GDPR Art. 27 EU-Vertreter — Der 4-Wochen-Pre-Launch-Check für US-Unternehmen

Art. 27 Abs. 1 DSGVO verpflichtet jeden Verantwortlichen oder Auftragsverarbeiter, der „nicht in der Union niedergelassen ist" aber Daten von Personen in der EU verarbeitet, einen schriftlich benannten Vertreter in der Union zu bestellen. Der Vertreter muss in einem der Mitgliedstaaten ansässig sein, in dem sich „die betroffenen Personen befinden" — in der Praxis: in dem Mitgliedstaat mit der größten EU-Nutzerbasis des Unternehmens.

Was der Vertreter NICHT ist: kein Datenschutzbeauftragter (Art. 37), kein EU-Anwalt, keine Tochtergesellschaft. Was er IST: eine vom Unternehmen schriftlich beauftragte juristische Person mit Sitz in der EU, die als Anlaufstelle für Aufsichtsbehörden und Betroffene fungiert, Anfragen entgegennimmt und an das US-Unternehmen weiterleitet. Die Haftung verbleibt beim US-Verantwortlichen — der Vertreter ist kein „Schutzschild".

Praktischer Hinweis: viele US-Unternehmen unterschätzen, dass Art. 27 ein „Ja oder Nein"-Test ist, kein Schwellenwert-Test. Sobald die Datenverarbeitung „nicht nur gelegentlich" ist UND besondere Datenkategorien (Art. 9) oder strafrechtliche Verurteilungen umfasst ODER ein Risiko für Betroffene darstellt, ist die Pflicht ausgelöst. In der Praxis fällt fast jede SaaS-Plattform mit EU-Nutzern unter diese Definition.

Pflicht: jedes Unternehmen ohne EU-Niederlassung, das Waren oder Dienstleistungen an EU-Nutzer anbietet (Art. 3(2)(a)) oder das Verhalten von EU-Nutzern beobachtet (Art. 3(2)(b) — also fast jede Analytics-Plattform, jede Tracking-SDK, jede Programmatic-Ad-Plattform).

Ausnahme nach Art. 27(2): Verarbeitung ist „nur gelegentlich" UND nicht in großem Umfang UND keine besonderen Kategorien UND kein wahrscheinliches Risiko. Diese Schwelle ist eng — der EDPB hat 2018 (Guidelines 3/2018) klargestellt, dass „gelegentlich" eine seltene, nicht wiederkehrende Verarbeitung meint. Eine US-App mit 50 deutschen Nutzern, die täglich Daten generieren, ist nicht „gelegentlich".

Häufig übersehen: B2B-Unternehmen sind nicht ausgenommen. Wenn ein US-CRM personenbezogene Daten von EU-Mitarbeitern bei deren Kunden verarbeitet, ist das Verarbeiten — der Adressat im EU-Mitgliedstaat ist eine natürliche Person, auch wenn der Vertrag B2B ist. Wir sehen den Fehler regelmäßig bei US-SaaS, das „business email"-Adressen sammelt.

Zweite Falle: der DSA-Article-13-Vertreter ist eine PARALLELE Pflicht, kein Ersatz. Wenn das US-Unternehmen ein „Intermediary Service" nach DSA ist (Hosting, Online-Marketplace, sehr großer Online-Search-Engine etc.), braucht es ZUSÄTZLICH zum Article-27-Vertreter einen DSA-Article-13-Vertreter. Beide Rollen können von derselben Entität ausgeübt werden, aber das muss schriftlich klargestellt sein.

Schritt 1 (Woche 1) — Mitgliedstaat wählen. Nach Art. 27(3) muss der Vertreter in einem Mitgliedstaat sitzen, in dem die Betroffenen sind. Bei diffuser EU-Nutzerschaft wird in der Praxis der Mitgliedstaat mit dem höchsten Nutzeranteil gewählt — meist Deutschland, Niederlande, Irland oder Frankreich. Achtung: der gewählte Sitz bestimmt mittelbar die zuständige Aufsichtsbehörde im „One-Stop-Shop"-Mechanismus, also potenziell BfDI vs. IE DPC vs. CNIL. Das ist eine strategische Wahl.

Schritt 2 (Woche 2) — Vertreter mandatieren. Schriftliche Vollmacht („mandate letter"), die mindestens umfasst: (a) die Verantwortlichen / Auftragsverarbeiter, die der Vertreter repräsentiert; (b) die Verarbeitungstätigkeiten; (c) die Verpflichtung zur Führung des Verzeichnisses nach Art. 30; (d) die Verfügbarkeitsgarantie (Anfragen innerhalb von [X] Werktagen weiterleiten); (e) die Haftungsverteilung. Spezialisierte Vertreter-Dienstleister haben Standard-Mandate, die anpassbar sind.

