Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Gilt die Datenschutz-Grundverordnung für US-Unternehmen?

Seit ihrer Durchsetzung im Jahr 2018 war eine der am häufigsten gestellten Fragen zur DSGVO: Gilt sie auch außerhalb der Europäischen Union? Und genauer gesagt: Gilt sie für US-Unternehmen?

In diesem Beitrag beantworten wir diese Frage und erklären, was US-Unternehmen tun müssen, um die Vorschriften einzuhalten (und Bußgelder zu vermeiden!).

Does the GDPR apply to US companies?

Gilt die GDPR für die USA?

In den meisten Fällen ist das der Fall.

Die Datenschutz-Grundverordnung hat einen extraterritorialen Geltungsbereich, das heißt, sie kann auch außerhalb der Europäischen Union gelten. Die Verordnung dient dem Schutz der europäischen Nutzer und kann daher auch für ausländische Unternehmen gelten.

Um genauer zu sein, müssen Sie mindestens eine der folgenden Anforderungen erfüllen, damit die DSGVO für Ihre US-Unternehmen gilt:

  1. Ihr Unternehmen hat seinen Sitz in der EU (bitte beachten Sie, dass dies auch für eine EU-Niederlassung gilt);
  2. Sie haben Ihren Sitz nicht in der EU, bieten aber Waren oder Dienstleistungen (auch kostenlos) für Nutzer in der EU an;
  3. Sie haben Ihren Sitz nicht in der EU, beobachten aber das Verhalten von Nutzern in der EU.

Hier ein praktisches Beispiel aus den Leitlinien des Europäischen Datenschutzausschusses:

Ein Start-up-Unternehmen mit Sitz in den USA, das in der EU weder eine Geschäftspräsenz noch eine Niederlassung hat, bietet eine Stadtplananwendung für Touristen an. Die Anwendung verarbeitet personenbezogene Daten über den Standort der Kunden, die die App nutzen, um gezielte Werbung für Sehenswürdigkeiten, Restaurants, Bars und Hotels anzubieten. Die Anwendung ist für Touristen verfügbar, wenn sie New York, San Francisco, Toronto, Paris und Rom besuchen. Das US-Start-up richtet sich gezielt an Personen in der Union (insbesondere in Paris und Rom), indem es ihnen seine Dienste anbietet, wenn sie sich in der Union aufhalten. Die Verarbeitung der personenbezogenen Daten der in der EU ansässigen betroffenen Personen in Verbindung mit dem Angebot des Dienstes fällt in den Anwendungsbereich der Datenschutz-Grundverordnung. Durch die Verarbeitung der Standortdaten der betroffenen Person, um gezielte Werbung anbieten zu können, beziehen sich die Verarbeitungstätigkeiten auch auf die Überwachung des Verhaltens von Personen in der Union. Die Verarbeitung des US-Start-ups fällt daher ebenfalls in den Anwendungsbereich der DSGVO.

Eine ausführlichere Erklärung finden Sie in diesem Video.

Wie kann sich die Datenschutz-Grundverordnung auf US-Unternehmen auswirken?

Es ist daher ein Irrtum zu glauben, dass die DSGVO, da sie eine europäische Verordnung ist, US-Unternehmen überhaupt nicht betrifft.

Wie bereits erwähnt, kann der extraterritoriale Anwendungsbereich es den europäischen Datenschutzbehörden ermöglichen, die Datenschutz-Grundverordnung außerhalb der Europäischen Union durchzusetzen.

Die Durchsetzung kann auf unterschiedliche Weise erfolgen.

Am “furchteinflößendsten” sind sicherlich die Geldbußen: Sie können bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen. Aber vielleicht ebenso besorgniserregend sind die anderen potenziellen Sanktionen: offizielle Verwarnungen (bei erstmaligen Verstößen), regelmäßige Datenschutzaudits und Haftungsschäden.

GDPR-Anforderungen für US-Unternehmen: Wie man sie erfüllt

Damit Ihr US-amerikanisches Unternehmen die DSGVO einhalten kann, müssen Sie die folgenden Schritte befolgen:

  1. Sie müssen eine rechtmäßige Grundlage haben: die DSGVO verlangt, dass Sie mindestens eine Rechtsgrundlage für die Verarbeitung von Nutzerdaten haben.
  2. Holen Sie eine überprüfbare Zustimmung ein: Während die US-Gesetzgebung die Erhebung und Verarbeitung personenbezogener Daten in der Regel ohne die Zustimmung des Nutzers zulässt, verlangt die DSGVO, dass Sie eine “frei erteilte, spezifische, informierte und ausdrückliche” Zustimmung durch eine klare “Opt-in”-Aktion einholen.
  3. Führen Sie klare Aufzeichnungen über die Einwilligung: Die DSGVO räumt den Nutzern auch das Recht ein, ihre Einwilligung zu widerrufen, und deshalb muss es ebenso einfach sein, die Einwilligung zu widerrufen, wie sie zu erteilen. Da die Einwilligung nach der DSGVO ein so wichtiges Thema ist, ist es wichtig, dass Sie die Einwilligung dokumentieren und klare Aufzeichnungen darüber führen.
  4. Ernennung eines Datenschutzbeauftragten (DSB): Wenn Sie Ihren Sitz außerhalb der EU haben, benötigen Sie möglicherweise dennoch einen europäischen Vertreter, um sicherzustellen, dass Ihr Unternehmen die Datenschutz-Grundverordnung einhält. Die Ernennung eines behördlichen Datenschutzbeauftragten ist jedoch nicht immer obligatorisch, und Sie sollten bestimmte Anforderungen erfüllen (Sie können sie lesen hier).
  5. Durchführung einer Datenschutz-Folgenabschätzung (DPIA): Wenn bestimmte Bedingungen erfüllt sind und in Fällen, in denen die Datenverarbeitungsaktivität wahrscheinlich zu einem hohen Risiko für die Nutzer führt, verlangt die DSGVO die Durchführung einer Datenschutz-Folgenabschätzung (DPIA).

Wie iubenda bei der Einhaltung der GDPR helfen kann

Bei iubenda verfolgen wir einen umfassenden Ansatz zur Einhaltung von Datengesetzen. Wir entwickeln Lösungen unter Berücksichtigung der strengsten Vorschriften und geben Ihnen alle Möglichkeiten, diese nach Bedarf anzupassen. Auf diese Weise unterstützen wir Sie bei der Erfüllung Ihrer rechtlichen Verpflichtungen, verringern das Risiko von Rechtsstreitigkeiten und schützen Ihre Kunden – das schafft Vertrauen und Glaubwürdigkeit.

Sie können einen Blick auf unsere Lösungen für die Einhaltung der GDPR werfen hier.

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com