Viele Unternehmen in der Schweiz müssten eine EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO benennen. Wie viel es kosten kann, wenn keine solche Vertretung vorhanden ist, zeigt eine Busse von insgesamt 645’000 Euro der niederländischen Datenschutz-Aufsichtsbehörde.
Verantwortliche, die Dienstleistungen oder Waren – auch kostenlos – an Personen im Europäischen Wirtschaftsraum (EWR) anbieten und deshalb der europäischen Datenschutz-Grundverordnung (DSGVO) unterliegen, müssen eine EU-Datenschutz-Vertretung benennen (Art. 3 Abs. 1 lit. a DSGVO). Das Gleiche gilt für Verantwortliche, die das Verhalten von Personen im EWR beobachten (Art. 3 Abs. 1 lit. b DSGVO).
Die Pflicht zu einer EU-Datenschutz-Vertretung gilt für fast alle privaten Verantwortlichen, welche teilweise der DSGVO unterliegen. Es gibt nur eine wesentliche Ausnahme, nämlich wenn die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt (Art. 27 Abs. 2 lit. a DSGVO), was aber fast nie der Fall ist.
Kanadische Website: 645’000 Euro Busse in der Niederlande
Die Personen-Suchmaschine «Locate Family» sammelt und veröffentlicht die Namen und Kontaktadressen von über 350 Millionen Menschen, häufig ohne deren Wissen. «Locate Family» sitzt mutmasslich in Kanada.
In der Folge erhielt die niederländische Datenschutzaufsicht-Behörde, die Autoriteit Persoonsgegevens, zahlreiche Beschwerden von betroffenen Personen. Betroffene Personen konnten ihre Daten nicht ohne Weiteres löschen lassen, weil es keine EU-Datenschutz-Vertretung gab, an die sich wenden konnten.
Aus diesem Grund verhängte die Aufsichtsbehörde eine zu bezahlende Busse von 525’000 Euro:
«The Dutch Data Protection Authority (DPA) has imposed a fine of €525,000 on the website Locatefamily.com, which publishes people’s addresses and phone numbers, often without their knowledge. Anyone who wants to have their details removed from the site cannot do so easily because Locatefamily.com does not have a representative in the EU. The lack of a representative in the EU is a breach of the General Data Protection Regulation (GDPR) and is the reason the fine was imposed.»
Ausserdem verfügte die Aufsichtsbehörde, dass «Locate Family» eine EU-Datenschutz-Vertretung benennen muss. Für jede zwei Wochen, während denen keine EU-Datenschutz-Vertretung benannt wird, erhöht sich die Busse um weitere 20’000 Euro bis zu einer Gesamthöhe von weiteren 120’000 Euro:
«To compel Locatefamily.com to establish a representative in the EU, the DPA has also imposed an order subject to penalty on Locatefamily.com. The company had to designate a representative in the EU by March 18 2021. Otherwise, Locatefamily.com must pay 20,000 euros for every 2 weeks it does not have such a representative, with a maximum of 120,000 euros. Locatefamily.com has not confirmed to the AP at this time whether it has now appointed a representative in the EU.»
Ein Blick auf die Website von «Locate Family» zeigt, dass bislang keine EU-Datenschutz-Vertretung benannt wurde, denn diese müsste in der Datenschutzerklärung aufgeführt werden. Die Busse, welche «Locate Family» bezahlen müsste, beträgt damit insgesamt 645’000 Euro. Ich vermute, dass die Busse gegen «Locate Family» mit mutmasslichem Sitz in Kanada nicht durchgesetzt werden kann.
Für die meisten Verantwortlichen in der Schweiz dürfte es allerdings keine Option sein, eine allfällige Busse einer europäischen Datenschutz-Aufsichtsbehörde auszusitzen. In jedem Fall droht bei einer solchen Busse ein Reputationsschaden bei Geschäftspartnern und Kundinnen.
Datenschutzpartner: Einfache Benennung einer EU-Datenschutz-Vertretung
Um Verantwortlichen in der Schweiz die Benennung einer EU-Datenschutz-Vertretung möglichst einfach zu machen, habe ich vor einiger Zeit das Datenschutzpartner-Angebot für die EU-Datenschutz-Vertretung mitgegründet.
Wer in der Schweiz sitzt und eine EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO benötigt, kann diese bei Datenschutzpartner online mit wenigen Klicks benennen und muss keine entsprechenden Bussen mehr fürchten.
Wer sich unsicher ist, ob tatsächlich eine EU-Datenschutz-Vertretung benötigt wird, kann den Fragebogen von Datenschutzpartner ausfüllen und erhält eine Antwort.
Eine EU-Datenschutz-Vertretung kann, zumindest bei Datenschutzpartner, mit geringstem Aufwand und zu überschaubaren Kosten benannt werden. Kaum eine Anforderung der DSGVO ist derart einfach zu erfüllen. Meines Erachtens lohnt es sich deshalb nicht, in diesem Punkt ein Risiko einzugehen.
Quelle: Dutch DPA imposes fine of €525,000 on Locatefamily.com (Medienmitteilung vom 12. Mai 2021)
Hi, muss die EU-Datenschutz-Vertretung eine natürliche Person (Vor/Nachname) sein, oder genügt einfach eine erreichbare «Abteilung» ua. im Unternehmen?
Als EU-Datenschutz-Vertretung kann eine juristische oder natürliche Person benannt werden.
Bei natürlichen Personen besteht häufig das Problem, dass sie ihre Wohnadresse nicht veröffentlichen möchten. Auch sind natürliche Personen häufig nicht in der Lage, die EU-Datenschutz-Vertretung an 365 Tagen im Jahr zu gewährleisten, weil sie beispielsweise in den Ferien weilen. Auch bekunden natürliche Personen allenfalls Mühe damit, nicht bloss Anfragen weiterzuleiten, sondern mit Datenschutz-Aufsichtsbehörden zu kommunizieren.
Ein allfälliger externer Datenschutzbeauftragter kann nicht gleichzeitig die EU-Datenschutz-Vertretung übernehmen.