Regingada
Datenschutz-Grundverordnung · Verordnung (EU) 2016/679

EU-Vertreter nach Art. 27 DSGVO

Verantwortliche und Auftragsverarbeiter ohne Niederlassung in der Europäischen Union müssen schriftlich einen Vertreter in der Union benennen, sobald Art. 3 Abs. 2 der Verordnung (EU) 2016/679 (DSGVO) auf ihre Verarbeitung anwendbar ist: wenn sie betroffenen Personen in der Union Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten, soweit es in der Union erfolgt (Art. 27 Abs. 1 DSGVO). Die Regingada UG (haftungsbeschränkt) übernimmt diese benannte Rolle auf Grundlage eines eigenen Vertretungsvertrags: Anlaufstelle für Aufsichtsbehörden und betroffene Personen, Unterstützung bei Dokumentation und Verzeichnissen — keine Rechtsberatung.

EU-Vertretungsservice nach der DSGVO für SaaS-Anbieter, App-Publisher und Online-Unternehmen außerhalb der EU, die Kunden in der Union bedienen oder das Verhalten von Nutzern dort beobachten.

Software & benannte EU-Vertretung: Regingada UG (haftungsbeschränkt) · Rechtsberatung ausschließlich: Kanzlei Theo Funk — gesondertes Mandat

Regingada kontaktieren — Vertretung & Produkt
Anwendungsbereich

Wer einen EU-Vertreter nach Art. 27 benennen muss

Art. 27 Abs. 1 DSGVO knüpft die Pflicht an Art. 3 Abs. 2 DSGVO: Ein Verantwortlicher oder Auftragsverarbeiter ohne Niederlassung in der Union muss einen Vertreter in der Union benennen, wenn seine Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, im Zusammenhang damit steht, (a) diesen betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten — unabhängig davon, ob von ihnen eine Zahlung zu leisten ist — oder (b) ihr Verhalten zu beobachten, soweit ihr Verhalten in der Union erfolgt.

Keiner der beiden Auslöser setzt eine EU-Gesellschaft oder EU-Umsätze voraus. Für das Angebots-Merkmal stellt Erwägungsgrund 23 DSGVO darauf ab, ob Sie offensichtlich beabsichtigen, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten — die bloße Zugänglichkeit einer Website genügt nicht, doch Faktoren wie EU-Sprachen oder -Währungen mit Bestellmöglichkeit oder die Erwähnung von Kunden in der Union machen die Absicht offensichtlich. Für das Beobachtungs-Merkmal verweist Erwägungsgrund 24 DSGVO auf die Nachverfolgung natürlicher Personen im Internet einschließlich der anschließenden Verwendung von Profiling-Techniken, um persönliche Vorlieben, Verhaltensweisen und Gepflogenheiten zu analysieren oder vorherzusagen.

Ist Art. 3 Abs. 2 anwendbar und greift keine Ausnahme nach Art. 27 Abs. 2, muss die Benennung schriftlich erfolgen (Art. 27 Abs. 1 DSGVO) — und der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen sich die betroffenen Personen befinden (Art. 27 Abs. 3 DSGVO).

Die Ausnahmen — Art. 27 Abs. 2 DSGVO

Die Pflicht gilt nicht für eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 27 Abs. 2 lit. a DSGVO). Sie gilt außerdem nicht für Behörden oder öffentliche Stellen (Art. 27 Abs. 2 lit. b DSGVO).

Die drei Voraussetzungen der ersten Ausnahme müssen kumulativ vorliegen. Bei einem laufenden Online-Dienst, der kontinuierlich Personen in der Union bedient oder ihr Verhalten beobachtet, erfolgt die Verarbeitung selten nur „gelegentlich“ — weshalb die meisten Nicht-EU-SaaS- und App-Unternehmen im Anwendungsbereich des Art. 3 Abs. 2 am Ende den Vertreter benötigen.

