Artikel 27 EU-DSGVO: Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
- In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.
- Diese Pflicht gilt nicht für
- eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
- Behörden oder öffentliche Stellen.
- Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.
- Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.
- Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.
Kommentar zu Art. 37 EU DSGVO - Benennung eines Datenschutzbeauftragten
Art. 37 DSGVO geht auf den Datenschutzbeauftragten ein und bestimmt, wann ein solcher eingesetzt werden muss bzw. kann. Daneben enthält der Artikel Regelungen dazu, welche Qualifikationen eine Person hierzu mitbringen muss. Ferner geht es um das Vertragsverhältnis zwischen dem Verantwortlichen – also zum Beispiel einem Unternehmen – und dem Datenschutzbeauftragten. Letztlich bestimmt Art. 37 DSGVO, dass die Kontaktdaten des Datenschutzbeauftragten an die zuständige Aufsichtsbehörde weitergegeben werden müssen.
Art. 37 DSGVO – Was ist bei der Benennung eines Datenschutzbeauftragten zu beachten?
Der erste Absatz des Artikels nennt Fälle, in denen zwingend vom Verantwortlichen, d. h. Unternehmen/Behörde, und vom Auftragsverarbeiter ein Datenschutzbeauftragter zu bestellen ist. Dies ist grundsätzlich bei Behörden der Fall oder wenn das Hauptaufgabenfeld Ihrer Firma etwa darin besteht, Menschen systematisch zu überwachen und hierzu Daten aufzuzeichnen oder wenn Ihr Betrieb mit der Verarbeitung besonders schützenswerter personenbezogener Daten wie etwa politischer Meinungen, religiöser Überzeugungen etc. nach Art. 9 und Art. 10 DSGVO betraut ist.
Viele Unternehmen gehören jedoch nicht zum explizit in Art. 37 DSGVO genannten Adressatenkreis. Diese müssen sich an nationale Regelungen halten. In Deutschland ist vor allem das Bundesdatenschutzgesetz zu Rate zu ziehen, welches in § 38 Absatz 1 unter anderem bestimmt, dass in Firmen mit mindestens 20 Mitarbeitern, die ständig mit personenbezogene Daten arbeiten, ebenfalls ein Datenschutzbeauftragter ernannt werden muss.
Diese Aufgabe kann jedoch nicht jede beliebige Person intern oder extern im Unternehmen übernehmen. Vielmehr müssen unter anderem eine gewisse berufliche Qualifikation sowie Fachwissen im Bereich Datenschutz vorliegen; dies kann etwa bei IT-Fachleuten oder Rechtsanwälten der Fall sein. Zudem muss es dem Berufenen möglich sein, seine in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Hierbei darf es vor allem nicht zu Interessenkonflikten kommen, so dass normalerweise Geschäftsführer, Gesellschafter oder IT-Fachleute, die gleichzeitig die Sicherheitssoftware des Unternehmens stellen, nicht als Datenschutzbeauftragte in Frage kommen. Auch ist Ihre Firma verpflichtet, der jeweiligen zuständigen Landesaufsichtsbehörde ihren Datenschutzbeauftragten zu benennen.
Firmeninterner oder externer Datenschutzbeauftragter?
Zudem besagt Art. 37 DSGVO, dass sowohl ein interner als auch ein externer Datenschutzbeauftragter eingesetzt werden darf. Damit kann Ihr Unternehmen auch eine firmenfremde Person mit der Umsetzung der Datenschutzregulierungen beauftragen. Weitere informationen finden Sie auch auf unserer Seite zum Internen vs. Externen Datenschutzbeauftragten.