Wann braucht man eine EU-Vertretung nach DSGVO?

Von Michael Schlotter · 6 Min. Lesezeit
Wann braucht man eine EU-Vertretung nach DSGVO?

Ein Schweizer SaaS-Unternehmen gewinnt erste Kundschaft in Deutschland. Eine Schweizer Kliniksoftware wird von einer Praxis in Österreich getestet. Ein Onlineshop liefert vereinzelt nach Frankreich. In solchen Situationen stellt sich rasch die Frage: Wann braucht man eine EU-Vertretung? Entscheidend ist nicht allein, ob ein Unternehmen Daten aus der EU erhält. Massgeblich sind die konkrete Bearbeitung, die Zielrichtung des Angebots und die Rolle des Unternehmens nach DSGVO.

Wann braucht man eine EU-Vertretung nach DSGVO?

Eine EU-Vertretung wird grundsätzlich relevant, wenn ein Unternehmen oder ein Auftragsbearbeiter keine Niederlassung in der EU hat, aber die DSGVO trotzdem auf seine Datenbearbeitungen anwendbar ist. Für Schweizer Unternehmen betrifft das vor allem zwei Konstellationen: Sie bieten Personen in der EU Waren oder Dienstleistungen an oder sie beobachten das Verhalten von Personen in der EU.

Dabei geht es nicht um die Staatsangehörigkeit einer Person, sondern darum, wo sich die betroffene Person zum Zeitpunkt der Datenbearbeitung befindet. Ein Schweizer Unternehmen kann deshalb in den Anwendungsbereich fallen, wenn es gezielt Kundinnen und Kunden, Nutzerinnen und Nutzer oder andere Personen in der EU anspricht.

Das Wort «gezielt» ist zentral. Eine Website, die weltweit abrufbar ist, löst für sich allein noch keine Pflicht aus. Anders kann es aussehen, wenn das Angebot erkennbar auf einen EU-Markt ausgerichtet ist: etwa durch länderspezifische Lieferbedingungen, Marketingkampagnen in der EU, Preise in Euro, eine eigene Bestellstrecke für bestimmte EU-Länder oder einen Vertrieb, der aktiv EU-Kundschaft gewinnt.

Auch die Beobachtung von Verhalten kann eine Rolle spielen. Dazu gehören beispielsweise die systematische Auswertung des Nutzungsverhaltens, Profilbildung für personalisierte Werbung oder das Tracking von Personen über verschiedene Angebote hinweg. Ein einzelnes technisch notwendiges Cookie führt nicht automatisch zu einer EU-Vertretung. Je gezielter, umfangreicher und wiederkehrender das Tracking erfolgt, desto genauer sollte die Situation geprüft werden.

Drei Praxisbeispiele

Ein Schweizer Hersteller verkauft ausschliesslich an Schweizer Firmen. Seine Website ist auf Deutsch und Französisch gehalten, enthält keine EU-Kampagnen und liefert nicht in die EU. Meldet sich dennoch einmal ein Interessent aus Italien, entsteht dadurch in der Regel nicht automatisch eine EU-Vertretungspflicht.

Anders liegt der Fall bei einem Schweizer Softwareanbieter, der seine Plattform auf Deutsch und Englisch gezielt an KMU in Deutschland und Österreich vermarktet. Bei der Nutzung verarbeitet er Kontaktdaten, Login-Daten und Nutzungsdaten von Mitarbeitenden seiner EU-Kundschaft. Hier ist eine EU-Vertretung häufig ein Thema, das frühzeitig geklärt werden sollte.

Ein drittes Beispiel ist ein Schweizer Onlineshop, der Werbung in mehreren EU-Ländern schaltet und das Klick- und Kaufverhalten für personalisierte Angebote auswertet. Die Kombination aus aktivem Marktauftritt und Verhaltensbeobachtung spricht klar dafür, die DSGVO-Pflichten einschliesslich EU-Vertretung strukturiert zu beurteilen.

Nicht jede EU-Berührung führt zur Pflicht

In der Praxis wird oft vorschnell von einer EU-Vertretung ausgegangen, sobald ein Name, eine E-Mail-Adresse oder eine Lieferadresse aus der EU in einem System erscheint. Das greift zu kurz. Einzelne, zufällige Kontakte oder eine rein passive Erreichbarkeit eines Angebots sind anders zu bewerten als eine laufende, auf die EU ausgerichtete Geschäftstätigkeit.

