solcher Vertreter sollte seine Aufgaben entsprechend dem Mandat des Verantwortlichen oder [Auftragsbearbeiters] ausführen und insbesondere mit den zuständigen Aufsichtsbehörden in Bezug auf [Massnahmen], die die Einhaltung dieser Verordnung sicherstellen sollen, zusammenarbeiten.
6 Bei [Verstössen] des Verantwortlichen oder [Auftragsbearbeiters] sollte der bestellte Vertreter Durchsetzungsverfahren unterworfen werden.
Notabene: Bei der Schweizer Variante einer "Vertretungspflicht" im Sinne des Artikel 27 DSGVO wurde bei der Totalrevision des Schweizer Datenschutzrechts angesichts bereits bestehender Rechtsgrundlagen [Verwaltungsverfahrensgesetz (VwVG); Zivilprozessordnung (ZPO)] darauf verzichtet, im nDSG neue bzw. parallele Bestimmungen für ein "Zustellungsdomizil" in der Schweiz zu schaffen. Deshalb wurde der hierzu relevante Artikel 14 nDSG in Anlehnung an Artikel 27 DSGVO konzipiert. Demzufolge können bestimmte im Ausland niedergelassene Verantwortliche verpflichtet werden, eine "Vertretung" in der Schweiz als Anlaufstelle zu bezeichnen.
Mit den Anforderungen gemäss Artikel 27 der DSGVO versucht die EU die Chancen eines erfolgreichen Rechtsdurchgriffs für ihre Datenschutz-Aufsichtsbehörden zu erhöhen, um Sanktionen gegen (datenschutzverstossende) "aussereuropäische" Unternehmen durchsetzen zu können, auf die man ansonsten nur schwer oder gar keinen Zugriff hätte.
Bereits in der EU-Richtlinie von 1995, die als Grundlage für die DSGVO gilt, gab es das Erfordernis einer EU-Vertretung (Artikel 4 Absatz 2 Richtlinie 95/46/EG), das – eben, weil es keine "Verordnung" war – wohl nur von sehr wenigen betroffenen Unternehmen befolgt wurde, und wo es ohnehin an praktischen Präzedenzfällen bzw. richterlichen Entscheidungen mangelte.
Die DSGVO "meint es ernst" und erweitert die Anforderungen an Verantwortliche und Auftragsbearbeiter mit Artikel 27 in Verbindung mit Artikel 3 Absatz 2 DSGVO:
Artikel 3 Räumlicher Anwendungsbereich DSGVO
(1) Diese Verordnung findet Anwendung auf die [Bearbeitung] [von Personendaten], soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines [Auftragsbearbeiters] in der Union erfolgt, unabhängig davon, ob die [Bearbeitung] in der Union stattfindet.
(2) Diese Verordnung findet Anwendung auf die [Bearbeitung] [von Personendaten] von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder [Auftragsbearbeiter], wenn die [Datenbearbeitung] im Zusammenhang damit steht
- betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
- das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
(3) Diese Verordnung findet Anwendung auf die [Bearbeitung] [von Personendaten] durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
Zum Artikel 3 DSGVO, der stets in Verbindung mit Artikel 27 DSGVO zu sehen ist, gibt es eine Reihe von relevanten Erwägungsgründen, die besondere Beachtung verdienen und zusammenhängende spezielle Aspekte, Hintergründe und Vorgehensweisen konkretisieren. Die Volltexte der zu Artikel 3 DSGVO passenden Erwägungsgründe sind am Ende dieses Beitrags abgebildet. Das Lesen dieser Erwägungsgründe lohnt sich zum besseren Verständnis der Vielschichtigkeit dieses Themas.
Wer muss eine EU-Vertretung "designieren"?