Die Rolle

Was der EU-Vertreter tut

Der Vertreter wird vom Verantwortlichen oder Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle — insbesondere für Aufsichtsbehörden und betroffene Personen — bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung als Anlaufstelle zu dienen, um die Einhaltung der DSGVO zu gewährleisten (Art. 27 Abs. 4 DSGVO). Anders als in den meisten anderen EU-Vertreterregimen macht Art. 27 den Vertreter damit auch zur Anlaufstelle für Einzelpersonen, nicht nur für Behörden.

  • Benannte Anschrift in der Union — Entgegennahme von Behördenkorrespondenz und Betroffenenanfragen, die an den Vertreter gerichtet werden
  • Dokumentierte Weiterleitung — zeitnahe Zuleitung an die von Ihnen benannten Personen, mit definiertem Eskalationspfad und Audit-Trail
  • Verzeichnis — der Vertreter führt sein eigenes Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 und 2 DSGVO, abgestimmt auf Ihr
  • Transparenz-Unterstützung — Name und Kontaktdaten des Vertreters gehören in Ihre Datenschutzhinweise (Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO)

Erwägungsgrund 80 DSGVO hält fest, dass der benannte Vertreter Durchsetzungsverfahren unterworfen werden sollte, wenn der Verantwortliche oder Auftragsverarbeiter die Verordnung nicht einhält — zugleich stellt Art. 27 Abs. 5 DSGVO klar, dass die Benennung rechtliche Schritte gegen den Verantwortlichen oder Auftragsverarbeiter selbst unberührt lässt. Deshalb definiert unser Vertretungsvertrag Pflichten, Informationswege und Eskalationspfade präzise.

Eine Meldung des Vertreters an eine Aufsichtsbehörde sieht die DSGVO nicht vor: Die Benennung wird im schriftlichen Mandat, in Ihren Datenschutzhinweisen und im Verzeichnis von Verarbeitungstätigkeiten dokumentiert.

Benennung

So läuft die Benennung ab

Drei Schritte führen vom Scoping zur offengelegten und dokumentierten Vertreterfunktion.

  1. Scoping

    Ein geführter Fragenkatalog — derselbe Wizard, den Sie auf dieser Seite starten können — erfasst Ihre Niederlassungssituation, Ihre Auslöser nach Art. 3 Abs. 2 und die Ausnahmevoraussetzungen des Art. 27 Abs. 2.

    Ergebnisein strukturiertes Selbsteinschätzungs-Protokoll Ihres Art.-27-Status — keine rechtliche Bewertung; dafür berät die Kanzlei nach gesonderter Mandatierung.

  2. Schriftliches Mandat

    Wir bereiten die schriftliche Benennung vor, die Art. 27 Abs. 1 DSGVO verlangt, zusammen mit dem Vertretungsvertrag, der Aufgaben, Informationswege und Reaktionszeiten festlegt.

    Ergebnisein Entwurf der schriftlichen Benennung plus Vertretungsvertrag, der Rolle, Pflichten und Informationswege benennt — Mustertexte auf Anfrage.

  3. Offenlegung & Aktivierung

    Eine Behördenmeldung ist nach der DSGVO nicht erforderlich — stattdessen werden Ihre öffentlichen Angaben und Verzeichnisse in Einklang gebracht, und der operative Kontaktkanal geht live.

    Ergebnisein Offenlegungspaket: Vertreter-Kontaktblock für Ihre Datenschutzerklärung (Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO), Einträge für das Verzeichnis nach Art. 30 und ein dokumentierter Kontaktkanal.

Warum Regingada

Eine benannte Rolle, gehalten von einer eingetragenen Gesellschaft.

Porträt von Theo Funk, Rechtsanwalt, Gründer der Regingada UG (haftungsbeschränkt)
„Art. 27 ist eine operative Rolle: Aufsichtsbehörden und betroffene Personen müssen jemanden in der Union erreichen können, der zuverlässig entgegennimmt, weiterleitet und dokumentiert. Regingada hält diese benannte Rolle auf Grundlage eines eigenen Vertrags. Die rechtliche Beurteilung bleibt bei meiner Kanzlei — nach gesonderter Mandatierung.“
Rechtsanwalt Theo Funk · Rechtsanwaltskammer Bamberg

Regingada UG (haftungsbeschränkt), HRB 12595, AG Bamberg

Benannte EU-Vertretung & Software: Regingada UG (haftungsbeschränkt) — zu 100 % im Eigentum von Rechtsanwalt Theo Funk, keine Rechtsberatung · Rechtsberatung: unabhängige Kanzlei Theo Funk (RAK Bamberg) — gesondertes Mandat.

