Niederländische Datenschutzbehörde: EUR 525’000 Busse für das Fehlen eines EU-Vertreters


Ihr Kontakt

Die niederländische Datenschutzbehörde büsste im Mai 2021 die Betreiber von locatefamily.com, eine Plattform, die weltweit Kontaktinformationen sammelt, damit der Kontakt mit Familienmitgliedern wiederhergestellt werden kann. Die Busse in der Höhe von EUR 525’000 wurde ausgesprochen, weil Locatefamily keinen EU-Vertreter bestimmt und somit gegen die Pflicht zur Benennung eines Vertreters in der EU für im Ausland niedergelassene Unternehmen (Art. 27 DSGVO) verstossen hatte. Der Fall ruft gerade auch Schweizer Unternehmen in Erinnerung, dass sie einen EU-Vertreter benennen müssen, sobald sie ihr Angebot auf Verbraucher in der EU ausrichten. Andernfalls drohen hohe Bussgelder.

Locatefamily sammelt grosse Mengen an personenbezogenen Daten ohne Wissen der Betroffenen

Locatefamily.com ist eine Plattform, auf der Personen nach den Kontaktinformationen von verschiedenen Personen suchen können. Im Vordergrund stehen dabei Familienmitglieder, zu denen der Kontakt verloren ging, aber auch andere Personen, mit welchen man in Kontakt treten möchte. Die Plattform verfügt über personenbezogene Daten von Individuen auf der ganzen Welt, inklusive der EU. Die Plattform und jegliche darauf enthaltenen Daten sind für jeden frei zugänglich. Die Daten werden dabei von Locatefamily zusammengestellt, ohne dass die betroffenen Personen Mitglied der Plattform sein oder ein Konto erstellen müssen, es bleibt somit unklar, aus welchen Quellen die Daten überhaupt stammen. Mit anderen Worten wissen die betroffenen Personen zumeist nicht, dass ihre personenbezogenen Daten auf locatefamily.com veröffentlicht wurden.

In Zusammenhang mit Locatefamily.com hat die niederländische Datenschutzbehörde dutzende von Beschwerden erhalten. Daneben haben auch andere europäische sowie die kanadische Datenschutzbehörde Beschwerden von betroffenen Personen zu den von locatefamily.com praktizierten Datenbearbeitungen erhalten. Im Rahmen dieser Beschwerden arbeiteten die unterschiedlichen Datenschutzaufsichtsbehörden zusammen, wobei die niederländische Datenschutzbehörde federführend war. Im Zentrum stand u.a., dass die Website die vollständigen Adressen und manchmal auch die Telefonnummern von Personen ohne deren Wissen publik mache. Die betroffenen Personen selbst hätten der Seite jedenfalls die Informationen nicht zur Verfügung gestellt. Die Untersuchungen sollen dann aufgezeigt haben, dass Daten von ca. 700’000 niederländischen Personen auf der Website angezeigt wurden.

Löschung von Daten ohne EU-Vertretung kaum durchsetzbar

Für die niederländische Datenschutzbehörde ist es nicht akzeptabel, dass Telefonnummern oder Adressen ohne Wissen der betroffenen Personen veröffentlicht werden. Betrüger könnten solche Daten für Identitätsdiebstahl verwenden oder aber es kann zu Belästigungen per Telefon oder an der Haustür kommen. Es stehe den betroffenen Personen denn auch grundsätzlich frei, solche Daten zu veröffentlichen, aber es müsse sich um ihre eigene Entscheidung handeln. Genau in diesem Punkt liege aber das Problem bei locatefamily.com: Diese Entscheidung werde nicht durch die betroffenen Personen gefällt. Vielmehr sammle Locatefamily Daten ohne das Wissen der betroffenen Personen aus nicht offengelegten Quellen. Die niederländische Datenschutzbehörde führt weiter aus, dass für den Fall das solche Daten dennoch veröffentlicht würden, ein einfacher Mechanismus vorhanden sein müsse, um die Betroffenenrechte durchzusetzen, insbesondere aber um die fraglichen Daten effektiv löschen zu lassen. Dies sei im vorliegenden Fall gerade nicht möglich, was u.a. auf das Fehlen eines EU-Vertreter zurückzuführen sei.

Pflicht in der DSGVO zur Benennung eines Vertreters

Gemäss Art. 3 Abs. 2 DSGVO sind Verarbeiter personenbezogener Daten u.U. vom Anwendungsbereich der DSGVO erfasst, auch wenn sie über keine Niederlassung in der EU verfügen. Dies ist der Fall, wenn sie Personen in der EU bzw. im EWR Waren oder Dienstleistungen anbieten (sog. Targeting-Kriterium) oder das Verhalten von Personen in der EU beobachten (vgl. zum Ganzen auch MLL-News vom 19. Dezember 2019). Nach Art. 27 DSGVO müssen alle vom Anwendungsbereich erfassten Datenverarbeiter, die nicht in der EU niedergelassen sind, grundsätzlich einen Vertreter in der EU benennen. Die DSGVO sieht zwar auch Ausnahmen von dieser Pflicht vor, welche aber in der Pressemitteilung der niederländischen Datenschutzbehörde gar nicht erst thematisiert wurden. Gleiches gilt für die Vorfrage, aus welchem Grund Locatefamily überhaupt vom Anwendungsbereich der DSGVO erfasst wird.

