- Die Pflicht zur Bestellung eines EU-Vertreters gilt für nicht in der EU ansässige Unternehmen im Daten- und Digitalrecht.
- Der Vertreter muss physisch in der EU ansässig sein; eine Briefkastenfirma genügt nicht.
- Die Pflichten des Vertreters sind oft unklar, er haftet typischerweise nur für eigene Verstösse.
- Der Entwurf des Artificial Intelligence Acts verlangt vom Vertreter, seine Beauftragung bei Verdacht auf Verstösse zu kündigen.
Die Pflicht zur Bestellung eines EU-Vertreters für nicht in der EU (bzw. im EWR) ansässige oder niedergelassene Personen ist vielen Unternehmen aus dem Bereich des Datenschutzrechts bekannt. Eine solche Pflicht findet sich inzwischen jedoch in weiteren Rechtsakten im Bereich “Daten und Digitales”. Diese Übersicht bietet einen Überblick über die Pflichten zur Bestellung eines EU-Vertreters im EU-Daten- und Digitalrecht.
Was ist ein Vertreter?
Der «Vertreter» muss im Unterschied zu einer «Kontaktstelle» (vgl. z.B. Art. 11 f. Digital Services Act) in der Union ansässig oder niedergelassen – das heisst physisch vor Ort – sein. Eine blosse Briefkastenfirma genügt nicht. Ein und dieselbe Person kann aber Vertreter unter verschiedenen Rechtsakten und/oder Vertreter für verschiedene Vertretene sein. Es ist möglich, sowohl Gruppengesellschaften als auch «externe» natürliche oder juristische Personen als Vertreter zu benennen.
Erste Praxishinweise
Bei erster Durchsicht der Bestellpflichten fallen folgende Punkte auf:
Rolle und Haftung des Vertreters sind oft gar nicht oder nicht klar geregelt. Es spricht jedoch viel dafür, Formulierungen wie
«Es ist möglich, den gesetzlichen Vertreter für Verstösse gegen Pflichten aus dieser Verordnung haftbar zu machen» (Art. 13 Abs. 3 DSA, vgl. auch Art. 17 Abs. 3 TCOR)
so auszulegen, dass der Vertreter nur für einen Verstoss gegen eigene Pflichten haftet und nicht vollumfänglich in die Pflichtenstellung des Vertretenen einrückt. Der Vertreter wird kaum die Kompetenzen und Weisungsbefugnisse haben, um die Erfüllung des vielfältigen Pflichtenkatalogs, der dem Vertretenen obliegt, sicherzustellen (vgl. nur das Melde- und Abhilfeverfahren, interne Beschwerdemanagementsystem und die Transparenzberichtspflichten im Digital Services Act). Nach hier vertretener Ansicht hat der Vertretene dem Vertreter daher nur die Ressourcen und Befugnisse einzuräumen, die erforderlich sind, dass dieser seine ausdrücklich aufgezählten Pflichten erfüllen kann.
Die Pflichten des Vertreters beschränken sich oft auf die Pflicht zur Auskunft und Zusammenarbeit mit Betroffenen und Aufsichtsbehörden, gehen teilweise (insbesondere im Entwurf des Artificial Intelligence Acts und der EDHS‑E) aber darüber hinaus. Sofern davon die Rede ist, dass der Vertreter
«anstelle [des Vertretenen] von den zuständigen Behörden […] zu allen Fragen in Anspruch genommen werden [kann], die für die Entgegennahme, Einhaltung und Durchsetzung von Beschlüssen im Zusammenhang mit dieser Verordnung erforderlich sind» (Art. 13 Abs. 2 S. 1 Digital Services Act)
ist der Vertreter nach dem Vorstehenden für die Entgegennahme von Beschlüssen als Empfangsvertreter, für die Beantwortung von Fragen aber als Erklärungsbote des Vertretenen einzuordnen.
Bemerkenswert ist zudem die im Entwurf des Artificial Intelligence Act vorgesehene Pflicht des Vertreters, seine Beauftragung zu kündigen, wenn er ausreichende Gründe für die Annahme hat, dass der Vertretene gegen seine Verpflichtungen aus der Verordnung verstösst. In einem solchen Fall muss er zudem unverzüglich die zuständige Marktüberwachungsbehörde informieren. Dies Pflicht überrascht, da die Bestellung des Vertreters die wirksame Aufsicht und erforderlichenfalls die Durchsetzung der Verordnung gegen den Vertretenen ermöglichen soll. Diese Durchsetzung würde infolge der Kündigung erschwert, da der Vertreter nicht mehr als Zustellungsbevollmächtigter des Vertretenen in Frage kommt. Hier dürften also im weiteren Verlauf des Gesetzgebungsvorhabens noch Änderungen zu erwarten sein.