DSGVO

EU-Vertreter nach Art. 27 DSGVO: Braucht mein Schweizer Unternehmen einen?

Rédaction ComplianceCore·Publié: 23 avril 2026·8 min de lecture

Ja — wenn Ihr Schweizer Unternehmen keine Niederlassung in der EU hat, aber Personendaten von EU-Personen bearbeitet und dabei Waren oder Dienstleistungen in der EU anbietet oder EU-Nutzende trackt. Art. 27 DSGVO verlangt in diesem Fall die Benennung eines schriftlich beauftragten Vertreters in einem EU-Mitgliedstaat. Die Pflicht gilt auch im B2B und kostet ab EUR 350 pro Jahr. Fehlt der Vertreter, drohen Bussen bis EUR 10 Millionen.

Art. 27

DSGVO — gesetzliche Grundlage

ab EUR 350

Jährliche Kosten für einen EU-Vertreter

EUR 10 Mio.

Max. Busse bei fehlendem Vertreter

Wann ist ein EU-Vertreter Pflicht?

Art. 27 DSGVO adressiert Unternehmen, die der DSGVO unterliegen, aber keine Niederlassung in der EU haben. Für Schweizer Unternehmen bedeutet das: Die Vertreterpflicht tritt ein, wenn gleichzeitig drei Bedingungen erfüllt sind:

Kein EU-Sitz — Das Unternehmen hat keine Niederlassung, Tochtergesellschaft oder Filiale in einem EU-Mitgliedstaat.
Personendaten von EU-Personen — Es werden Daten von natürlichen Personen bearbeitet, die sich in der EU befinden — egal ob Kunden, Interessenten oder B2B-Kontakte.
Marktortprinzip greift — Das Unternehmen bietet Waren oder Dienstleistungen in der EU an ODER beobachtet das Verhalten von EU-Personen (Tracking, Webanalyse, Profiling).

⚠️

Auch B2B löst die Pflicht aus. Die DSGVO unterscheidet nicht zwischen Endkunden und Geschäftskunden. Die E-Mail-Adresse m.mueller@eu-firma.de ist ein Personendatum von Markus Müller — einer natürlichen Person in der EU. Sobald ein Schweizer Unternehmen solche Kontakte in seinem CRM führt und die EU-Firma beliefert, greift die Vertreterpflicht in der Regel.

Brauche ich einen EU-Vertreter? — Entscheidungsbaum

?Hat Ihr Unternehmen eine Niederlassung, Tochtergesellschaft oder Filiale in der EU?

✓Ja → Kein EU-Vertreter nötig — Sie unterliegen der DSGVO direkt über Ihre EU-Niederlassung

?Nein — Unterliegt Ihr Unternehmen der DSGVO nach dem Marktortprinzip (Art. 3 Abs. 2 DSGVO)?

✓Nein → Keine Vertreterpflicht (DSGVO gilt nicht für Ihr Unternehmen)

?Ja — Greift die Ausnahme nach Art. 27 Abs. 2 DSGVO? Alle drei Bedingungen gleichzeitig: nur gelegentliche Bearbeitung UND keine besonders schützenswerten Daten UND kein hohes Risiko.

✓Ja, alle drei treffen zu → Ausnahme möglich — rechtliche Prüfung empfohlen (Prüfaufwand oft teurer als Vertretung)

✗Nein, mindestens eine trifft nicht zu → EU-Vertreter nach Art. 27 DSGVO ist Pflicht

Die Ausnahme nach Art. 27 Abs. 2 DSGVO

Das Gesetz kennt eine Ausnahme von der Vertreterpflicht — aber sie ist eng gefasst. Alle drei Bedingungen müssen gleichzeitig erfüllt sein:

#	Bedingung	Was das in der Praxis bedeutet
1	Nur gelegentliche Verarbeitung	«Gelegentlich» wird von Aufsichtsbehörden streng ausgelegt. Ein CRM mit laufend aktualisierten EU-Kontakten ist nicht gelegentlich. Eine einmalige Projektarbeit mit einem EU-Kunden könnte es sein. Im Zweifel: nicht gelegentlich.
2	Keine besonders schützenswerten Daten	Keine Gesundheitsdaten, politischen Meinungen, biometrischen Daten, religiösen Überzeugungen oder Strafregisterdaten von EU-Personen.
3	Kein hohes Risiko für Betroffene	Die Bearbeitung darf voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen — z.B. kein Profiling, keine Scoring-Systeme, keine Massenverarbeitung.

