EU-Vertreter nach Art. 27 DSGVO | Rechtssicherheit für Nicht-EU-Unternehmen!

EU-Vertreter nach Art. 27 DSGVO für Unternehmen ohne EU-Niederlassung

Wenn ein Unternehmen außerhalb der EU Waren oder Dienstleistungen für Personen in der EU anbietet oder deren Verhalten beobachtet, kann die Pflicht zur Benennung eines EU-Vertreters nach Art. 27 DSGVO entstehen. Entscheidend ist nicht ein formales Etikett, sondern die tatsächliche EU-Ausrichtung der Verarbeitung.

ITMR prüft die Art.-27-Pflicht, strukturiert die schriftliche Benennung und übernimmt die anwaltliche EU-Vertretung als belastbare Schnittstelle für Aufsichtsbehörden und betroffene Personen – mit Blick auf Datenschutzhinweise, Verzeichnis von Verarbeitungstätigkeiten und die interne Reaktionsfähigkeit Ihres Unternehmens.

So einfach funktioniert es

1. Art.-27-Pflicht klären.

Wir prüfen Sitz, EU-Zielmärkte, Rolle als Verantwortlicher oder Auftragsverarbeiter, Datenarten, Tracking, Angebotssituation und mögliche Ausnahmen.

2. Benennung sauber aufsetzen.

Wir strukturieren das schriftliche Mandat, Kontaktdaten, Informationspflichten, VVT-Bezug und die praktische Kommunikationslogik mit Ihrem Unternehmen.

3. Vertretung belastbar führen.

ITMR übernimmt die EU-Schnittstelle für Behörden- und Betroffenenkontakte und sorgt dafür, dass Anfragen intern geordnet, fristbewusst und fachlich sauber weiterbearbeitet werden können.

Art.-27-Pflicht jetzt einordnen

EU-Vertretung anfragen

Ihre Kontaktdaten

Ihre Nachricht

Dateien anhängen

Laden Sie relevante Dokumente hoch (optional)

Für Unternehmen ohne EU-Niederlassung, die EU-Märkte adressieren, EU-Nutzer tracken oder als Auftragsverarbeiter für EU-Kunden tätig sind.

EU-Vertreter nach Art. 27 DSGVO

Typische Auslöser für eine Art.-27-Anfrage

Die Pflicht zur Benennung eines EU-Vertreters fällt oft nicht im Datenschutzhandbuch auf, sondern in einem konkreten Geschäftsprozess: beim EU-Go-live, im Enterprise-Onboarding, in der Datenschutzerklärung, bei Tracking-Setups oder wenn ein Kunde erstmals einen belastbaren Ansprechpartner in der Europäischen Union verlangt.

EU-Markt ohne EU-Niederlassung

Ein Unternehmen aus den USA, dem Vereinigten Königreich, der Schweiz oder einem anderen Drittstaat bietet Waren, SaaS, Apps, Plattformfunktionen oder digitale Services für Personen in der EU an.

Tracking, Profiling oder Analyse

Webanalyse, Retargeting, App-Tracking, Nutzersegmentierung oder vergleichbare Verfahren betreffen das Verhalten von Personen, während sie sich in der EU befinden.

Nachweisdruck durch Kunden

Ein Enterprise-Kunde, Investor, Auditor oder Datenschutzbeauftragter fragt nach dem Vertreter in der Union, nach Kontaktdaten oder nach der Dokumentation im Verzeichnis von Verarbeitungstätigkeiten.

Datenschutzerklärung ist unvollständig

Die Website, App oder Plattform richtet sich erkennbar an EU-Märkte, nennt aber keinen Vertreter oder nutzt Angaben, die nicht zur tatsächlichen Datenverarbeitung passen.

Auftragsverarbeitung mit EU-Bezug

Auch Auftragsverarbeiter außerhalb der EU können erfasst sein, wenn ihre Verarbeitung mit dem Angebot oder der Beobachtung im EU-Markt zusammenhängt.

Behörden- oder Betroffenenkontakt droht

Auskunft, Löschung, Beschwerde oder Aufsichtsbehördenkontakt sollen nicht ungeordnet im Unternehmen landen, sondern über eine klare EU-Schnittstelle geführt werden.