Auch im B2B-Geschäft braucht es eine differenzierte Betrachtung. Der Vertragspartner kann zwar ein Unternehmen sein, verarbeitet werden aber oft Daten von Ansprechpersonen, Nutzenden oder Mitarbeitenden. Entscheidend bleibt, ob die Leistung oder die Datenbearbeitung gezielt Personen in der EU erreicht und ob die übrigen Voraussetzungen erfüllt sind.

Es gibt zudem eine eng auszulegende Ausnahme für gelegentliche Datenbearbeitungen, die voraussichtlich kein Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringen. Diese Ausnahme greift jedoch nicht einfach deshalb, weil ein Unternehmen klein ist oder nur wenige Datensätze bearbeitet. Wer sich darauf stützen will, sollte Umfang, Regelmässigkeit, Datenkategorien und Risiken nachvollziehbar dokumentieren.

Besondere Aufmerksamkeit verdienen Gesundheitsdaten, Bewerbungsunterlagen, Standortdaten, umfangreiche Nutzungsprofile oder Daten von Kindern. Solche Informationen können die Risikobeurteilung wesentlich verändern. Gerade bei wiederkehrenden Bearbeitungen sollte die EU-Vertretung nicht erst dann geprüft werden, wenn ein Kunde oder eine Behörde danach fragt.

EU-Vertretung, Datenschutzberater und DPO sind nicht dasselbe

Die EU-Vertretung nach DSGVO ist eine formelle Anlaufstelle innerhalb der EU. Sie vertritt das Unternehmen gegenüber betroffenen Personen und Datenschutzaufsichtsbehörden in Bezug auf die betroffenen Datenbearbeitungen. Ihre Kontaktdaten gehören in der Regel in die Datenschutzerklärung. Sie muss erreichbar sein und die erforderlichen Informationen beziehungsweise Unterlagen im vereinbarten Rahmen bereitstellen können.

Das macht die EU-Vertretung aber nicht zur operativen Datenschutzabteilung des Unternehmens. Sie ersetzt weder eine verantwortliche interne Stelle noch ein Datenschutzmanagement. Die Verantwortung für datenschutzkonforme Prozesse, transparente Informationen, technische und organisatorische Massnahmen sowie die Bearbeitung von Betroffenenanfragen bleibt beim Unternehmen.

Ein Datenschutzberater unterstützt bei der praktischen Umsetzung. Ein Datenschutzbeauftragter oder DPO übernimmt je nach Mandat unabhängige Beratungs- und Überwachungsaufgaben. Die EU-Vertretung dagegen erfüllt in erster Linie die gesetzlich vorgesehene Kontaktfunktion. Ein Unternehmen kann alle drei Rollen benötigen, muss sie aber sauber voneinander abgrenzen.

Auch eine Niederlassung in der EU ist nicht mit einer EU-Vertretung gleichzusetzen. Hat ein Schweizer Unternehmen beispielsweise eine echte operative Niederlassung in einem EU-Staat, kann die Beurteilung anders ausfallen. Ob eine Gesellschaft, ein Verkaufsbüro oder eine Mitarbeitendenstruktur bereits als Niederlassung gilt, hängt von den tatsächlichen Verhältnissen ab, nicht nur von der Firmenadresse.

So klären Schweizer Unternehmen den Bedarf effizient

Die Frage lässt sich am besten nicht isoliert, sondern anhand der tatsächlichen Geschäfts- und Datenflüsse beantworten. Eine kurze Bestandsaufnahme spart später viel Aufwand. Klären Sie dabei insbesondere diese Punkte:

  • Welche Produkte, Dienstleistungen und Marketingmassnahmen richten sich an Personen oder Märkte in der EU?
  • Welche personenbezogenen Daten bearbeiten Sie dabei und zu welchem Zweck?
  • Findet Tracking, Profilbildung oder eine andere Verhaltensbeobachtung statt?
  • Bearbeiten Sie Daten selbst als Verantwortlicher oder im Auftrag Ihrer Kunden als Auftragsbearbeiter?
  • Besteht bereits eine operative Niederlassung in der EU?
  • Wie regelmässig und wie umfangreich sind die betroffenen Bearbeitungen?

