Ihre Kontakte
Lukas Bühlmann
Michael Reinle
Die niederländische Datenschutzbehörde büsste im Mai 2021 die Betreiber von locatefamily.com, eine Plattform, die weltweit Kontaktinformationen sammelt, damit der Kontakt mit Familienmitgliedern wiederhergestellt werden kann. Die Busse in der Höhe von EUR 525’000 wurde ausgesprochen, weil Locatefamily keinen EU-Vertreter bestimmt und somit gegen die Pflicht zur Benennung eines Vertreters in der EU für im Ausland niedergelassene Unternehmen (Art. 27 DSGVO) verstossen hatte. Der Fall ruft gerade auch Schweizer Unternehmen in Erinnerung, dass sie einen EU-Vertreter benennen müssen, sobald sie ihr Angebot auf Verbraucher in der EU ausrichten. Andernfalls drohen hohe Bussgelder.
Locatefamily sammelt grosse Mengen an personenbezogenen Daten ohne Wissen der Betroffenen
Locatefamily.com ist eine Plattform, auf der Personen nach den Kontaktinformationen von verschiedenen Personen suchen können. Im Vordergrund stehen dabei Familienmitglieder, zu denen der Kontakt verloren ging, aber auch andere Personen, mit welchen man in Kontakt treten möchte. Die Plattform verfügt über personenbezogene Daten von Individuen auf der ganzen Welt, inklusive der EU. Die Plattform und jegliche darauf enthaltenen Daten sind für jeden frei zugänglich. Die Daten werden dabei von Locatefamily zusammengestellt, ohne dass die betroffenen Personen Mitglied der Plattform sein oder ein Konto erstellen müssen, es bleibt somit unklar, aus welchen Quellen die Daten überhaupt stammen. Mit anderen Worten wissen die betroffenen Personen zumeist nicht, dass ihre personenbezogenen Daten auf locatefamily.com veröffentlicht wurden.
In Zusammenhang mit Locatefamily.com hat die niederländische Datenschutzbehörde dutzende von Beschwerden erhalten. Daneben haben auch andere europäische sowie die kanadische Datenschutzbehörde Beschwerden von betroffenen Personen zu den von locatefamily.com praktizierten Datenbearbeitungen erhalten. Im Rahmen dieser Beschwerden arbeiteten die unterschiedlichen Datenschutzaufsichtsbehörden zusammen, wobei die niederländische Datenschutzbehörde federführend war. Im Zentrum stand u.a., dass die Website die vollständigen Adressen und manchmal auch die Telefonnummern von Personen ohne deren Wissen publik mache. Die betroffenen Personen selbst hätten der Seite jedenfalls die Informationen nicht zur Verfügung gestellt. Die Untersuchungen sollen dann aufgezeigt haben, dass Daten von ca. 700’000 niederländischen Personen auf der Website angezeigt wurden.
Löschung von Daten ohne EU-Vertretung kaum durchsetzbar
Für die niederländische Datenschutzbehörde ist es nicht akzeptabel, dass Telefonnummern oder Adressen ohne Wissen der betroffenen Personen veröffentlicht werden. Betrüger könnten solche Daten für Identitätsdiebstahl verwenden oder aber es kann zu Belästigungen per Telefon oder an der Haustür kommen. Es stehe den betroffenen Personen denn auch grundsätzlich frei, solche Daten zu veröffentlichen, aber es müsse sich um ihre eigene Entscheidung handeln. Genau in diesem Punkt liege aber das Problem bei locatefamily.com: Diese Entscheidung werde nicht durch die betroffenen Personen gefällt. Vielmehr sammle Locatefamily Daten ohne das Wissen der betroffenen Personen aus nicht offengelegten Quellen. Die niederländische Datenschutzbehörde führt weiter aus, dass für den Fall das solche Daten dennoch veröffentlicht würden, ein einfacher Mechanismus vorhanden sein müsse, um die Betroffenenrechte durchzusetzen, insbesondere aber um die fraglichen Daten effektiv löschen zu lassen. Dies sei im vorliegenden Fall gerade nicht möglich, was u.a. auf das Fehlen eines EU-Vertreter zurückzuführen sei.
