Skip to main content

Gilt die Einhaltung der DSGVO für US-Unternehmen?

Der transatlantische Handel ist für die Weltwirtschaft von entscheidender Bedeutung, aber der sich entwickelnde Rahmen internationaler Datenschutzgesetze hat einen echten Einfluss darauf, wie Unternehmen auf beiden Seiten des großen Teichs operieren können.

Dieser Artikel enthält Informationen für US-Unternehmen, die ihre Richtlinien und Verfahren an die strengen Datenschutzgesetze der DSGVO anpassen wollen, und zeigt auf, warum dieser Prozess so wichtig ist. Er befasst sich auch mit dem territorialen Geltungsbereich der DSGVO, erörtert, welche US-Unternehmen betroffen sind, und zeigt auf, wie sie die DSGVO-Anforderungen erfüllen können.

Fangen wir gleich damit an.

Warum ist die DSGVO für US-Unternehmen von Bedeutung?

DSGVO ist das Datenschutzgesetz der Europäischen Union, das die personenbezogenen Daten von EU-Bürgern vor kommerziellem Missbrauch schützt.

Wenn es sich also um ein EU-Gesetz handelt, warum sollten US-Unternehmen davon betroffen sein?

Kurz gesagt, weil das Gesetz einen "extraterritorialen" Geltungsbereich hat, d. h. es betrifft Unternehmen auf der ganzen Welt. Entscheidend ist, dass die USA kein Datenschutzabkommen mit der EU haben, was verhindern würde, dass sich ihre Unternehmen direkt mit der Einhaltung der DSGVO befassen müssten.Der US-EU-Datenschutzschild wurde von der Europäischen Kommission gekippt, nachdem in der Schrems-II-Entscheidung festgestellt wurde, dass die US-Datenschutzgesetze die personenbezogenen Daten von EU-Bürgern nicht ausreichend vor staatlichen Eingriffen schützen. Die Einhaltung der DSGVO ist jedoch keine schlechte Sache - nicht zuletzt, weil sie das Vertrauen der Kunden stärken kann, die sich zunehmend Gedanken darüber machen, was mit ihren personenbezogenen Daten online geschieht. Überall auf der Welt werden neue Datenschutzgesetze nach dem Vorbild der DSGVO eingeführt, und die Einhaltung des europäischen Rahmens bedeutet im Grunde die Einhaltung aller dieser Gesetze, so dass Ihr Unternehmen international tätig sein kann, ohne mit der Datenschutzpolizei in Konflikt zu geraten. In den USA selbst ist der California Consumer Privacy Act (CCPA) weithin als "Amerikas DSGVO" bekannt, und sein Nachfolger - der California Privacy Rights Act (CPRA) - wird die Datenschutzgesetze im bevölkerungsreichsten Bundesstaat noch näher an den EU-Standard heranführen. Und da mehr als 30 weitere Bundesstaaten dabei sind, Gesetzesentwürfe auszuarbeiten, wird die Einhaltung des Datenschutzes bald zur neuen Normalität für US-Unternehmen werden.

Wann ist die DSGVO für US-Unternehmen relevant?

Gemäß Artikel 3 betrifft die DSGVO alle US-Unternehmen, die eine oder mehrere der folgenden Bedingungen erfüllen:

  • Sie sind in der EU ansässig oder haben dort eine Niederlassung
  • Sie sind nicht in der EU ansässig, haben aber in der EU ansässige Nutzer
  • Sie sind nicht in der EU ansässig, überwachen aber das Verhalten von Nutzern in der EU.