Derselbe regulatorische Korpus treibt die Regingada Compliance Suite an — Digital-Twin-Software, die die DSGVO neben DSA, KI-VO, DMA und NIS2 kartiert.

Aus dem Regingada Radar — wir verfolgen, was wir vertreten

  • GDPRDSGVO — Datenschutz-Folgenabschätzung (Art. 35)Betrifft die Schwellen und Pflichtelemente der DSFA nach Art. 35 DSGVO.
  • DSADSA — Präzisierung zu Kontaktstellen (Art. 11)Betrifft die Ausgestaltung der Behörden-Kontaktstelle nach Art. 11 DSA und deren oeffentliche Angaben.
  • AI ActKI-VO — verbotene Praktiken (Kapitel II)Bezieht sich auf den Katalog verbotener KI-Praktiken nach Kapitel II der KI-VO.
Alle Einträge →

Orientierung, keine Rechtsberatung.

Diese Rollen nicht kombinieren

EU-Vertreter vs. Datenschutzbeauftragter

Art. 27 und Art. 37 DSGVO schaffen unterschiedliche Funktionen. Die eine ist eine externe Anlaufstelle in Ihrem Auftrag, die andere eine unabhängige interne Überwachungsrolle. Sie sollten getrennt bleiben.

EU-Vertreter (Art. 27 DSGVO)Datenschutzbeauftragter (Art. 37 DSGVO)
RechtsgrundlageArt. 27 DSGVOArt. 37–39 DSGVO
Wer benenntNicht-EU-Verantwortliche und -Auftragsverarbeiter im Anwendungsbereich des Art. 3 Abs. 2 DSGVOVerantwortliche und Auftragsverarbeiter, die die Kriterien des Art. 37 Abs. 1 DSGVO erfüllen — unabhängig vom Sitz
KernfunktionAnlaufstelle in der Union für Aufsichtsbehörden und betroffene Personen, zusätzlich zum oder anstelle des Unternehmens (Art. 27 Abs. 4)Unterrichtet und berät, überwacht die Einhaltung, arbeitet mit der Aufsichtsbehörde zusammen (Art. 39 Abs. 1)
StellungDienstleister auf Grundlage eines schriftlichen MandatsUnabhängig — darf bei der Erfüllung der Aufgaben keine Anweisungen erhalten (Art. 38 Abs. 3)
Dieselbe Person oder Gesellschaft?Nein — siehe unten.

Der Vertreter handelt nach Ihren Weisungen und sollte nach Erwägungsgrund 80 DSGVO Durchsetzungsverfahren unterworfen werden, wenn Sie die Verordnung nicht einhalten — der Datenschutzbeauftragte dagegen muss seine Aufgaben unabhängig erfüllen. In seinen Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO hält der Europäische Datenschutzausschuss die Funktion des Vertreters mit der Rolle des Datenschutzbeauftragten nicht für vereinbar. Wenn Sie beides brauchen, sollten es zwei getrennte Bestellungen sein — Regingada übernimmt ausschließlich die Rolle nach Art. 27.

Anbieterwechsel

Den EU-Vertreter wechseln

Vertretermandate ändern sich, wenn Anbieter den Markt verlassen, Laufzeiten enden oder Gruppen umstrukturieren. Ein geordneter Wechsel hat drei Bestandteile — und keiner davon ist kompliziert, wenn der Vorgang sauber dokumentiert wurde.

