Entscheidungen zum Datenschutzrecht  ·  31. Mai 2021

Art 27 DSGVO-Vertreter haftet nicht direkt gegenüber Behörden und/oder Personen

In UK hat ein Gericht geurteilt, dass der Art 27-Vertreter nicht für die Einhaltung der Bestimmungen der DSGVO durch den Verantwortlichen haftet, und zB auch nicht für Schadenersatz in Anspruch genommen werden kann. 

Der Art 27 Vertreter.

Art 27 DSGVO schreibt vor, dass auch Verantwortliche außerhalb der EU, einen Vertreter haben oder bestellten müssen, wenn diese Verarbeitungen iSd Art 3 Abs 2 DSGVO durchführen.

 

Die DSGVO hat auch einen „extraterritorialen“ Anwendungsbereich, sofern durch Verantwortliche außerhalb der EU Verarbeitungen von personenbezogenen Daten von betroffenen Personen erfolgen.

 

Die DSGVO ist auf Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, auch dann anwendbar, wenn der Verantwortliche (oder Auftragsverarbeiter) außerhalb der EU niedergelassen ist, sofern die Verarbeitung damit in Zusammenhang mit Waren- oder Dienstleistungsangeboten an in der EU befindliche natürliche Personen stehen, oder es darum geht, das Verhalten der in der EU befindlichen natürlichen Personen zu beobachten.

 

Der Anwendungsbereich ist daher an sich sehr weit, sobald die Daten von Europäern verarbeitet werden.

 

Wenn eine dieser beiden Voraussetzungen erfüllt ist, dann ist die DSGVO – auch für Verantwortliche (Auftragsverarbeiter) außerhalb der EU maßgebend, und diese sind dann auch verpflichtet, einen Art 27 DSGVO-Vertreter zu haben (zu bestellen).

Eine Mitteilung an eine Aufsichtsbehörde ist nicht notwendig, aber in den Datenschutzinformationen gem. Art 13 und Art 14 DSGVO ist der/die Vertreter/in bekannt zu geben.

 

Keine Haftung des Art 27-Vertreters für die Einhaltung der DSGVO

 

In UK hat der HIGH COURT OF JUSTICE, QUEEN'S BENCH DIVISION, London, am 28/05/2021 ([2021] EWHC 1427 (QB), Case No: QB-2020-002788) in einem Verfahren gegen LEXISNEXIS RISK SOLUTIONS UK LIMITED entschieden, dass der Vertreter iSd Art 27 DSGVO nicht für die Einhaltung der Regelungen der DSGVO verantwortlich ist. Diese Verpflichtung trifft den Verantwortlichen / Auftragsvererbeiter direkt.

 

Der/Die Verantwortliche iSd Art 27 DSGVO erhält daher keine DSGVO-Strafen iSd Art 83 DSGVO und kann auch nicht für etwaige Verstöße des Verantwortlichen zum Schadenersatz gegen über (betroffenen) Personen verurteilt werden.

 

„88. Die Leitlinien lassen wenig oder keinen Raum für die „Vertreterhaftung“.

 

Sie machen deutlich, dass ein Vertreter „nicht selbst für die Einhaltung der Rechte der betroffenen Person verantwortlich ist“. Sie stellen klar, dass der Verantwortliche für den Inhalt der Aufzeichnungen verantwortlich bleibt, die sowohl der Verantwortliche als auch der Vertreter führen müssen; Der für die Verarbeitung Verantwortliche muss den Vertreter in die richtige Position bringen, um dessen diskrete Verantwortung zu erfüllen (nicht umgekehrt). “

 

 

31.5.2021, Autor:

Michael Schweiger, zert DSBA

Download
UK Art 27 keine Haftung.pdf
Adobe Acrobat Dokument 888.3 KB
Download
Tags: Verantwortlicher, Vertreter, Haftung, Schadenersatz, Verantwortlichkeit, UK, Art 27, Compliance

Kommentar schreiben

Kommentare: 0