Wie eingangs erwähnt, müssen die meisten "aussereuropäischen" Unternehmen, d. h. auch Schweizer Unternehmen, die DSGVO befolgen, und zwar konkret, wenn Sie, laut Artikel 3 DSGVO,
- betroffenen Personen in der EU Waren oder Dienstleistungen anbieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist,
- oder wenn sie das Verhalten betroffener Personen beobachten, soweit ihr Verhalten in der Union erfolgt.
Der Begriff "Niederlassung" ("Establishment") ist übrigens in Artikel 3 DSGVO nicht weiter definiert; Erwägungsgrund 22 DSGVO geht jedoch näher darauf ein; dort heisst es:
[...] 2 Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus.
3 Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.
Beispiel: Wenn ein Schweizer Unternehmen eine Niederlassung in der EU (beispielsweise in Deutschland) gründet, unterliegt diese Niederlassung zunächst vollständig der DSGVO, d. h. es muss grundsätzlich keine EU-Vertretung gemäss Artikel 27 DSGVO designiert werden.
Allerdings kann die Gründung einer Niederlassung nicht pauschal als Verzichtsgrund für eine EU-Vertretung gesehen werden, denn wenn das Schweizer Unternehmen in diesem Beispiel mit seiner deutschen Niederlassung nach dem "Fremdvergleichsgrundsatz[2]" agiert, kann man diese Niederlassung nicht mehr als eigenständige Tochter des Schweizer Unternehmens betrachten. In so einem Fall, der gar nicht so selten vorkommt, wäre das Schweizer Unternehmen dem Artikel 27 DSGVO unterworfen; eine EU-Vertretung müsste spätestens dann designiert werden, wenn Personendaten von EU-Bürger:innen direkt und regelmässig mit der Absicht bearbeitet werden, ihnen Waren und Dienstleistungen anzubieten, beispielsweise über eine konkret an EU-Verbraucher:innen zugewandte Website.
(Schweizer) Unternehmen können Ausnahmen zu den Anforderungen des Artikel 27 DSGVO geltend machen, und zwar
- wenn die Bearbeitung von Personendaten nur gelegentlich stattfindet,
- nicht in grossem Umfang geschieht,
- keine besonders schützenswerten Personendaten betrifft, (d. h. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie; genetische Daten; biometrische Daten, die eine natürliche Person eindeutig identifizieren; Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen; Daten über Massnahmen der sozialen Hilfe; [siehe Artikel 5 Buchstabe c nDSG),
- und die Wahrscheinlichkeit von Eingriffen in die Privatsphäre von betroffenen Personen sehr gering ist.
Beispiel: Wenn ein Schweizer Unternehmen ohne eine EU-Niederlassung über seine Website Waren und Dienstleistungen an EU-Bürger:innen anbietet und verkauft, untersteht es damit dem Artikel 27 der DSGVO und muss eine EU-Vertretung designieren, denn hierbei ist davon auszugehen, dass regelmässig Personendaten gesammelt werden, die in Zusammenhang mit dem Verkauf der Waren und Dienstleistungen stehen.
Das Schweizer Unternehmen könnte hier, als Ausweichmöglichkeit, einen in der EU ansässigen Dienstleister beispielsweise für die Warenkorb-Verwaltung und Zahlungsmodalitäten einsetzen, der dann als Auftragsbearbeiter eingesetzt wird, und somit Artikel 27 DSGVO nicht zu Anwendung käme.
Beispiel: Ein Schweizer Unternehmen, das beispielsweise Cloud-Speicherdienste oder Software-as-a-Service an in der EU ansässige Hersteller von Industriegütern anbietet, wäre höchstwahrscheinlich von Artikel 27 DSGVO unbetroffen, da hier in der Regel Waren und Dienstleistungen nicht an betroffene Personen, sondern an andere Unternehmen (als Kunden) ausgerichtet sind, selbst wenn ggf. bei den damit verbundenen Bearbeitungsvorgängen einige Personendaten an das Schweizer Unternehmen fliessen können, beispielsweise die Kontaktdaten von vorgangsinvolvierten Beschäftigten des Kunden.