Pflicht in der DSGVO zur Benennung eines Vertreters
Gemäss Art. 3 Abs. 2 DSGVO sind Verarbeiter personenbezogener Daten u.U. vom Anwendungsbereich der DSGVO erfasst, auch wenn sie über keine Niederlassung in der EU verfügen. Dies ist der Fall, wenn sie Personen in der EU bzw. im EWR Waren oder Dienstleistungen anbieten (sog. Targeting-Kriterium) oder das Verhalten von Personen in der EU beobachten (vgl. zum Ganzen auch MLL-News vom 19. Dezember 2019). Nach Art. 27 DSGVO müssen alle vom Anwendungsbereich erfassten Datenverarbeiter, die nicht in der EU niedergelassen sind, grundsätzlich einen Vertreter in der EU benennen. Die DSGVO sieht zwar auch Ausnahmen von dieser Pflicht vor, welche aber in der Pressemitteilung der niederländischen Datenschutzbehörde gar nicht erst thematisiert wurden. Gleiches gilt für die Vorfrage, aus welchem Grund Locatefamily überhaupt vom Anwendungsbereich der DSGVO erfasst wird.
Die Nichtbenennung eines EU-Vertreters kann zu hoher Busse führen
Grundsätzlich werden Verstösse gegen die Pflicht zur Benennung eines EU-Vertreters nach Art. 27 DSGVO mit Bussen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet, je nachdem, welcher der Beträge höher ist. In den Niederlanden sind die entsprechenden Bussen in der Bussgeldordnung der niederländischen Datenschutzbehörde konkretisiert. Gemäss deren Art. 2 Abs. 3 werden Verstösse der Kategorie III mit einer Busse zwischen € 300’000 und € 750’000 bestraft, wobei die Basisbusse € 525’000 beträgt. Bei einem Verstoss gegen Art. 27 DSGVO handelt es sich gemäss dem Anhang der Bussgeldordnung um einen Verstoss der Kategorie III.
Da Locatefamily keinen EU-Verantwortlichen benannt hat und somit gegen Art. 27 DSGVO verstiess, wurde die Plattform mit einer Busse in der Höhe von € 525’000 bestraft. Ausserdem muss Locatefamily alle zwei Wochen weitere € 20’000 (bis maximal € 120’000) bezahlen, bis sie einen EU-Vertreter benannt hat.
Fraglich bleibt jedoch, wie die Busse schlussendlich durchgesetzt werden soll. Gerade weil die Betreiber der Website und damit auch deren Sitz oder Wohnsitz nicht bekannt sind und diese wohl auch nicht mit der niederländischen Datenschutzbehörde interagiert haben. Es scheint als stelle die Durchsetzung der Busse die weitaus höhere Hürde als deren Verhängung dar.
Fazit
Der vorliegende Fall zeigt auf, dass Verstösse gegen Art. 27 DSGVO empfindliche Bussen nach sich ziehen können. Gerade weil der räumliche Anwendungsbereich der DSGVO sehr weit gefasst ist, muss eine grosse Zahl von Unternehmen, welche über keine Niederlassung in der EU verfügen, einen EU-Vertreter benennen (vgl. MLL News vom 15.5.2018).
Für Schweizer Unternehmen gilt es demnach zu beachten, dass bei einer relevanten Ausrichtung auf die EU ein EU-Vertreter im Sinne von Art. 27 DSGVO zu benennen ist. Ein Grossteil der Schweizer Unternehmen dürfte von dieser Pflicht erfasst sein, weil der Anwendungsbereich der DSGVO – wie oben beschrieben – weit gefasst ist. Wird dies unterlassen, drohen auch für Schweizer Unternehmen hohe Bussen. Die Durchsetzung der Busse wird sich in diesen Fällen wohl auch einfacher gestalten, insbesondere wenn das relevante Unternehmen, anders als im vorliegenden Fall, der Datenschutzbehörde bekannt ist. Schliesslich ist zu beachten, dass nach dem Brexit die im UK fortan geltende «UK-GDPR» ebenfalls eine eigenständige Pflicht zur Benennung eines Vertreters im Vereinigten Königreich enthält (vgl. MLL News vom 24.2.2021).
Weitere Informationen:
- MLL News vom 24. Februar 2021: «Brexit und Datenschutz – die datenschutzrechtlichen Folgen des Brexit-Deals»
- Medienmitteilung der niederländischen Datenschutzbehörde vom 12. Mai 2021
- DSGVO
- MLL News vom 15. Mai 2018: «EU-DSGVO Vertretung für Schweizer Unternehmen durch MLL Brüssel»
- MLL-News vom 10. Dezember 2018: “EU-Datenschützer (EDSA) veröffentlichen Entwurf der Leitlinien zum räumlichen Anwendungsbereich der DSGVO“
- MLL-News vom 19. Dezember 2019: «EU-Datenschützer (EDSA) veröffentlichen definitive Leitlinien zum räumlichen Anwendungsbereich der DSGVO»
