"Die Bösen ernennen keine Art. 27-Vertreter", sondern bekommen eine Geldstrafe!
Der High Court of England and Wales kam in seiner jüngsten Entscheidung Sanso Rondon gegen LexisNexis Risk Solutions UK Ltd [2021] EWHC 1427 (QB) zu dem Schluss:
Die Ernennung eines Vertreters durch einen für die Verarbeitung Verantwortlichen nach Artikel 3 Absatz 2 ist an sich schon ein wichtiges Signal dafür, dass sich der für die Verarbeitung Verantwortliche mit der Datenschutz-Grundverordnung auseinandersetzt, ihre Bestimmungen zum Anwendungsbereich versteht und die Bedingungen akzeptiert, die sie ihm für den Zugang zu Daten und betroffenen Personen auferlegt. Mit anderen Worten, es signalisiert, dass man die damit verbundene Abmachung anerkennt: die Last, die man für den zu erzielenden Nutzen auf sich nimmt. Es ist eine Akzeptanz der Anwendung von Artikel 3 Absatz 2 und ein Zeichen des guten Willens. (vollständige Entscheidung)
Wie der Rechtsbeistand der Beklagten sagte, ernennen die Bösewichte keine Art. 27-Vertreter. Aber bei der Frage der Bestellung eines Vertreters geht es nicht mehr nur darum, die Einhaltung der Vorschriften zu demonstrieren und das Bemühen um Vertrauen zu demonstrieren. Angesichts der Geldstrafe, die die niederländische Datenschutzbehörde gegen ein Unternehmen mit einer kanadischen Website verhängt hat, wird das Versäumnis, einen Vertreter zu benennen, zu einer existenziellen Bedrohung für ein Unternehmen. Mangelndes Bewusstsein und fehlende Kenntnisse über die Anwendbarkeit der DSGVO sowie falsche Vorstellungen über die Ausnahmen sind weit verbreitet. Dies führt zu einer Compliance-Lücke, die sich öffentlich in Datenschutzrichtlinien manifestiert, in denen jede betroffene Person und jede Datenschutzbehörde die Nichteinhaltung auf einen Blick erkennen kann, insbesondere im Hinblick auf die Verpflichtung zur Benennung eines Vertreters gemäß Artikel 27 DSGVO (weitere Informationen über die Verpflichtung zur Benennung eines Vertreters). Das Versäumnis, einen Vertreter zu benennen, hat die - vermutlich kanadische - Website Locatefamily.com sehr teuer zu stehen kommen, da die niederländische Datenschutzbehörde eine Geldstrafe von weit über einer halben Million Euro verhängt hat.
Über den Fall
Locatefamily.com ist eine Plattform, die es Nutzern ermöglicht, Kontaktinformationen von Familienmitgliedern, ehemaligen Klassenkameraden oder Freunden, zu denen sie den Kontakt verloren haben, zu suchen. Die Website verwendet dazu personenbezogene Daten wie Namen, Adressen und manchmal sogar Telefonnummern von Personen, die sich überall auf der Welt befinden. In den letzten Jahren gingen bei der niederländischen Datenschutzbehörde mehrere Beschwerden von europäischen Betroffenen ein, die behaupteten, dass Locatefamily.com nicht angemessen auf Anträge auf Löschung ihrer personenbezogenen Daten auf der Website reagiert habe. Die niederländische Datenschutzbehörde untersuchte diese Beschwerden und stellte fest, dass eine Reihe von Datenschutzbehörden in anderen Mitgliedstaaten ähnliche Meldungen erhalten hatten. Als die Zahl der Beschwerden überhand nahm, beschloss die niederländische Datenschutzbehörde, eine Untersuchung wegen mutmaßlicher Verstöße gegen Art. 27 DSGVO einzuleiten, da das Unternehmen weder in der Europäischen Union ansässig zu sein schien noch Niederlassungen in der EU hatte. Die obligatorische Ernennung eines Art. 27-Beauftragten war in der sehr kurzen und unvollständigen Datenschutzerklärung nicht dokumentiert.
Das Versäumnis, einen EU-DSGVO-Beauftragten zu benennen
Art. 27 DSGVO verpflichtet Unternehmen außerhalb der Europäischen Union zur Bestellung eines europäischen Vertreters, wenn sie
- Waren oder Dienstleistungen anbieten; oder
- das Verhalten von europäischen Personen überwachen, wenn das Unternehmen keine Niederlassung in der Europäischen Union hat.
Der Grund für diese Anforderung ist, dass Datenschutzbehörden und Einzelpersonen eine lokale Kontaktperson für datenschutzbezogene Fragen haben sollten und dass Einzelpersonen sich an den Vertreter wenden können, wenn sie Anfragen gemäß der DSGVO haben, zum Beispiel das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen.