Schritt 3 (Woche 3) — Datenschutzerklärung aktualisieren. Nach Art. 13(1)(a) muss die DS-Erklärung den Vertreter (Name, Anschrift, Kontaktdaten) ausweisen. Außerdem die Aufsichtsbehörde nennen. Ein häufiger Fehler: der Vertreter wird nur „intern" benannt, aber nicht in der öffentlich zugänglichen Datenschutzerklärung — das ist nicht ausreichend und ein typischer Ansatzpunkt für Aufsichtsbehörden.

Schritt 4 (Woche 4) — Betroffenenanfrage-Workflow aufsetzen. Der Vertreter muss Anfragen entgegennehmen UND zeitgerecht beantworten lassen — die DSGVO-Fristen (Art. 12(3): 1 Monat, verlängerbar) laufen ab Eingang beim Vertreter, nicht ab Weiterleitung an das US-Unternehmen. Operativ heißt das: SLAs zwischen Vertreter und US-Unternehmen, idealerweise mit einer geteilten Ticket-Inbox.

Fehler 1 — Kein Vertreter benannt, weil das US-Unternehmen sich auf eine US-Auftragsverarbeitung beruft. Wenn der Verantwortliche oder Auftragsverarbeiter selbst Anbieter ist, gilt Art. 27. Eine bestellte EU-Tochter ist keine Befreiung, wenn die Tochter nicht die GLEICHE rechtliche Person wie der Verantwortliche ist.

Fehler 2 — Vertreter in einem Mitgliedstaat benannt, in dem keine Nutzer sitzen, weil es dort billiger ist. Aufsichtsbehörden akzeptieren das, aber wenn DSA Article 13 ebenfalls gilt und unterschiedliche Anforderungen entstehen, wird es operativ heikel. Wir empfehlen den Mitgliedstaat mit der größten EU-Nutzergruppe.

Fehler 3 — Vertreter nur in interner E-Mail genannt, nicht in öffentlicher Privacy Notice. Die hessische Aufsichtsbehörde hat 2023 einen US-AdTech-Anbieter aus diesem Grund mit 240k € belegt — der Vertreter war zwar benannt, aber für Betroffene unauffindbar.

Fehler 4 — Mandate Letter nennt nur die Muttergesellschaft, nicht die Tochtergesellschaften, die ebenfalls EU-Daten verarbeiten. Bei einer Group-Struktur muss jede Verantwortliche-Entität separat aufgeführt sein. Die CNIL hat 2024 in mindestens drei Fällen ausdrücklich kritisiert, dass „Subsidiaries" nicht aufgeführt waren.

Fehler 5 — Antwortzeiten nicht eingehalten. Wenn der Vertreter eine Anfrage am Tag X erhält und sie an das US-Unternehmen erst am Tag X+10 weiterleitet, läuft die 1-Monats-Frist trotzdem ab Tag X. Die häufigste Folge: Beschwerde der betroffenen Person, dann automatische Eskalation zur Aufsichtsbehörde, dann formelle Untersuchung. Operative SLAs sind kein Nice-to-have.

Für US-Unternehmen läuft die Article-27-Bestellung in der Regel parallel zu einer Reihe weiterer Compliance-Schritte: SCC-Modul-2-Verträge mit EU-Subprozessoren, TIA (Transfer Impact Assessment) nach Schrems II, Art. 30 Record of Processing Activities, ggf. eine DPIA nach Art. 35. Wer den Article-27-Vertreter isoliert benennt, ohne die anderen Bausteine zu adressieren, schafft eine Compliance-Fassade, die bei der ersten Aufsichtsbehörden-Anfrage zusammenbricht.

Bei DSA-Relevanz (Hosting, Marketplace, Search): Article 13 DSA verlangt einen Vertreter in einem der Mitgliedstaaten, in denen der Dienst angeboten wird. Pflichten teilweise parallel zu Art. 27, teilweise schärfer — der DSA-Vertreter haftet zusätzlich für DSA-Verstöße. Wir empfehlen dieselbe Entität, aber ZWEI getrennte Mandate Letters, weil Audit-Tracking und Haftungsabgrenzung sonst kollidieren.

Aus US-Sicht: die Article-27- und Article-13-Bestellung wird typischerweise vom US General Counsel oder Privacy Lead initiiert. Wir koordinieren als EU-Counsel mit dem US-Team, schreiben die Mandate Letters, prüfen die Privacy Notice-Updates und briefen den US-Privacy-Lead vor der ersten Aufsichtsbehörden-Anfrage. Time-to-Production aus unserer Erfahrung: 4-6 Wochen bei vorhandener EU-Lokalisierung, 8-10 Wochen ohne.