Gilt die DSGVO auch für Unternehmen außerhalb der EU?
Im Jahr 2018 hat die Europäische Union (EU) die Datenschutz-Grundverordnung (DSGVO) eingeführt. Sie regelt die Erhebung und Verwendung personenbezogener Daten durch alle privaten und öffentlichen Stellen. Die Verordnung gilt ausschließlich für die personenbezogenen Daten von EU-Bürgern. Das bedeutet, dass Unternehmen außerhalb der EU nicht davon ausgenommen sind. Vielmehr gilt die DSGVO unter bestimmten Voraussetzungen auch für Nicht-EU-Unternehmen.
Im Folgenden erläutern wir die Bedingungen, unter denen Unternehmen außerhalb der EU die DSGVO befolgen müssen. Und auch, was passiert, wenn sie es nicht tun.
Überblick über die DSGVO
Die DSGVO ist ein von der EU entwickelter Rechtsrahmen, der im Mai 2018 in Kraft getreten ist. Sie soll den EU-Bürgern eine größere Kontrolle über die Erhebung und Verwendung ihrer Daten im Internet geben und verpflichtet Unternehmen zu einer Reihe von Grundsätzen und Datenschutzrechten, die in der Verordnung verankert sind.
Dazu gehören die Beschränkung der Datenerhebung auf wesentliche Zwecke, die sichere Speicherung von Daten und die Sicherstellung, dass die Datenerhebung rechtmäßig, fair und transparent ist. EU-Bürger müssen auch aktiv in ihre Datenerhebung einwilligen.
Die Verordnung kam nach mehreren hochkarätigen Leaks von Großunternehmen. Es gab auch Bedenken hinsichtlich des Datenschutzes, die von EU-Bürgern geäußert wurden, die befürchteten, dass ihre personenbezogenen Daten heimlich ohne ihre Zustimmung gesammelt wurden.
Aus diesem Grund hat die EU die DSGVO entworfen: das derzeit strengste Datenschutzgesetz weltweit.
Die DSGVO gilt weltweit
So wie das Internet eine globale Einheit ist, so ist es auch die DSGVO. Durch die Nutzung der Macht der EU verhindert die DSGVO den Missbrauch von Daten von EU-Bürgern überall auf der Welt. Dies wird als „extraterritorialer Effekt“ bezeichnet.
Um Artikel 3 der DSGVO zu zitieren (relevante Abschnitte sind fett hervorgehoben):
- Diese Verordnung gilt für die Verarbeitung personenbezogener Daten im Zusammenhang mit den Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union stattfindet oder nicht.
- Diese Verordnung gilt für die Verarbeitung personenbezogener Daten betroffener Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Verarbeitungstätigkeiten im Zusammenhang stehen mit:
a) das Anbieten von Waren oder Dienstleistungen, unabhängig davon, ob eine Zahlung durch die betroffene Person erforderlich ist, an diese betroffenen Personen in der Union; oder
b) die Überwachung ihres Verhaltens, soweit es innerhalb der Union stattfindet. - Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch einen Verantwortlichen, der nicht in der Union niedergelassen ist, sich aber an einem Ort befindet, an dem das Recht der Mitgliedstaaten aufgrund des Völkerrechts Anwendung findet.
Wann gilt die DSGVO in Nicht-EU-Gebieten?
Wie wir in Artikel 3 der DSGVO sehen können, gibt es zwei Hauptfälle, in denen die DSGVO eine extraterritoriale Wirkung zeigt. Diese sind:
Anbieten von Waren und Dienstleistungen. Da Waren und Dienstleistungen über territoriale Grenzen hinweg frei gehandelt werden, befasst sich die DSGVO in erster Linie damit, wie personenbezogene Daten von EU-Bürgern bei solchen Transaktionen verwendet werden.
Wenn beispielsweise ein EU-Bürger in Dänemark ein Produkt oder eine Dienstleistung von einem Anbieter in Chicago kaufen kann, muss der Anbieter die DSGVO einhalten. Kurz gesagt: Jedes Nicht-EU-Unternehmen, das sich an EU-Kunden richtet, sollte DSGVO-konform sein.
