Ein nicht in der EU niedergelassenes Unternehmen muss einen Vertreter nach Artikel 27 DSGVO bestellen (Marktortprinzip), wenn es:
• Personen*, die sich in der EU befinden, Waren oder Dienstleistungen anbietet, unabhängig davon, ob die Personen dafür eine Zahlung zu leisten haben
• In der EU das Verhalten von Personen, die sich in der EU befinden, beobachtet
• Nicht nur gelegentlich Daten von Personen, die sich in der EU befinden, verarbeitet
• Wenn es nur gelegentlich Daten von Personen, die sich in der EU befinden, verarbeitet, aber diese Verarbeitung zu einem Risiko für die Rechte und Freiheiten der Personen führt (Beispiel: Eine ausländische Bank stuft gelegentlich EU-Bürger durch ein Rating-Verfahren als kreditwürdig oder nicht kreditwürdig ein.)
• Auftragsverarbeiter ist und Daten von Personen, die sich in der EU befinden, verarbeitet
Der Vertreter nach Artikel 27 DSGVO muss in einem der EU-Staaten niedergelassen sein, in denen das Unternehmen Daten von Personen erhebt.
Der Vertreter hat insbesondere die Aufgabe, betroffenen Personen und den Aufsichtsbehörden in der EU als Anlaufstelle zu dienen.
*Definition Personen hier: Natürliche Personen (Menschen), aber keine juristischen Personen (z.B. GmbH, Aktiengesellschaft)