  • Überlappung statt Lücke — das Ende des alten Mandats mit der neuen schriftlichen Benennung (Art. 27 Abs. 1 DSGVO) abstimmen, damit es keinen Zeitraum ohne Vertreter in der Union gibt
  • Angaben aktualisieren — Datenschutzhinweise müssen Name und Kontaktdaten des aktuellen Vertreters nennen (Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO); das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 wird parallel aktualisiert
  • Vorgänge übergeben — offene Behörden- oder Betroffenenvorgänge, das Korrespondenzprotokoll und das Art.-30-Verzeichnis des Vertreters gehen mit dokumentiertem Stichtag auf den neuen Vertreter über

Wir übernehmen bestehende Art.-27-Mandate mit strukturierter Übergabe — und wenn Sie einmal gehen, übergeben wir genauso. Der Audit-Trail gehört Ihnen, nicht uns.

Typische Konstellationen

Drei Nicht-EU-SaaS-Szenarien, die Art. 27 auslösen

Die Pflicht wird leicht übersehen, weil sie Ihren EU-Nutzern folgt, nicht Ihrer Konzernstruktur. Drei Muster, die uns immer wieder begegnen:

  • Art. 3 Abs. 2 lit. a DSGVO

    US-SaaS mit EU-Kunden

    Ein SaaS-Unternehmen mit Sitz in den USA, ohne EU-Gesellschaft, verkauft Abonnements an Kunden in der Union. Das Anbieten von Waren oder Dienstleistungen an betroffene Personen in der Union löst Art. 3 Abs. 2 lit. a DSGVO aus — unabhängig davon, ob eine Zahlung zu leisten ist. Auch kostenlose Tarife zählen.

  • Art. 3 Abs. 2 lit. a · EG 23

    App mit EU-Nutzern

    Eine Mobile- oder Web-App erreicht Nutzer in der Union. Bloße Zugänglichkeit genügt nicht (Erwägungsgrund 23 DSGVO) — aber EU-ausgerichtete Store-Einträge, EU-Sprachen oder -Währungen mit Bestellmöglichkeit oder Marketing, das Kunden in der Union erwähnt, machen das Angebot offensichtlich.

  • Art. 3 Abs. 2 lit. b · EG 24

    Analytics & Tracking

    Auch ohne Verkäufe in die EU kann das Tracking von Personen dort die Pflicht auslösen: Art. 3 Abs. 2 lit. b DSGVO erfasst die Beobachtung des Verhaltens, soweit es in der Union erfolgt — Erwägungsgrund 24 DSGVO verweist auf Internet-Tracking mit anschließendem Profiling, um Vorlieben, Verhaltensweisen und Gepflogenheiten zu analysieren oder vorherzusagen. Analytics, Session-Replay und Ad-Personalisierung gehören hierher.

Kosten

Was die Kosten bestimmt

Das Engagement bemisst sich an dem, was die Rolle tatsächlich tragen muss: wie viele Konzerngesellschaften die Benennung abdeckt, das erwartete Aufkommen an Behörden- und Betroffenenkontakten, der Dokumentations- und Verzeichnisbedarf (Art. 30 DSGVO), ob die Rolle mit einer Vertretung nach Art. 13 DSA, KI-VO oder NIS2 kombiniert wird (Mehr-Regime-Setups senken den Koordinationsaufwand) und die Reaktionszeiten, zu denen wir uns verpflichten.

Konditionen auf Anfrage.

FAQ

Häufige Fragen

Kann unser EU-Vertreter zugleich unser Datenschutzbeauftragter sein?

Nein — die Rollen sollten getrennt bleiben. Der Vertreter wird beauftragt, zusätzlich zu Ihnen oder an Ihrer Stelle als Anlaufstelle zu dienen (Art. 27 Abs. 4 DSGVO), während der Datenschutzbeauftragte unabhängig handeln muss und bei der Erfüllung seiner Aufgaben keine Anweisungen erhalten darf (Art. 38 Abs. 3 DSGVO). In seinen Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO hält der Europäische Datenschutzausschuss die Funktion des Vertreters mit der Rolle des Datenschutzbeauftragten nicht für vereinbar.

Welche Ausnahmen sieht Art. 27 Abs. 2 DSGVO vor?

Zwei. Erstens eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Zweitens die Verarbeitung durch Behörden oder öffentliche Stellen. Die Voraussetzungen der ersten Ausnahme müssen kumulativ vorliegen — bei einem laufenden Online-Dienst erfolgt die Verarbeitung selten nur „gelegentlich“.