Diese Fragen gehören in ein aktuelles Bearbeitungsverzeichnis. Gerade bei Schweizer KMU liegen die Informationen häufig verteilt: im CRM, im Onlineshop, in HR-Systemen, bei Marketing-Tools, in der Kundenbetreuung und bei externen IT-Dienstleistern. Eine zentrale Dokumentation macht sichtbar, ob EU-Bezug nur punktuell besteht oder Teil des Geschäftsmodells geworden ist.

Wer zu einem positiven Ergebnis kommt, sollte die Vertretung nicht als isolierte Formalität behandeln. Sinnvoll sind ein klarer schriftlicher Auftrag, definierte Kontaktwege und geregelte Zuständigkeiten. Die EU-Vertretung benötigt Zugriff auf die relevanten Informationen, insbesondere auf das Verzeichnis der Verarbeitungstätigkeiten, Datenschutzhinweise sowie Prozesse für Auskunfts- und Löschbegehren. Bei Änderungen am Angebot, bei neuen Zielmärkten oder beim Einsatz neuer Tracking-Technologien ist die Beurteilung zu aktualisieren.

Die Wahl der EU-Vertretung muss zum Markt passen

Die Vertretung muss in einem EU-Mitgliedstaat niedergelassen sein, in dem sich betroffene Personen befinden, deren Daten bearbeitet werden. Für Unternehmen mit Fokus auf Deutschland ist daher häufig eine Vertretung in Deutschland naheliegend. Bei mehreren EU-Märkten zählt, ob die gewählte Stelle die Kommunikation mit betroffenen Personen und Behörden für die relevanten Bearbeitungen zuverlässig abdecken kann.

Wichtig ist zudem die operative Zusammenarbeit. Eine EU-Vertretung kann nur sinnvoll handeln, wenn Anfragen nicht intern liegen bleiben. Legen Sie fest, wer Anfragen entgegennimmt, wer Fristen überwacht, wer fachlich entscheidet und wie die Kommunikation dokumentiert wird. Besonders bei SaaS-Anbietern, Plattformen und international tätigen Dienstleistern sollten Vertrieb, Support, IT und Datenschutz dieselbe Einschätzung zum EU-Geschäft teilen.

Der Schweizer Vertreter nach DSG ist ein anderer Fall

Für international tätige Unternehmen wird die EU-Vertretung oft mit dem Schweizer Vertreter verwechselt. Das aktuelle Schweizer Datenschutzgesetz ist seit dem 1. September 2023 in Kraft und kennt ebenfalls eine Vertretungspflicht - sie richtet sich jedoch vor allem an Unternehmen mit Sitz im Ausland, die bestimmte Datenbearbeitungen von Personen in der Schweiz vornehmen.

Ein Unternehmen mit Sitz in der Schweiz braucht daher nicht deshalb einen Schweizer Vertreter, weil es hier tätig ist. Umgekehrt kann ein EU-Unternehmen für die Schweiz einen Vertreter benötigen. Wer sowohl EU- als auch Schweizer Märkte bedient, sollte beide Regelwerke getrennt prüfen. Die Voraussetzungen, Ansprechpartner und Dokumentationsanforderungen sind nicht deckungsgleich.

Eine EU-Vertretung ist kein Selbstzweck. Richtig eingeordnet, ist sie Teil einer geordneten internationalen Datenschutzorganisation. Prüfen Sie den EU-Bezug deshalb dort, wo er entsteht: bei neuen Märkten, neuen Vertriebskanälen und neuen Datenflüssen. So bleibt Datenschutz eine planbare Aufgabe statt einer nachträglichen Korrektur.

Datenschutz pragmatisch lösen?

Wir übernehmen als externer DPO Ihre Datenschutzaufgaben oder zeigen Ihnen im Audit, wo Ihr Unternehmen heute steht. Auch beim Thema «Wann braucht man eine EU-Vertretung nach DSGVO» unterstützen wir Sie gern konkret.

Unverbindlich Termin buchen
← Zurück zur Blog-Übersicht