Die Stichworte lauten hier „kann“ und „verpflegen“. Nur weil ein EU-Bürger bei einem Nicht-EU-Unternehmen einkaufen kann, bedeutet das nicht, dass das Unternehmen EU-Bürger bedient. Ein Restaurant in Tokio kann Bestellungen über das Internet entgegennehmen. Sie vermarkten jedoch nicht an EU-Bürger und sind somit von der DSGVO ausgenommen.
Überwachen des Verhaltens. Der häufigste Fall, in dem die DSGVO die reguläre Internetaktivität beeinträchtigt, sind Cookies. Dabei handelt es sich um kleine Softwarestücke, die entwickelt wurden, um die Nutzung einer Website zu verfolgen. Das gilt nach der DSGVO als personenbezogene Daten. Daher muss jede Website, die EU-Bürgern zugänglich ist, bei der Erhebung und Verwendung solcher Daten die DSGVO befolgen.
Das bedeutet, dass fast jede Website im Internet DSGVO-konform sein muss. Kurz gesagt: Ja. Aber so funktioniert es in der Praxis nicht unbedingt. Wenn ein niederländischer Staatsbürger die Website einer vietnamesischen Buchhandlung nutzt, die nicht DSGVO-konform ist, hat das wahrscheinlich nicht viele Konsequenzen. Die DSGVO ist streng – nur nicht so streng.
Welche Ausnahmen gibt es von der extraterritorialen Wirkung?
Es gibt zwei Hauptausnahmen von der extraterritorialen Wirkung der DSGVO:
- Erstens gilt die DSGVO nicht für „rein persönliche oder familiäre Tätigkeiten„. Wenn du also einen Freund hast, der dir aus Frankreich schreibt, bist du nicht verpflichtet, die strengen Datenschutz- und Einwilligungsregeln zu befolgen. Vielmehr müssen nur Organisationen, die eine „berufliche oder gewerbliche Tätigkeit“ ausüben, die DSGVO routinemäßig befolgen. Und mehr noch, zeigen Sie, dass sie dies regelmäßig tun.
- Die DSGVO gilt vor allem für große Unternehmen mit mehr als 250 Mitarbeitern. Kleine und mittlere Unternehmen müssen sich an die DSGVO halten. Dennoch sind sie von den meisten Aufzeichnungspflichten befreit.
Was passiert, wenn ein Nicht-EU-Land die DSGVO nicht einhält?
Sollte ein Unternehmen außerhalb der EU die DSGVO nicht einhalten, kann es mit Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes rechnen – je nachdem, welcher Betrag höher ist.
Das ist eine beträchtliche Summe für jedes Unternehmen. Es kann sogar der Bankrott drohen. Die Einhaltung der DSGVO ist daher nicht nur eine Pflicht; Es ist eine Notwendigkeit.
Wenn Sie ein Unternehmen außerhalb der EU-Gerichtsbarkeit betreiben, achten Sie bitte auf die extraterritorialen Verpflichtungen, denen Ihr Unternehmen unterliegt. Stellen Sie sicher, dass Sie den Buchstaben der Verordnung befolgen, wenn Sie personenbezogene Daten von EU-Bürgern erheben und verwenden.
Es besteht nach wie vor eine gewisse Skepsis darüber, wie Geldbußen gegen Nicht-EU-Unternehmen verhängt werden sollen. Aber es wäre töricht anzunehmen, dass Sie den Konsequenzen einer Nichteinhaltung entgehen können.
Schlussfolgerung
Das ist der Überblick, wann die DSGVO für Nicht-EU-Unternehmen relevant ist. Kurz gesagt: Die DSGVO gilt für Nicht-EU-Organisationen unter zwei Umständen: beim Anbieten von Waren und Dienstleistungen und bei der Überwachung des Verhaltens.
Quellen:
https://www.personneltoday.com/hr/how-does-the-gdpr-apply-to-businesses-outside-the-eu/
https://gdpr.eu/companies-outside-of-europe/
https://www.blakemorgan.co.uk/does-the-gdpr-apply-outside-the-eu-uk/