Pflichtprüfung statt Formaladresse

Ein EU-Vertreter ist keine bloße Kontaktanschrift

Art. 27 DSGVO knüpft nicht an Staatsangehörigkeit an. Entscheidend sind Personen, die sich in der Europäischen Union befinden, und eine Verarbeitung, die mit einem EU-Angebot oder der Beobachtung ihres Verhaltens zusammenhängt. Deshalb reicht es nicht, irgendwo eine Adresse zu nennen. Vor der Benennung muss klar sein, ob Art. 3 Abs. 2 DSGVO eröffnet ist, welche Verarbeitung betroffen ist und wie der Vertreter praktisch erreichbar und handlungsfähig bleibt.

1

Keine Niederlassung in der EU

Die Art.-27-Frage stellt sich für Verantwortliche oder Auftragsverarbeiter, die nicht in der Union niedergelassen sind, aber mit ihrer Datenverarbeitung in den räumlichen Anwendungsbereich der DSGVO fallen.

2

Angebot an Personen in der EU

Waren oder Dienstleistungen können entgeltlich oder unentgeltlich angeboten werden. Relevante Indizien sind etwa EU-Zielmärkte, EU-Lieferung, EU-Währung, EU-Sprachen, landesspezifische Ansprache oder konkreter Kundenbezug.

3

Beobachtung des Verhaltens

Monitoring kann bei Tracking, Profiling, Behavioural Advertising, App-Analyse, Nutzersegmentierung oder vergleichbaren Auswertungen relevant werden, wenn das Verhalten in der EU erfolgt.

4

Ausnahmen sauber prüfen

Die Ausnahme für nur gelegentliche, risikoarme Verarbeitung ist eng zu prüfen. Besondere Daten, strafrechtliche Daten, umfangreiche Verarbeitung oder relevante Risiken sprechen gegen eine vorschnelle Ausnahme.

Wichtiger PraxispunktDer Vertreter löst nicht die gesamte DSGVO-Compliance des Nicht-EU-Unternehmens. Er schafft eine vorgeschriebene Schnittstelle für Behörden und betroffene Personen. Die materielle Verantwortung für Rechtsgrundlagen, Transparenz, Betroffenenrechte, Sicherheit, Dienstleister und Dokumentation bleibt beim Unternehmen.
Leistungspaket

Was ITMR bei der EU-Vertretung nach Art. 27 DSGVO übernimmt

Die Benennung muss rechtlich passen und operativ funktionieren. ITMR verbindet die Pflichtprüfung mit der schriftlichen Bestellung, einer belastbaren Kommunikationslogik und den Dokumentationspunkten, die bei Anfragen von Kunden, Behörden oder betroffenen Personen sichtbar werden.

Pflicht- und Scope-Prüfung

  • Sitz und Konzernstruktur
  • Rolle als Verantwortlicher oder Auftragsverarbeiter
  • EU-Angebot, EU-Zielmärkte und Monitoring
  • Datenarten, Verarbeitungstiefe und mögliche Ausnahmen

Schriftliche Benennung

  • Mandat und Aufgabenrahmen
  • Kontaktdaten und Zuständigkeiten
  • interne Eskalationswege
  • Abgrenzung zu Datenschutzbeauftragten und Dienstleistern

Dokumentationsanschluss

  • Datenschutzhinweise nach Art. 13 und 14 DSGVO
  • VVT-Bezug nach Art. 30 DSGVO
  • Behörden- und Betroffenenkommunikation
  • Übergabe relevanter Informationen an ITMR
Stark ist eine Art.-27-Benennung erst, wenn sie im Ernstfall auffindbar, zuständig, dokumentiert und intern anschlussfähig ist.
Prüffragen

Wann die Benennung kippen kann

Viele Art.-27-Fehler entstehen nicht aus böser Absicht, sondern aus einer zu formalen Sicht auf die Rolle. Kritisch wird es, wenn die Datenschutzerklärung, das VVT, die interne Zuständigkeit und die tatsächliche EU-Ausrichtung nicht zusammenpassen.

Zu eng gedacht

Das Unternehmen meint, Art. 27 DSGVO gelte nur bei EU-Bürgern, obwohl der relevante Bezug Personen betrifft, die sich in der EU befinden.

Zu schnell verneint

Eine Website ist nicht allein wegen Abrufbarkeit erfasst. Umgekehrt können EU-Währung, EU-Sprachen, Liefergebiete, Kundennennung oder Tracking deutliche Indizien für EU-Ausrichtung sein.