Müssen wir den Vertreter in unserer Datenschutzerklärung nennen?

Ja. Ist ein Vertreter benannt, gehören sein Name und seine Kontaktdaten zu den Informationen, die Sie betroffenen Personen mitteilen müssen (Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO). Den Vertreter-Kontaktblock für Ihre Datenschutzerklärung liefern wir im Onboarding mit.

Kann der Vertreter Adressat von Durchsetzungsmaßnahmen sein?

Erwägungsgrund 80 DSGVO hält fest, dass der benannte Vertreter Durchsetzungsverfahren unterworfen werden sollte, wenn der Verantwortliche oder der Auftragsverarbeiter die Verordnung nicht einhält. Zugleich stellt Art. 27 Abs. 5 DSGVO klar, dass die Benennung etwaige rechtliche Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst unberührt lässt. Unser Vertretungsvertrag trägt dem Rechnung, indem er Pflichten, Informationswege und Eskalationspfade präzise definiert.

Wie wechseln wir einen bestehenden EU-Vertreter?

Indem das Ende des alten Mandats mit einer neuen schriftlichen Benennung (Art. 27 Abs. 1 DSGVO) abgestimmt wird, die Datenschutzhinweise (Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO) und das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) aktualisiert werden und offene Behörden- oder Betroffenenvorgänge samt Korrespondenzprotokoll übergeben werden. Wir unterstützen strukturierte Übergaben in beide Richtungen.

Muss der Vertreter bei einer Aufsichtsbehörde registriert werden?

Nein. Die DSGVO sieht keine Registrierung des Vertreters bei einer Aufsichtsbehörde vor — die Benennung lebt im schriftlichen Mandat, in Ihren Datenschutzhinweisen und im Verzeichnis von Verarbeitungstätigkeiten. Das unterscheidet sich von NIS2: Dort müssen bestimmte Einrichtungen Registrierungsangaben übermitteln, die auch die Angaben ihres nach Art. 26 Abs. 3 benannten Vertreters umfassen (Art. 27 der Richtlinie (EU) 2022/2555).

Kann ein Vertreter für mehrere Konzerngesellschaften handeln?

Ja. Art. 27 DSGVO knüpft die Pflicht an jeden Verantwortlichen bzw. Auftragsverarbeiter, doch nichts in der Vorschrift hindert mehrere Gesellschaften einer Gruppe daran, denselben Vertreter zu benennen — jede Einheit nimmt ihre eigene schriftliche Benennung vor, und der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen sich die betroffenen Personen befinden (Art. 27 Abs. 3 DSGVO). Eine Gruppe unter einem Mandat abzudecken ist ein übliches Setup und einer der Kostenfaktoren auf dieser Seite.

Ist das Rechtsberatung?

Die Regingada UG (haftungsbeschränkt) ist die Software- und EU-Vertretungs-Gesellschaft, zu 100 % im Eigentum von Rechtsanwalt Theo Funk. Sie erbringt keine Rechtsberatung. Für Rechtsberatung nach gesonderter Mandatierung wenden Sie sich bitte an die unabhängige Kanzlei Theo Funk.

Was kostet das?

Das Engagement richtet sich danach, wie viele Konzerngesellschaften die Benennung abdeckt, nach dem erwarteten Aufkommen an Behörden- und Betroffenenkontakten, dem Dokumentations- und Verzeichnisbedarf, danach, ob die Rolle mit einer Vertretung nach Art. 13 DSA, KI-VO oder NIS2 kombiniert wird (Mehr-Regime-Setups senken den Koordinationsaufwand), und nach vereinbarten Reaktionszeiten. Konditionen auf Anfrage.

Benennen Sie Ihren EU-Vertreter nach Art. 27.

Starten Sie mit dem Scoping-Check — er erfasst Ihre Auslöser nach Art. 3 Abs. 2 und Ihren Art.-27-Status und führt direkt in die Vertretungsanfrage.

Rechtsberatung zu Vertreterpflichten — Kanzlei Theo Funk (gesondertes Mandat)