ℹ️

Pragmatische Entscheidung: Der Aufwand für die juristische Prüfung, ob alle drei Ausnahme-Bedingungen zutreffen, ist in den meisten Fällen teurer als die Bestellung eines EU-Vertreters (ab EUR 350/Jahr). Für die grosse Mehrheit der Schweizer KMU mit EU-Kontakten ist die Bestellung die schnellere und sicherere Lösung.

Praxisbeispiele: Wer braucht einen EU-Vertreter?

Uhren-Onlineshop (Biel, 8 MA) — Pflicht

Verkauft Uhren an Endkunden in DE, FR, IT. Website mit Google Analytics und Meta Pixel. Kundendatenbank mit EU-Lieferadressen und E-Mail-Adressen. Dreifach betroffen: Warenlieferung + Tracking + Kundendaten. EU-Vertreter zwingend erforderlich.

Hotelier (Graubünden, 25 MA) — Pflicht

Nimmt Online-Buchungen von EU-Gästen entgegen. Speichert Name, E-Mail, Zahlungsdaten, Reisedaten. Marketing-Newsletter an EU-E-Mail-Adressen. Das Angebot ist erkennbar auf EU-Touristen ausgerichtet (DE/FR/IT-Website, EU-Währung). Vertreterpflicht greift.

B2B-Treuhandbüro (Zürich, 12 MA) — Pflicht

Betreut Schweizer Tochtergesellschaften von deutschen und österreichischen Konzernen. Hat Kontaktdaten (Name, E-Mail, Telefon, Funktion) von Dutzenden deutschen Mitarbeitenden im CRM. DSGVO gilt: B2B-Kontaktdaten sind Personendaten. Nicht gelegentlich. Vertreter nötig.

SaaS-Startup (Zug, 5 MA) — Pflicht

Software-Plattform mit Kunden in DE und AT. Verarbeitet als Auftragsbearbeiter Personendaten der Endkunden seiner Klienten. Eigene Website mit Tracking. Doppelt betroffen: Als Auftragsbearbeiter für EU-Kundendaten UND als Verantwortlicher für Website-Besucher. EU-Vertreter zwingend.

Lokaler Handwerksbetrieb (Luzern, 3 MA) — Prüfen

Arbeitet ausschliesslich für lokale Schweizer Kunden. Website ohne Tracking, keine EU-Kunden, kein Newsletter. Einzige EU-Berührung: Kontaktdaten eines deutschen Lieferanten-Ansprechpartners. Menge und Häufigkeit gering — Ausnahme könnte greifen. Rechtliche Prüfung empfohlen.

Anbieter-Übersicht: EU-Vertreter für Schweizer Unternehmen

Spezialisierte Dienstleister übernehmen die gesetzlich vorgeschriebene Vertreter-Funktion. Der Vertreter muss in einem EU-Mitgliedstaat ansässig sein, schriftlich beauftragt werden und als Anlaufstelle für EU-Aufsichtsbehörden und Betroffene zur Verfügung stehen.

Anbieter	Standort	Preis (ca.)	Hinweis
dsgvo-vertreter.eu	Deutschland	ab EUR 350/Jahr	Spezialisierter Anbieter, günstigste Option, mehrsprachig
dsgvo-vertreter.ch	Schweiz / DE	Auf Anfrage	Speziell auf Schweizer Unternehmen ausgerichtet
Swiss Infosec (DE) GmbH	Berlin	Auf Anfrage	Tochterfirma von Swiss Infosec AG; kombinierbar mit Beratung
e-comtrust international AG	Grenzach-Wyhlen (DE)	Auf Anfrage	Fokus auf Onlineshop-Betreiber und E-Commerce
OBSECOM GmbH	Deutschland	Auf Anfrage	Breit aufgestellt, mehrere EU-Sprachen
Datenschutzpartner AG	Schweiz (Steiger Legal)	Auf Anfrage	Kombiniert mit rechtlicher Beratung durch Datenschutzanwalt

ℹ️

Was der Vertreter leisten muss: Er muss als Anlaufstelle für EU-Aufsichtsbehörden und für Betroffene bereitstehen, die ihre Rechte geltend machen. Er muss erreichbar sein und auf Anfragen reagieren können. Er haftet nicht selbst — die Verantwortung bleibt beim beauftragenden Unternehmen.