Nur als Impressumszeile behandelt

Ein Vertreter muss erreichbar und eingebunden sein. Ohne Mandat, Informationsfluss und Dokumentationsanschluss bleibt die Benennung angreifbar.

Rollen vermischt

EU-Vertreter, externer Datenschutzbeauftragter, Auftragsverarbeiter und allgemeiner Datenschutzberater sind unterschiedliche Funktionen. Interessenkonflikte müssen vor der Bestellung geprüft werden.

Die richtige Prüfungsebene

Wenn es nicht nur um die Benennung eines EU-Vertreters geht

Die Bestellung eines Vertreters nach Art. 27 DSGVO ist oft nur ein sichtbarer Teil eines größeren Datenschutz-Setups. Wenn Kunden, Investoren, Auditoren oder Aufsichtsbehörden nachfragen, geht es häufig zugleich um Datenschutzhinweise, Verarbeitungstätigkeiten, Drittlandtransfers, Auftragsverarbeitung oder die allgemeine DSGVO-Belastbarkeit des EU-Markteintritts.

Datenschutzrechtfür die übergreifende Einordnung von DSGVO-Pflichten, Betroffenenrechten, Datenschutzorganisation, Datenpannen und Behördenkommunikation. Datentransferwenn Daten aus der EU in Drittstaaten fließen, Standardvertragsklauseln benötigt werden oder ein Transfer Impact Assessment im Raum steht. Verzeichnis von Verarbeitungstätigkeitenwenn die Verarbeitungstätigkeiten dokumentiert, prüfbar und gegenüber Kunden oder Behörden nachvollziehbar dargestellt werden müssen. Vertrag zur Auftragsverarbeitungwenn Rollen, Weisungen, technische und organisatorische Maßnahmen, Subunternehmer oder AVV-Strukturen geprüft werden müssen. Datenschutz-Auditwenn vor Go-live, Due Diligence, Enterprise-Onboarding oder Kundenprüfung das gesamte Datenschutz-Setup belastbar eingeordnet werden soll. Hilfe bei Datenschutz-Aufsichtsbehördewenn bereits ein behördliches Schreiben, eine Frist, eine Beschwerde oder eine konkrete Verfahrenslage besteht.
Praktische EinordnungWenn die Art.-27-Benennung isoliert geklärt werden soll, ist diese Seite der richtige Einstieg. Wenn der EU-Markteintritt insgesamt, internationale Datentransfers oder die DSGVO-Dokumentation geprüft werden müssen, sollte die Vertretung direkt mit der passenden Datenschutzprüfung verbunden werden.
Ablauf nach der Anfrage

Welche Informationen für eine belastbare Art.-27-Einordnung wichtig sind

Je genauer die Ausgangslage beschrieben wird, desto schneller lässt sich klären, ob die Benennung erforderlich ist und wie das Mandat praktisch aufzusetzen ist.

Unternehmens- und Marktbezug

  • Sitz des Unternehmens
  • EU-Länder mit Kunden, Nutzern oder Zielmärkten
  • Websites, Apps, Plattformen oder Vertriebskanäle
  • Sprachen, Währungen, Liefergebiete und EU-Kampagnen

Datenverarbeitung

  • Rolle als Verantwortlicher oder Auftragsverarbeiter
  • Kategorien betroffener Personen
  • Datenarten und besondere Risiken
  • Tracking, Profiling, Analyse oder automatisierte Auswertung

Dokumente und Schnittstellen

  • Datenschutzhinweise
  • VVT oder Prozessübersicht
  • AVV- und Dienstleisterstruktur
  • bestehende Kunden-, Behörden- oder Auditfragen
Amtliche Orientierung

Belastbare Quellen für die Art.-27-Prüfung

Für die konkrete Benennung zählt der Einzelfall. Die folgenden amtlichen Quellen sind sinnvolle Ausgangspunkte für die rechtliche Einordnung von Art. 3 und Art. 27 DSGVO.

Datenschutz-Grundverordnung im EUR-LexAmtlicher Verordnungstext, insbesondere Art. 3, Art. 4 Nr. 17, Art. 27, Art. 30 und Art. 83 DSGVO. EDPB Guidelines 3/2018 zum räumlichen AnwendungsbereichLeitlinien des Europäischen Datenschutzausschusses zu Art. 3 DSGVO und zur Art.-27-Benennung. DSK-Kurzpapier Nr. 7 zum MarktortprinzipOrientierung der deutschen Datenschutzaufsichtsbehörden für außereuropäische Unternehmen. EDPB-PDF-Fassung der LeitlinienDirektdokument mit Ausführungen zur Benennung, Rolle und Verantwortung des Vertreters in der Union.
FAQ

Häufige Fragen vor der Benennung eines EU-Vertreters

Braucht jedes Nicht-EU-Unternehmen mit EU-Kunden einen Vertreter?

