Seit ihrer Durchsetzung im Jahr 2018 war eine der am häufigsten gestellten Fragen zur DSGVO: Gilt sie auch außerhalb der Europäischen Union? Und genauer gesagt: Gilt sie für US-Unternehmen?
In diesem Beitrag beantworten wir diese Frage und erklären, was US-Unternehmen tun müssen, um die Vorschriften einzuhalten (und Bußgelder zu vermeiden!).
In den meisten Fällen ist das der Fall.
Die Datenschutz-Grundverordnung hat einen extraterritorialen Geltungsbereich, das heißt, sie kann auch außerhalb der Europäischen Union gelten. Die Verordnung dient dem Schutz der europäischen Nutzer und kann daher auch für ausländische Unternehmen gelten.
Um genauer zu sein, müssen Sie mindestens eine der folgenden Anforderungen erfüllen, damit die DSGVO für Ihre US-Unternehmen gilt:
Hier ein praktisches Beispiel aus den Leitlinien des Europäischen Datenschutzausschusses:
Ein Start-up-Unternehmen mit Sitz in den USA, das in der EU weder eine Geschäftspräsenz noch eine Niederlassung hat, bietet eine Stadtplananwendung für Touristen an. Die Anwendung verarbeitet personenbezogene Daten über den Standort der Kunden, die die App nutzen, um gezielte Werbung für Sehenswürdigkeiten, Restaurants, Bars und Hotels anzubieten. Die Anwendung ist für Touristen verfügbar, wenn sie New York, San Francisco, Toronto, Paris und Rom besuchen. Das US-Start-up richtet sich gezielt an Personen in der Union (insbesondere in Paris und Rom), indem es ihnen seine Dienste anbietet, wenn sie sich in der Union aufhalten. Die Verarbeitung der personenbezogenen Daten der in der EU ansässigen betroffenen Personen in Verbindung mit dem Angebot des Dienstes fällt in den Anwendungsbereich der Datenschutz-Grundverordnung. Durch die Verarbeitung der Standortdaten der betroffenen Person, um gezielte Werbung anbieten zu können, beziehen sich die Verarbeitungstätigkeiten auch auf die Überwachung des Verhaltens von Personen in der Union. Die Verarbeitung des US-Start-ups fällt daher ebenfalls in den Anwendungsbereich der DSGVO.
Eine ausführlichere Erklärung finden Sie in diesem Video.
Es ist daher ein Irrtum zu glauben, dass die DSGVO, da sie eine europäische Verordnung ist, US-Unternehmen überhaupt nicht betrifft.
Wie bereits erwähnt, kann der extraterritoriale Anwendungsbereich es den europäischen Datenschutzbehörden ermöglichen, die Datenschutz-Grundverordnung außerhalb der Europäischen Union durchzusetzen.
Die Durchsetzung kann auf unterschiedliche Weise erfolgen.
Am “furchteinflößendsten” sind sicherlich die Geldbußen: Sie können bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen. Aber vielleicht ebenso besorgniserregend sind die anderen potenziellen Sanktionen: offizielle Verwarnungen (bei erstmaligen Verstößen), regelmäßige Datenschutzaudits und Haftungsschäden.
Damit Ihr US-amerikanisches Unternehmen die DSGVO einhalten kann, müssen Sie die folgenden Schritte befolgen:
Bei iubenda verfolgen wir einen umfassenden Ansatz zur Einhaltung von Datengesetzen. Wir entwickeln Lösungen unter Berücksichtigung der strengsten Vorschriften und geben Ihnen alle Möglichkeiten, diese nach Bedarf anzupassen. Auf diese Weise unterstützen wir Sie bei der Erfüllung Ihrer rechtlichen Verpflichtungen, verringern das Risiko von Rechtsstreitigkeiten und schützen Ihre Kunden – das schafft Vertrauen und Glaubwürdigkeit.
Sie können einen Blick auf unsere Lösungen für die Einhaltung der GDPR werfen hier.