In der Praxis bedeutet dies, dass jedes US-amerikanische Unternehmen - auch wenn es nicht in der EU tätig ist - betroffen ist, das über die personenbezogenen Daten auch nur einer in Europa lebenden Person verfügt. Darüber hinaus sind alle Arten von Unternehmen betroffen - öffentliche und private gleichermaßen. Es ist auch wichtig, daran zu denken, dass die Definition personenbezogener Daten im Rahmen der DSGVO weiter gefasst ist als die vieler Datenschutzgesetze in den USA, die in der Regel nur Daten schützen, die zur Begehung von Betrug verwendet werden können. Im Rahmen der DSGVO gelten als personenbezogene Daten alle Daten, die zur Identifizierung einer Person verwendet werden können - wir haben bereits früher über dieses Thema geschrieben, und zu verstehen, welche Informationen darunter fallen und welche nicht, ist ein guter Ausgangspunkt für die Erfüllung der gesetzlichen Anforderungen.

Was sind die Konsequenzen bei Nichteinhaltung?

Unternehmen, die personenbezogene Daten in der EU missbraucht haben, können mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes des letzten Jahres belegt werden - je nachdem, welcher Betrag höher ist. US-Unternehmen wurden nicht verschont, und die Berichte über die hohen Geldstrafen, die gegen sie verhängt wurden, sorgen regelmäßig für Schlagzeilen. Die meisten der bisher verhängten Bußgelder wurden gegen US-Tech-Giganten wie Amazon, Meta (Facebook) und Alphabet (Google) verhängt. Neben den finanziellen Strafen müssen die sanktionierten Unternehmen in Zukunft auch mit regelmäßigen Datenschutzaudits und sogar mit dem Risiko rechnen, dass ihnen die Erhebung personenbezogener Daten in der EU untersagt wird - mit enormen Auswirkungen auf die Einnahmen und den Ruf eines Unternehmens.

Wie können US-Unternehmen die Datenschutzgesetze einhalten?

US-Unternehmen müssen beim Umgang mit personenbezogenen Daten aus der EU eine ganze Reihe von Standards einhalten. Dazu gehören:

  • Legen Sie die Rechtsgrundlage für die Verarbeitung personenbezogener Daten fest
  • Wenn Ihre Rechtsgrundlage die Einwilligung ist, stellen Sie sicher, dass es sich um eine "frei erteilte, spezifische, informierte und ausdrückliche" Einwilligung handelt.
  • Stellen Sie sicher, dass die Nutzer ihre Einwilligung jederzeit problemlos widerrufen können.
  • Dokumentieren Sie alles, um für ein Datenaudit gerüstet zu sein
  • Legen Sie umfassend offen, welche Daten erhoben werden, wie sie gespeichert werden und was mit ihnen geschieht - am besten in den Datenschutzhinweisen Ihres Unternehmens
  • Legen Sie Verfahren fest, die es den Nutzern ermöglichen, gespeicherte personenbezogene Daten problemlos zu aktualisieren oder zu löschen und sie auf Anfrage an andere Organisationen weiterzugeben.
  • Überlegen Sie, ob Ihr Unternehmen einen Datenschutzbeauftragten ernennen muss.
  • Wenn Sie personenbezogene Daten in Länder außerhalb der EU übertragen, sollten Sie Standardvertragsklauseln unterzeichnen, die Regeln für den Datenschutz im Einklang mit den Anforderungen der Datenschutz-Grundverordnung festlegen.

Was können US-Unternehmen sonst noch tun?

Die vollständige Einhaltung der DSGVO geht natürlich weit über die oben genannten Punkte hinaus, denn während sie für die EU-Bürger und ihre sensiblen persönlichen Daten von großem Nutzen war, war die Erfüllung der DSGVO-Anforderungen für Unternehmen ein Albtraum - wobei die meiste Arbeit auf die Vermarkter entfiel. Wenn Sie nach detaillierteren Informationen über die Einhaltung der Vorschriften suchen, sollten Sie einen Blick auf unseren ausführlichen DSGVO-Hub werfen - dort finden Sie alles, was Sie wissen müssen. Alternativ haben wir eine DSGVO-Compliance-Checkliste erstellt, die Informationen über alle praktischen Schritte enthält, die ein Unternehmen befolgen muss, um sicherzustellen, dass es sich an den Wortlaut des Gesetzes hält.