Nicht automatisch. Entscheidend ist, ob eine Verarbeitung personenbezogener Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an Personen in der EU oder mit der Beobachtung ihres Verhaltens in der EU steht. Zusätzlich sind mögliche Ausnahmen zu prüfen.

Reicht es, wenn unsere Website aus der EU abrufbar ist?

Die bloße Abrufbarkeit einer Website genügt für sich allein nicht. Relevanter werden konkrete EU-Indizien wie EU-Liefergebiete, EU-Währung, gezielte Sprache, EU-Kampagnen, Kundenbezug, Tracking oder ein tatsächlich auf EU-Märkte ausgerichteter Service.

Muss der EU-Vertreter in Deutschland sitzen?

Der Vertreter muss in einem Mitgliedstaat niedergelassen sein, in dem sich betroffene Personen befinden, deren Daten im Zusammenhang mit dem Angebot oder der Beobachtung verarbeitet werden. Deutschland kann passen, wenn der EU-Bezug Deutschland umfasst oder eine deutsche Schnittstelle sinnvoll ist.

Ist der EU-Vertreter dasselbe wie ein Datenschutzbeauftragter?

Nein. Der EU-Vertreter ist die Schnittstelle des Nicht-EU-Unternehmens nach Art. 27 DSGVO. Der Datenschutzbeauftragte hat eine unabhängige Kontroll- und Beratungsfunktion. Beide Rollen dürfen nicht vorschnell vermischt werden.

Muss der Vertreter in der Datenschutzerklärung genannt werden?

Bei bestehender Pflicht müssen Identität und Kontaktdaten des Vertreters in den Datenschutzinformationen nachvollziehbar verfügbar sein. Außerdem muss der Vertreter praktisch in der Lage sein, Behörden- und Betroffenenkontakte geordnet weiterzuführen.

Was sollte vor der Benennung vorbereitet werden?

Sinnvoll sind eine Übersicht der EU-Zielmärkte, der betroffenen Verarbeitungstätigkeiten, der Rolle als Verantwortlicher oder Auftragsverarbeiter, der Datenschutzhinweise, des VVT-Standes, der Tracking- und Tool-Landschaft sowie der internen Ansprechpartner.

Kann ITMR auch prüfen, ob die Pflicht vielleicht nicht besteht?

Ja. Bei Grenzfällen ist die Pflichtprüfung der erste Schritt. Wenn keine Benennung erforderlich ist, sollte die Begründung trotzdem nachvollziehbar dokumentiert werden, damit Kunden-, Audit- oder Behördenfragen nicht ungeordnet bleiben.

Nächster Schritt

Art.-27-Pflicht klären und EU-Vertretung belastbar aufsetzen

Wenn Ihr Unternehmen keinen Sitz in der EU hat und EU-Märkte adressiert, EU-Nutzer beobachtet oder von Kunden nach einem Vertreter in der Union gefragt wird, sollte die Benennung nicht improvisiert werden. ITMR prüft die Pflicht, strukturiert das Mandat und sorgt dafür, dass Behörden- oder Betroffenenkontakte nicht ungeordnet im Unternehmen landen.

Pflichtprüfungschriftliches MandatVVT-BezugBehördenkontakt
EU-Vertretung anfragen Datenschutzrecht bei ITMR

Unsere Expertise

  • Schlagkräftige agile Anwaltsboutique
  • Experten im Medien-, IT-, KI-, Daten-, Urheberrecht und mehr
  • Erfahrene Berater und Prozessanwälte
  • Deutschlandweite Vertretung

Warum ITMR Rechtsanwälte?

  • Schnelle Reaktionszeiten
  • Fokus auf das Business unserer Mandanten
  • Transparente Kostenstruktur
  • Verpflichtet auf Mandantenerfolg

Bereit für DSGVO-konforme Vertretung?

Kontaktieren Sie uns unverbindlich. Wir vertreten Sie und Ihr Unternehmen im EU-Raum.

Kontakt aufnehmen Warum Wir?