Merke: Schweizer Unternehmen mit Niederlassungen in der EU können im Übrigen auch zur Designierung einer EU-Vertretung gemäss Artikel 27 DSGVO verpflichtet werden, wenn sie regelmässig Dienstleistungen direkt an Mitarbeitende der EU-Niederlassung(en) anbieten und durchführen, beispielsweise globale Trainingsprogramme oder spezielle Schulungen, und dabei die Personendaten der EU-Mitarbeitenden in die Schweiz übermitteln und dort bearbeiten (wozu auch das Speichern der Daten zählt).
Welche Rolle nimmt die EU-Vertretung im Kontext von Artikel 27 DSGVO ein?
Die Rolle einer designierten EU-Vertretung ist primär passiv. Die Benennung der EU-Vertretung muss in den Datenschutzhinweisen des Verantwortlichen, d. h. in diesem Fall beim Schweizer Unternehmen, veröffentlicht werden (gemäss Artikel 13 Absatz 1 Buchstabe a DSGVO und Artikel 14 Absatz 1 Buchstabe a DSGVO).
In den Datenschutzhinweisen (des Schweizer Unternehmens) kann die EU-Vertretung als direkte oder (neben dem Verantwortlichen) zusätzliche Anlaufstelle genannt werden, und zwar bezogen auf die Kommunikation mit Aufsichtsbehörden sowie dem Austausch mit betroffenen Personen in allen Angelegenheiten bezüglich stattfindender Bearbeitungen des Verantwortlichen von betroffenen Personendaten. Hier geht es grundsätzlich um das Einhalten der DSGVO-Compliance (gemäss Artikel 27 Absatz 4 DSGVO) sowie um die Klarstellung der obligatorischen Vertreterfunktion (der EU-Vertretung) für den Verantwortlichen (gemäss Artikel 4 Absatz 17 DSGVO).
Zu den "aktiven" Tätigkeiten der EU-Vertretung gehören die Verwaltung, Pflege, Überwachung sowie die Bereitstellungsmöglichkeit aller Dokumentationen in Zusammenhang mit der Bearbeitung von betreffenden Personendaten. Gemeint ist das "Bearbeitungsverzeichnis" des Verantwortlichen; das entsprechende Erfordernis ergibt sich aus Artikel 30 DSGVO. Nur wenn dies gewährleistet ist, kann die EU-Vertretung effektiv mit den Aufsichtsbehörden kooperieren und auf Anfragen gemäss Artikel 31 DSGVO zeitnah reagieren.
Vergleich der EU-Vertretung mit einem EU-Datenschutzbeauftragten (DSB)
Es gibt signifikante Rollenunterschiede zwischen einem EU-Vertreter und einem DSB.
Während ein DSB sozusagen "der verlängerte Arm" der zuständigen EU-Datenschutz-Aufsichtsbehörde für den Verantwortlichen ist und u. a. den Zweck der Bewusstseinsförderung der Datenschutzkultur in seinem Unternehmen erfüllt, um die Datenschutz-Compliance sicherzustellen, übernimmt der EU-Vertreter lediglich eine "Briefkastenfunktion".
Eine EU-Vertretung nimmt Anfragen von Aufsichtsbehörden und Auskunftsbegehren oder Beschwerden von betroffenen Personen entgegen und leitet diese an die zuständigen (internen) Stellen weiter. Ansonsten führt die EU-Vertretung das "Bearbeitungsverzeichnis", d. h. sie hält alle Dokumentationen zu Datenbearbeitungen vor und hat ansonsten keine weiteren "aktiven" Aufgaben.
Ein wesentliches Unterscheidungsmerkmal zwischen einem EU-Vertreter und einem DSB ist die Weisungsgebundenheit, die beim DSB (bewusst) nicht gegeben ist, hingegen beim EU-Vertreter explizit (gemäss Artikel 27 Absatz 4 DSGVO) vorliegt:
[...] (4) Der Vertreter wird durch den Verantwortlichen oder den [Auftragsbearbeiter] beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der [Bearbeitung] zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen. [...]