Ein Streitpunkt in diesem Fall war offenbar die Frage, ob Locatefamily.com seine Dienste für EU-Bürger anbietet. Entgegen der Auffassung des Unternehmens war die niederländische Datenschutzbehörde der Ansicht, dass Locatefamily.com seine Dienste Personen mit Wohnsitz in der Europäischen Union anbietet, da die Website des Unternehmens darauf ausgerichtet ist, diese Personen zu erreichen. Demnach muss Locatefamily.com in Ermangelung einer Niederlassung in der EU einen Vertreter benennen. Die stellvertretende Vorsitzende der niederländischen Datenschutzbehörde, Monique Verdier, betonte: “Es muss eine einfache Möglichkeit geben, diese Informationen zu entfernen. Das ist hier nicht möglich, auch weil Locatefamily.com keinen Vertreter in der EU hat. Deshalb haben wir die Website mit einer Geldstrafe belegt.
Da das Unternehmen dieser Forderung nicht nachkam, verhängte die Datenschutzbehörde ein Bußgeld in Höhe von 525.000,00 EUR. Darüber hinaus verhängte die Datenschutzbehörde eine Auflage, die Locatefamily.com verpflichtet, bis zum 18. März 2021 einen europäischen Vertreter zu benennen, andernfalls droht ein Bußgeld in Höhe von 20.000 Euro für jede weitere Woche, in der das Unternehmen keinen Vertreter benennt, bis zu einem Höchstbetrag von 120.000 Euro. Dieses Bußgeld hätte jedoch wesentlich höher ausfallen können: Nach der Datenschutz-Grundverordnung können die Aufsichtsbehörden Geldbußen in Höhe von bis zu 10.000.000,00 EUR oder 2 % des Jahresumsatzes des Unternehmens verhängen - je nachdem, welcher Betrag höher ist. Man könnte also meinen, dass sie hier glimpflich davongekommen sind.
Fazit
Man könnte meinen, es sei nur eine Frage der Zeit, bis die Datenschutzbehörden damit beginnen, Bußgelder für die Nichtbestellung eines Art. 27-Beauftragten zu verhängen. Dennoch hat die überwiegende Mehrheit der Unternehmen außerhalb der EU und des Vereinigten Königreichs, die keine Niederlassung haben, noch keinen Vertreter benannt, entweder weil sie sich der Verpflichtung nicht bewusst sind oder weil sie von der Verpflichtung wissen und das potenziell verheerende Risiko in Kauf nehmen wollen.
Dieser Fall zeigt, dass die Aufsichtsbehörden bereit sind, Verstöße zu ahnden und die Pflicht zur Bestellung eines Vertreters durchzusetzen. Nicht nur die niederländische Datenschutzbehörde, sondern auch neun andere Datenschutzbehörden waren an der Untersuchung dieses Falls beteiligt, was zeigt, dass die Einhaltung von Artikel 27 für die Aufsichtsbehörden von Bedeutung ist. 27 für die Aufsichtsbehörden in der Europäischen Union von Bedeutung ist. Darüber hinaus sollten Unternehmen außerhalb der EU und des Vereinigten Königreichs bedenken, dass nicht nur die nationalen Datenschutzbehörden die Einhaltung der Vorschriften durch ein Unternehmen in Frage stellen können, sondern dass die Datenschutz-Grundverordnung 447 Millionen betroffenen Personen in der EU und 66 Millionen betroffenen Personen im Vereinigten Königreich das Recht einräumt, sich zu beschweren und ihre eigenen Datenschutzrechte individuell durchzusetzen.
Schließlich ist die Verhängung von Geldbußen bei Verstößen wie in diesem Fall eine bekannte Befugnis der Datenschutzbehörden, aber bei weitem nicht die einzige, die für ein Unternehmen außerhalb der EU oder des Vereinigten Königreichs eine existenzielle Bedrohung darstellen kann. Unter anderem sind die Datenschutzbehörden befugt, Beschränkungen wie Verarbeitungsverbote oder die Aussetzung des Datenflusses an einen Empfänger in einem Drittland zu verhängen, die ein Unternehmen daran hindern können, seine üblichen Geschäfte fortzuführen. Unternehmen und ihre Berater sollten also ihr Verständnis der Anwendbarkeit der DSGVO und der Verpflichtung zur Benennung eines Beauftragten hinterfragen und ihre Haltung unter Berücksichtigung der jüngsten Literatur neu bewerten (weitere Informationen). Der Brexit macht dies auch für EU-Unternehmen erforderlich, die sich an das Vereinigte Königreich wenden, sowie für britische Unternehmen, die Personen in der EU ansprechen oder überwachen. Im Zweifelsfall ist es empfehlenswert, einen Vertreter zu benennen, da diese Dienstleistung leicht zugänglich ist (hier) und laut dem High Court of England and Wales ein Zeichen für guten Willen ist.