In den Niederlanden wurde ein (exterritorialer) Verantwortlicher mit einer DSGVO-Strafe belegt. Er hatte keinen Vertreter iSd Art 27 DSGVO bestellt, und wurde von der Behörde nun aufgefordert, dies binnen einer Frist nachzuholen und es wurde eine Zwangsstrafe von EUR 20.000,-- für je 14 Tage Nichtbestellung bei Nichtbeachtung dieser Anordnung angedroht.
Der Art 27 Vertreter.
Art 27 DSGVO schreibt vor, dass auch Verantwortliche außerhalb der EU, einen Vertreter haben oder bestellten müssen, wenn diese Verarbeitungen iSd Art 3 Abs 2 DSGVO durchführen.
Die DSGVO hat auch einen „extraterritorialen“ Anwendungsbereich, sofern durch Verantwortliche außerhalb der EU Verarbeitungen von personenbezogenen Daten von betroffenen Personen erfolgen.
Die DSGVO ist auf Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, auch dann anwendbar, wenn der Verantwortliche (oder Auftragsverarbeiter) außerhalb der EU niedergelassen ist, sofern die Verarbeitung damit in Zusammenhang mit Waren- oder Dienstleistungsangeboten an in der EU befindliche natürliche Personen stehen, oder es darum geht, das Verhalten der in der EU befindlichen natürlichen Personen zu beobachten.
Der Anwendungsbereich ist daher an sich sehr weit, sobald die Daten von Europäern verarbeitet werden.
Wenn eine dieser beiden Voraussetzungen erfüllt ist, dann ist die DSGVO – auch für Verantwortliche (Auftragsverarbeiter) außerhalb der EU maßgebend, und diese sind dann auch verpflichtet, einen Art 27 DSGVO-Vertreter zu haben (zu bestellen).
Eine Mitteilung an eine Aufsichtsbehörde ist nicht notwendig, aber in den Datenschutzinformationen gem. Art 13 und Art 14 DSGVO ist der/die Vertreter/in bekannt zu geben.
Benennung des Vertreters:
Auch die österreichische Datenschutzbehörde hat in einem Verfahren im Jahr 2019 ( 22.08.2019 DSB-D130.206/0006-DSB/2019; Pkt. 2.) den Verantwortlichen mit Sitz in der Schweiz aufgefordert, ihren Vertreter gem. Art 27 DSGVO bekannt zu geben, und der Verantwortliche ist dieser Aufforderung umgehend nachgekommen.
Verstoß gegen Art 27 DSGVO und die Folgen
Die Aufsichtsbehörde in den Niederlanden hat gegen (locatefamily.com) eine DSGVO-Strafe von EUR 525.000,-- verhängt, weil das Unternehmen Daten von in der EU lebenden Personen verarbeitet, und die Leistungen auch für Personen in der EU anbietet. Es wurden Adressen und Telefonnummern der betroffenen Personen ohne ihr Wissen auf der Website veröffentlicht.
Auf der Plattform können Personen nach Kontaktdaten von Familienmitgliedern oder auch anderen Personen suchen, zB wenn Sie den Kontakt zu diesen verloren haben. Die Aufsichtsbehörde in den Niederlanden erhielt von betroffenen Personen zahlreiche Beschwerden, weil deren Kontaktdaten ohne deren Wissen auf der Website veröffentlicht wurden. Diese Kontaktdaten waren für alle Websitebesucher frei zugänglich, und zwar ohne Registrierung auf der Plattform.
„For a website to publish your phone number and address without your knowledge is unacceptable,”
So die Aussage der Leiterin der niederländischen Datenschutzbehörde. Die Entscheidung, eine Strafe zu verhängen, erfolgte wegen der rechtswidrigen Verarbeitung der Daten, insbes. der Veröffentlichung der personenbezogenen Daten auf der Website ohne jegliche Rechtsgrundlage.
Die niederländischen Aufsichtsbehörde gab dem Betreiber der Website bis 18.03.2021 Zeit, einen Vertreter iSd Art 27 DSGVO zu bestellen. Eine Einsicht in die „Privacy Policy“ ergibt jedoch, dass die Anforderungen des Art 13 DSGVO, der auch vorschreibt, den Vertreter zu nennen, nicht erfüllt werden, sodass mE fraglich ist, ob der Plattformbetreiber der Aufforderung der niederländischen Aufsichtsbehörde nachgekommen ist, oder nicht.
Nichtbenennung eines Vertreters - Zwangsstrafe von EUR 20.000,-- pro 14 Tage.
Dem Verantwortlichen wurde aufgetragen, binnen einer Frist von 12 Wochen einen Vertreter iSd Art 27 DSGVO zu benennen und dies der Behörde mitzuteilen.
Wenn dies nicht erfolgt, dann hat locatefamily.com ein Zwangsgeld (penalty payment) von EUR 20.000,-- pro zwei Wochen, bis zu einem Maximalbetrag von EUR
120.000,-- zu bezahlen. Die Nichterfüllung der Verpflichtung, einen Vertreter iSd Art 27 DSGVO zu benennen (zu haben), kann daher hohe
Strafen zur Folge haben.
30.05.2021, Autor
Michael Schweiger, zert DSBA
Kommentar schreiben