Zudem ist der DSB aktiv und tief in alle Datenschutz-Compliance Prozesse in seinem Unternehmen eingebunden (mit entsprechenden Kontroll-, Prüf- und Reporting-Funktionen), bei denen ein EU-Vertreter weder involviert ist noch jemals damit in Berührung kommt.
DSGVO-Sanktionen im EU-Vertreter-Kontext: Ein heikles Thema
Eine EU-Vertretung kann für Datenschutzverstösse gebüsst werden, allerdings nur für Verstösse in Zusammenhang mit ihren spezifischen Aufgaben.
Die DSGVO äussert sich nicht explizit zu Haftungen einer EU-Vertretung. In Artikel 27 Absatz 5 DSGVO wird lediglich klargestellt, dass ein ausländisches (aussereuropäisches) Unternehmen auch dann haftbar gemacht werden kann, wenn es eine EU-Vertretung designiert hat:
[...] (5) Die Benennung eines Vertreters durch den Verantwortlichen oder den [Auftragsbearbeiter] erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den [Auftragsbearbeiter] selbst.
Der (unverbindliche) Erwägungsgrund 80 DSGVO notiert hierzu erklärend:
6 Bei [Verstössen] des Verantwortlichen oder [Auftragsbearbeiters] sollte der bestellte Vertreter Durchsetzungsverfahren unterworfen werden.
Da der Zweck von Geldbussen die Bestrafung von Rechtsverletzungen ist, kann die EU-Vertretung unter der DSGVO nicht in Haftung genommen werden, es sei denn die EU-Vertretung ist selbst unter Vorsatz Verursacher eines Datenschutzverstosses.
Wie bereits erwähnt, erfüllt die EU-Vertretung nur drei "aktive" Aufgaben, nämlich die Kooperation mit den betreffenden Aufsichtsbehörden, die Entgegennahme und Weiterleitung von Auskunftsbegehren und Beschwerden betroffener EU-Personen und die Pflege sowie das Vorhalten aller Datenschutz-Dokumentationen (was in der Regel das "Bearbeitungsverzeichnis" sein wird). Die Datenschutz-Dokumentation wird wiederum vom Verantwortlichen (hier das Schweizer Unternehmen) – nicht von der EU-Vertretung – aufbereitet und zur Verfügung gestellt.
Selbst wenn die EU-Vertretung gegen ihre eigenen Aufgaben verstösst, (beispielsweise, weil sie Anfragen von Aufsichtsbehörden ignoriert oder notwendige Datenschutz-Dokumentationen nicht vorhält), sieht die DSGVO keine (administrativen) Geldbussen für EU-Vertretungen vor.
Bei DSGVO-bezogenen Datenschutzverstössen eines ausländischen bzw. aussereuropäischen Unternehmens muss die EU entsprechende Durchsetzungsverfahren einleiten und eine Geldbusse gegen dieses Unternehmen verhängen. Um den damit verbundenen Verwaltungsakt zu vereinfachen, können sich die EU-Behörden für Vorladungen, gesetzliche Verordnungen und Geldbussbescheide an die EU-Vertretung des betroffenen ausländischen Unternehmens wenden. Allerdings werden Gerichte und Regierungsbehörden ausserhalb der EU diesbezüglich in der Regel kaum oder gar nicht ohne Weiteres mit EU-Behörden kooperieren.
Die Durchsetzung von DSGVO-Geldbussen gegen aussereuropäische "datenschutzverstossende" Unternehmen erweist sich somit als äusserst schwierig, wenn nicht sogar als (scheinbar) unmöglich. Konsequenterweise werden die EU-Aufsichtsbehörden hier bei der Verfolgung von DSGVO-Datenschutzverstössen indirekten Druck im aussereuropäischen Raum ausüben. Da es noch keine Präzedenzfälle gibt, wird die Praxis zeigen, wie sich das Verhängen und die Durchsetzung einer DSGVO-Geldbusse in diesem Kontext erfolgreich realisiert.