Die Nichtbenennung eines EU-Vertreters kann zu hoher Busse führen

Grundsätzlich werden Verstösse gegen die Pflicht zur Benennung eines EU-Vertreters nach Art. 27 DSGVO mit Bussen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet, je nachdem, welcher der Beträge höher ist. In den Niederlanden sind die entsprechenden Bussen in der Bussgeldordnung der niederländischen Datenschutzbehörde konkretisiert. Gemäss deren Art. 2 Abs. 3 werden Verstösse der Kategorie III mit einer Busse zwischen € 300’000 und € 750’000 bestraft, wobei die Basisbusse € 525’000 beträgt. Bei einem Verstoss gegen Art. 27 DSGVO handelt es sich gemäss dem Anhang der Bussgeldordnung um einen Verstoss der Kategorie III.

Da Locatefamily keinen EU-Verantwortlichen benannt hat und somit gegen Art. 27 DSGVO verstiess, wurde die Plattform mit einer Busse in der Höhe von € 525’000 bestraft. Ausserdem muss Locatefamily alle zwei Wochen weitere € 20’000 (bis maximal € 120’000) bezahlen, bis sie einen EU-Vertreter benannt hat.

Fraglich bleibt jedoch, wie die Busse schlussendlich durchgesetzt werden soll. Gerade weil die Betreiber der Website und damit auch deren Sitz oder Wohnsitz nicht bekannt sind und diese wohl auch nicht mit der niederländischen Datenschutzbehörde interagiert haben. Es scheint als stelle die Durchsetzung der Busse die weitaus höhere Hürde als deren Verhängung dar.

Fazit

Der vorliegende Fall zeigt auf, dass Verstösse gegen Art. 27 DSGVO empfindliche Bussen nach sich ziehen können. Gerade weil der räumliche Anwendungsbereich der DSGVO sehr weit gefasst ist, muss eine grosse Zahl von Unternehmen, welche über keine Niederlassung in der EU verfügen, einen EU-Vertreter benennen (vgl. MLL News vom 15.5.2018).

Für Schweizer Unternehmen gilt es demnach zu beachten, dass bei einer relevanten Ausrichtung auf die EU ein EU-Vertreter im Sinne von Art. 27 DSGVO zu benennen ist. Ein Grossteil der Schweizer Unternehmen dürfte von dieser Pflicht erfasst sein, weil der Anwendungsbereich der DSGVO – wie oben beschrieben – weit gefasst ist. Wird dies unterlassen, drohen auch für Schweizer Unternehmen hohe Bussen. Die Durchsetzung der Busse wird sich in diesen Fällen wohl auch einfacher gestalten, insbesondere wenn das relevante Unternehmen, anders als im vorliegenden Fall, der Datenschutzbehörde bekannt ist. Schliesslich ist zu beachten, dass nach dem Brexit die im UK fortan geltende «UK-GDPR» ebenfalls eine eigenständige Pflicht zur Benennung eines Vertreters im Vereinigten Königreich enthält (vgl. MLL News vom 24.2.2021).

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Meyerlustenberger Lachenal Froriep

MLL ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 04/21 mit Beiträgen zum Social Media Targeting, Bestpreisklauseln, E-Mail-Marketing u.v.m.!

Zugang MLL-News 04/21

Jetzt anmelden!

Events

Litigation Circle – verschoben auf Frühling 2022

Unser für den Freitag, 3. Dezember 2021 geplanter Event «Litigation Circle» wird auf den Frühling verschoben. Registrieren Sie sich via untenstehenden Link, sofern Sie eine Einaldung erhalten möchten.

Zeit: jeweils über Mittag, ein kleiner Business-Lunch wird offeriert
Thema: Mängelrügen im Kauf- und Werkvertragsrecht: Wie Sie den Spiessrutenlauf effektiv meistern.
Wo: MLL, Schiffbaustrasse 2, 8005 Zürich

Im Kauf- und Werkvertrag sind Mängel ärgerlich. Fatal ist, wenn man nicht richtig reagiert und die oft sehr kurz bemessenen Fristen verpasst. Wir zeigen auf, worauf zu achten ist und wie man sich richtig wehrt.

Was ist der Litigation Circle? Der Litigation Circle wurde geschaffen, um Unternehmern, Führungskräften und KMUs aufzuzeigen, wie man sich in gewissen Situationen verhalten soll und wann es sich lohnt, einen Anwalt beizuziehen. Am runden Tisch geben wir Ihnen anhand von praktischen Beispielen Tipps und Tricks im Zusammenhang mit Rechtsstreitigkeiten.

Mehr Information und Anmeldemöglichkeiten 

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen