Niederländische Datenschutzbehörde: EUR 525’000 Busse für das Fehlen eines EU-Vertreters


Ihre Kontakte

Die niederländische Datenschutzbehörde büsste im Mai 2021 die Betreiber von locatefamily.com, eine Plattform, die weltweit Kontaktinformationen sammelt, damit der Kontakt mit Familienmitgliedern wiederhergestellt werden kann. Die Busse in der Höhe von EUR 525’000 wurde ausgesprochen, weil Locatefamily keinen EU-Vertreter bestimmt und somit gegen die Pflicht zur Benennung eines Vertreters in der EU für im Ausland niedergelassene Unternehmen (Art. 27 DSGVO) verstossen hatte. Der Fall ruft gerade auch Schweizer Unternehmen in Erinnerung, dass sie einen EU-Vertreter benennen müssen, sobald sie ihr Angebot auf Verbraucher in der EU ausrichten. Andernfalls drohen hohe Bussgelder.

Locatefamily sammelt grosse Mengen an personenbezogenen Daten ohne Wissen der Betroffenen

Locatefamily.com ist eine Plattform, auf der Personen nach den Kontaktinformationen von verschiedenen Personen suchen können. Im Vordergrund stehen dabei Familienmitglieder, zu denen der Kontakt verloren ging, aber auch andere Personen, mit welchen man in Kontakt treten möchte. Die Plattform verfügt über personenbezogene Daten von Individuen auf der ganzen Welt, inklusive der EU. Die Plattform und jegliche darauf enthaltenen Daten sind für jeden frei zugänglich. Die Daten werden dabei von Locatefamily zusammengestellt, ohne dass die betroffenen Personen Mitglied der Plattform sein oder ein Konto erstellen müssen, es bleibt somit unklar, aus welchen Quellen die Daten überhaupt stammen. Mit anderen Worten wissen die betroffenen Personen zumeist nicht, dass ihre personenbezogenen Daten auf locatefamily.com veröffentlicht wurden.

In Zusammenhang mit Locatefamily.com hat die niederländische Datenschutzbehörde dutzende von Beschwerden erhalten. Daneben haben auch andere europäische sowie die kanadische Datenschutzbehörde Beschwerden von betroffenen Personen zu den von locatefamily.com praktizierten Datenbearbeitungen erhalten. Im Rahmen dieser Beschwerden arbeiteten die unterschiedlichen Datenschutzaufsichtsbehörden zusammen, wobei die niederländische Datenschutzbehörde federführend war. Im Zentrum stand u.a., dass die Website die vollständigen Adressen und manchmal auch die Telefonnummern von Personen ohne deren Wissen publik mache. Die betroffenen Personen selbst hätten der Seite jedenfalls die Informationen nicht zur Verfügung gestellt. Die Untersuchungen sollen dann aufgezeigt haben, dass Daten von ca. 700’000 niederländischen Personen auf der Website angezeigt wurden.

Löschung von Daten ohne EU-Vertretung kaum durchsetzbar

Für die niederländische Datenschutzbehörde ist es nicht akzeptabel, dass Telefonnummern oder Adressen ohne Wissen der betroffenen Personen veröffentlicht werden. Betrüger könnten solche Daten für Identitätsdiebstahl verwenden oder aber es kann zu Belästigungen per Telefon oder an der Haustür kommen. Es stehe den betroffenen Personen denn auch grundsätzlich frei, solche Daten zu veröffentlichen, aber es müsse sich um ihre eigene Entscheidung handeln. Genau in diesem Punkt liege aber das Problem bei locatefamily.com: Diese Entscheidung werde nicht durch die betroffenen Personen gefällt. Vielmehr sammle Locatefamily Daten ohne das Wissen der betroffenen Personen aus nicht offengelegten Quellen. Die niederländische Datenschutzbehörde führt weiter aus, dass für den Fall das solche Daten dennoch veröffentlicht würden, ein einfacher Mechanismus vorhanden sein müsse, um die Betroffenenrechte durchzusetzen, insbesondere aber um die fraglichen Daten effektiv löschen zu lassen. Dies sei im vorliegenden Fall gerade nicht möglich, was u.a. auf das Fehlen eines EU-Vertreter zurückzuführen sei.

Pflicht in der DSGVO zur Benennung eines Vertreters

Gemäss Art. 3 Abs. 2 DSGVO sind Verarbeiter personenbezogener Daten u.U. vom Anwendungsbereich der DSGVO erfasst, auch wenn sie über keine Niederlassung in der EU verfügen. Dies ist der Fall, wenn sie Personen in der EU bzw. im EWR Waren oder Dienstleistungen anbieten (sog. Targeting-Kriterium) oder das Verhalten von Personen in der EU beobachten (vgl. zum Ganzen auch MLL-News vom 19. Dezember 2019). Nach Art. 27 DSGVO müssen alle vom Anwendungsbereich erfassten Datenverarbeiter, die nicht in der EU niedergelassen sind, grundsätzlich einen Vertreter in der EU benennen. Die DSGVO sieht zwar auch Ausnahmen von dieser Pflicht vor, welche aber in der Pressemitteilung der niederländischen Datenschutzbehörde gar nicht erst thematisiert wurden. Gleiches gilt für die Vorfrage, aus welchem Grund Locatefamily überhaupt vom Anwendungsbereich der DSGVO erfasst wird.

Die Nichtbenennung eines EU-Vertreters kann zu hoher Busse führen

Grundsätzlich werden Verstösse gegen die Pflicht zur Benennung eines EU-Vertreters nach Art. 27 DSGVO mit Bussen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet, je nachdem, welcher der Beträge höher ist. In den Niederlanden sind die entsprechenden Bussen in der Bussgeldordnung der niederländischen Datenschutzbehörde konkretisiert. Gemäss deren Art. 2 Abs. 3 werden Verstösse der Kategorie III mit einer Busse zwischen € 300’000 und € 750’000 bestraft, wobei die Basisbusse € 525’000 beträgt. Bei einem Verstoss gegen Art. 27 DSGVO handelt es sich gemäss dem Anhang der Bussgeldordnung um einen Verstoss der Kategorie III.

Da Locatefamily keinen EU-Verantwortlichen benannt hat und somit gegen Art. 27 DSGVO verstiess, wurde die Plattform mit einer Busse in der Höhe von € 525’000 bestraft. Ausserdem muss Locatefamily alle zwei Wochen weitere € 20’000 (bis maximal € 120’000) bezahlen, bis sie einen EU-Vertreter benannt hat.

Fraglich bleibt jedoch, wie die Busse schlussendlich durchgesetzt werden soll. Gerade weil die Betreiber der Website und damit auch deren Sitz oder Wohnsitz nicht bekannt sind und diese wohl auch nicht mit der niederländischen Datenschutzbehörde interagiert haben. Es scheint als stelle die Durchsetzung der Busse die weitaus höhere Hürde als deren Verhängung dar.

Fazit

Der vorliegende Fall zeigt auf, dass Verstösse gegen Art. 27 DSGVO empfindliche Bussen nach sich ziehen können. Gerade weil der räumliche Anwendungsbereich der DSGVO sehr weit gefasst ist, muss eine grosse Zahl von Unternehmen, welche über keine Niederlassung in der EU verfügen, einen EU-Vertreter benennen (vgl. MLL News vom 15.5.2018).

Für Schweizer Unternehmen gilt es demnach zu beachten, dass bei einer relevanten Ausrichtung auf die EU ein EU-Vertreter im Sinne von Art. 27 DSGVO zu benennen ist. Ein Grossteil der Schweizer Unternehmen dürfte von dieser Pflicht erfasst sein, weil der Anwendungsbereich der DSGVO – wie oben beschrieben – weit gefasst ist. Wird dies unterlassen, drohen auch für Schweizer Unternehmen hohe Bussen. Die Durchsetzung der Busse wird sich in diesen Fällen wohl auch einfacher gestalten, insbesondere wenn das relevante Unternehmen, anders als im vorliegenden Fall, der Datenschutzbehörde bekannt ist. Schliesslich ist zu beachten, dass nach dem Brexit die im UK fortan geltende «UK-GDPR» ebenfalls eine eigenständige Pflicht zur Benennung eines Vertreters im Vereinigten Königreich enthält (vgl. MLL News vom 24.2.2021).

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.