Schweizer Bezug
Da es an Präzedenzfällen mangelt, sind die folgenden Ausführungen als reine Vermutungen zu verstehen, die jedoch immerhin sorgfältig reflektiert wurden. Sicher ist, dass EU-Behörden, die einen Datenschutzverstoss eines Schweizer Unternehmen ahnden wollen, de facto vor der gleichen Herausforderung stehen, nämlich dass die Durchsetzung einer DSGVO-Busse im aussereuropäischen Raum äusserst schwierig, wenn nicht sogar unmöglich sein kann.
Die in der Schweiz "anzusprechende" Instanz wäre hier der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Einerseits ist der EDÖB nach internationalem Recht berechtigt, das nDSG auch auf Datenbearbeitungen im Ausland anzuwenden. Andererseits kann der EDÖB die zwingenden Bestimmungen der DSGVO berücksichtigen, wenn für diese "Berücksichtigung" ein offensichtlich überwiegendes und schützenswertes Interesse vorliegt. Ohne das weiter zu vertiefen, soll damit zum Ausdruck gebracht werden, dass der EDÖB durchaus einen wesentlichen Einfluss auf die Durchsetzbarkeit eines EU-Behördenanspruchs gegen ein Schweizer Unternehmen hat.
Die Gretchenfrage wäre hier, ob der EDÖB ein Interesse daran hat, gegen Schweizer Unternehmen das nDSG im Auslandbezug konsequent anzuwenden oder die zwingenden DSGVO-Bestimmungen zu berücksichtigen. Wenn das nicht der Fall ist, besteht für die entsprechenden EU-Behörden kaum eine Chance zur Durchsetzung ihrer Bussgeld-Forderung.
Bisher hat der EDÖB sich zu diesem potenziellen "Dilemma" noch nicht öffentlich geäussert. Auf eine diesbezügliche Anfrage reagierte er mit dem Verweis, dass, wie eingangs erwähnt, es an Präzedenzfällen mangelt und seine Reaktion grundsätzlich vom Vorgehen und dem Durchsetzungswillen einer betreffenden EU-Behörde abhängt. Man kann wohl davon ausgehen, dass von EU-Behörden vorgetragene Fälle, bei denen die Interessen der Schweiz in heiklem Ausmass berührt sind, besondere Aufmerksamkeit und eine entsprechende Reaktion des EDÖB geniessen werden.
Schweizer Unternehmen sind bestrebt, "schwellenlos" am EU-Markt teilnehmen zu können. Die EU-Kommission hat diesbezüglich datenschutzrechtlich für aussereuropäische Staaten (die als "Drittländer" bezeichnet werden) eine Angemessenheitsprüfung vorgenommen, die "Drittländer" in zwei Kategorien einteilt:
- "Drittländer", die im Rahmen der DSGVO-Anforderungen ein angemessenes Schutzniveau für die Übermittlung und Bearbeitung von Personendaten von EU-Bürger:innen vorweisen und dadurch keinen besonderen, zusätzlich zu erfüllenden Regelungen und Schutzmassnahmen unterstellt sind;
- und "Drittländer", die, in diesem Kontext, als "unsicher" eingestuft werden, und bei denen deshalb die Zusicherung und Einhaltung strenger Garantien für den Schutz zu übermittelnder und zu bearbeitender Personendaten (Datentransfer) in ein betroffenes "Drittland" gewährleistet ist, was oftmals nur durch juristisch komplizierte vertragliche Zusatzvereinbarungen, (technische) Schutzmassnahmen sowie über eine notwendige Vorab-Risikoprüfung ("Transfer Impact Assessment") erreicht werden kann; dabei wird zunächst über die Risikoprüfung festgestellt, ob ein Datentransfer überhaupt angemessen "sicher" (d. h. zulässig) wäre.
Die Schweiz geniesst hier den Status der ersten Kategorie, ist also aus EU-Perspektive ein "sicheres Drittland". Es wäre für Schweizer Unternehmen hoch prekär, wenn ihr Land diesen Status verliert. Insofern würden hier die EU-Behörden, wenn sie den DSGVO-Verstoss eines Schweizer Unternehmens mit einem (hohen) DSGVO-Bussgeld in der Schweiz durchsetzen wollen, ggf. "am längeren Hebel sitzen". Denn sollte der EDÖB einen solchen Durchsetzungsversuch tatsächlich abblocken (was wir jedoch für wenig wahrscheinlich halten), wäre das durchaus ein Anlass für die EU-Kommission, die Schweiz als "unsicheres Drittland" abzustufen. Das kann (und wird nach unserer Auffassung) auf keinen Fall im Sinne einer "schwellenlosen" Marktteilnahme sein. Die Praxis wird zeigen, wie sich dieses Thema entwickelt.
Wer kann als EU-Vertretung "designiert" werden?
(Schweizer) Unternehmen können private oder juristische Personen als EU-Vertretung designieren.
Die EU-Vertretung kann ihren (Wohn-) Sitz überall in der EU bzw. im EWR wo betroffene Personen (EU-Bürger:innen) leben etablieren. Dazu Artikel 27 Absatz 3 DSGVO:
[...] (3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren [Personendaten] im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen [bearbeitet] werden oder deren Verhalten beobachtet wird, sich befinden.
Artikel 27 DSGVO schreibt hier keinen spezifischen EU-Mitgliedstaat als Standort vor.
Es ist zulässig, dass dieselbe private oder juristische Person gleichzeitig als EU-Vertretung und als Datenschutzbeauftragter (DSGVO- bzw. EU-seitig!) agiert. In der Praxis werden die Rollen meist getrennt. Anzumerken ist, dass der Einsatz einer EU-Vertretung innerhalb der EU bzw. des EWR standortunabhängig bestimmt werden kann.
Wie wird die EU-Vertretung "designiert"?
Die Bestellung (Designierung) einer EU-Vertretung kann formlos bewirkt werden, beispielsweise auf einem Blatt Papier mit nur einem Satz. In Artikel 27 Absatz 1 DSGVO heisst es:
[...] (1) In den Fällen [gemäss] Artikel 3 Absatz 2 benennt der Verantwortliche oder der [Auftragsbearbeiter] schriftlich einen Vertreter in der Union. [...]
Der oben referenziert Artikel 3 Absatz 2 DSGVO besagt (um es noch einmal zu wiederholen):
[...] (2) Diese Verordnung findet Anwendung auf die [Bearbeitung] [von Personendaten] von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder [Auftragsbearbeiter], wenn die [Datenbearbeitung] im Zusammenhang damit steht
- a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
- b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. [...]
Gemäss Artikel 27 Absatz 1 DSGVO hat die Designierung demnach "schriftlich" zu erfolgen, d. h. anders als an anderem Stellen der DSGVO ist hier die digitale oder mündliche Benennungsform nicht konkret erlaubt.
Ein (Schweizer) Unternehmen sollte bei der Designierung einer Person oder einer nicht unternehmensverbundenen Instanz für eine EU-Vertretung zusätzlich einen Dienstleistungsvertrag aufsetzen, der Aufgaben, Vergütung, Kündigungsrechte, Haftungen sowie andere übliche kaufmännische Vertragsaspekte klarstellt.
Setzen Sie sich für weitere Informationen zu diesem gar nicht so einfachen Thema jederzeit mit uns in Verbindung. Wir beraten Sie auch gerne unverbindlich in einem ersten Gespräch, z. B. mittels MS Teams, über pragmatische und unkomplizierte Lösungsmöglichkeiten, die Ihren Datenschutz wesentlich erleichtern und definitiv Aufwand und Kosten sparen.
Wenn Sie für sich einen Anwendungsfall für eine EU-Vertreter-Designierung sehen bzw. vermuten, oder wenn Sie beim Thema als solches unsicher sind, lassen Sie uns bei einem (unverbindlichen) Gespräch erörtern, wo Sie stehen oder ggf. stehen sollten. Wir haben die notwendige Erfahrung als EU-Vertreter für Mandanten und entsprechendes Know-how aufgebaut, von dem Sie profotieren können.
Passende Erwägungsgründe zu Artikel 3 DSGVO
Erwägungsgrund 22 [Betrifft die Bearbeitung von Personendaten durch eine (Schweizer) Niederlassung]
1 Jede [Bearbeitung] [von Personendaten] im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines [Auftragsbearbeiters] in der Union sollte [gemäss] dieser Verordnung erfolgen, gleich, ob die [Bearbeitung] in oder [ausserhalb] der Union stattfindet.
2 Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus.
3 Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.
Erwägungsgrund 23[Anwendbar auf Verantwortliche/Auftragsbearbeiter ausserhalb der EU bei gezieltem Anbieten an betroffene Personen innerhalb der EU bzw. des EWR]
1 Damit einer natürlichen Person der [gemäss] dieser Verordnung gewährleistete Schutz nicht vorenthalten wird, sollte die [Bearbeitung] [von Personendaten] von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder [Auftragsbearbeiter] dieser Verordnung unterliegen, wenn die [Bearbeitung] dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten.
2 Um festzustellen, ob dieser Verantwortliche oder [Auftragsbearbeiter] betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder [Auftragsbearbeiter] offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten.
3 Während die [blosse] Zugänglichkeit der Website des Verantwortlichen, des [Auftragsbearbeiters] oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, hierfür kein ausreichender Anhaltspunkt ist, können andere Faktoren wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten.
Erwägungsgrund 24 [Anwendbar auf Verantwortliche/Auftragsbearbeiter ausserhalb der EU bei Profilerstellung von betroffenen Personen innerhalb der EU]
1 Die [Bearbeitung] [von Personendaten] von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder [Auftragsbearbeiter] sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
2 Ob eine [Bearbeitungstätigkeit] der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, [einschliesslich] der möglichen nachfolgenden Verwendung von Techniken zur [Bearbeitung] [von Personendaten], durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.
Erwägungsgrund 25[Anwendbar auf Verantwortliche ausserhalb der EU aufgrund völkerrechtlicher Bestimmungen]
Ist nach Völkerrecht das Recht eines Mitgliedstaats anwendbar, z. B. in einer diplomatischen oder konsularischen Vertretung eines Mitgliedstaats, so sollte die Verordnung auch auf einen nicht in der Union niedergelassenen Verantwortlichen Anwendung finden.
[1] Bei DSGVO-bezogenen Gesetzestext-Auszügen werden bewusst die Schweizer Schreibweise und Schweizer datenschutzrechtliche Begrifflichkeiten "eingebaut", um eine reine Schweiz-Orientierung herzustellen, die für Schweizer Leser:innen den Bezug zur Schweizer Datenschutz-Rechtsprechung erleichtern soll.
[2] Fremdvergleichsgrundsatz: Grundsatz, nach dem miteinander verbundene Unternehmen Geschäfte miteinander zu solchen Konditionen eingehen müssen, wie sie auch untereinander fremden Dritten eingegangen werden würden. Die Bezeichnung beruht auf der Vorstellung, die betroffenen Unternehmen sollten trotz ihrer Verbundenheit noch einen gewissen Mindestabstand zueinander einhalten. Der Begriff kommt aus der breit angewendeten und bekannten englischen Bezeichnung "Arm's-Length-Principle" (ALP).