Bussen und Präzedenzfälle

Das Fehlen eines EU-Vertreters ist kein Kavaliersdelikt. Art. 83 Abs. 4 lit. a DSGVO sieht für Verstösse gegen Art. 27 Bussen von bis zu EUR 10 Millionen oder 2% des weltweiten Jahresumsatzes vor — je nachdem welcher Betrag höher ist.

🚨

Präzedenzfall Clearview AI: Die italienische Datenschutzbehörde Garante verhängte EUR 20 Millionen gegen Clearview AI — unter anderem wegen Verletzung von Art. 27 DSGVO (fehlender EU-Vertreter). Der Fall zeigt: Aufsichtsbehörden ahnden das Fehlen des Vertreters aktiv und kombinieren es mit weiteren Verstössen zu empfindlichen Gesamtbussen.

Die Busse für den fehlenden EU-Vertreter (bis EUR 10 Mio.) ist kumulativ zu allfälligen anderen DSGVO-Verstössen. Ein Unternehmen, das weder einen EU-Vertreter hat noch ein VVT führt noch Auskunftsbegehren beantwortet, riskiert mehrere parallele Bussverfahren.

Häufige Fragen

Wann braucht ein Schweizer Unternehmen einen EU-Vertreter nach Art. 27 DSGVO?+

Immer dann, wenn das Schweizer Unternehmen keine Niederlassung in der EU hat, aber Personendaten von EU-Personen bearbeitet UND dabei Waren oder Dienstleistungen in der EU anbietet ODER das Verhalten von EU-Personen beobachtet. Die Pflicht gilt auch im B2B — Geschäftskontaktdaten von EU-Mitarbeitenden sind Personendaten.

Was kostet ein EU-Vertreter?+

Spezialisierte Anbieter beginnen ab ca. EUR 350 pro Jahr. Der Aufwand für die juristische Prüfung, ob die Ausnahme nach Art. 27 Abs. 2 DSGVO greift, übersteigt in der Regel diesen Betrag. Für die meisten KMU ist die Bestellung eines Vertreters die günstigste und sicherste Option.

Was sind die Bussen wenn ich keinen EU-Vertreter habe?+

Bis zu EUR 10 Millionen oder 2% des weltweiten Jahresumsatzes — je nachdem welcher Betrag höher ist (Art. 83 Abs. 4 lit. a DSGVO). Im Fall Clearview AI verhängte die italienische Aufsichtsbehörde EUR 20 Millionen, unter anderem wegen fehlender Vertretung nach Art. 27.

Gilt die EU-Vertreter-Pflicht auch für B2B?+

Ja. Die DSGVO unterscheidet nicht zwischen B2B und B2C. Sobald ein Schweizer Unternehmen Kontaktdaten von Mitarbeitenden eines EU-Unternehmens speichert (Name, E-Mail, Telefon), bearbeitet es Personendaten von natürlichen Personen in der EU. Die Vertreterpflicht greift in der Regel.

Wann greift die Ausnahme von Art. 27 Abs. 2 DSGVO?+

Nur wenn alle drei Bedingungen gleichzeitig erfüllt sind: (1) nur gelegentliche Verarbeitung, (2) keine besonders schützenswerten Daten, (3) kein hohes Risiko. «Gelegentlich» wird streng ausgelegt — ein CRM mit EU-Kontakten ist nicht gelegentlich. Der Prüfaufwand übersteigt meist die Kosten der Vertretung (ab EUR 350/Jahr).

EU-Vertreter direkt über ComplianceCore bestellen

Wir verbinden Sie mit geprüften EU-Vertreter-Dienstleistern — schriftliche Beauftragung, DSGVO-konformes Mandat, direkte Integration in Ihre ComplianceCore-Dokumentation.

EU-Vertreter jetzt einrichten

Ces informations sont fournies à titre informatif et ne constituent pas un conseil juridique.

Articles connexes

Grundlagen

revDSG vs. DSGVO: Die wichtigsten Unterschiede für Schweizer Unternehmen

Lire l'article →

Grundlagen

Neues Datenschutzgesetz Schweiz (revDSG): Was KMU jetzt wissen müssen

Lire l'article →

Risiko

Datenschutzverletzung melden: So funktioniert die Meldung an den EDÖB

Lire l'article →