Simon Coulthard August 05, 2022
Der transatlantische Handel ist für die Weltwirtschaft von entscheidender Bedeutung, aber der sich entwickelnde Rahmen internationaler Datenschutzgesetze hat einen echten Einfluss darauf, wie Unternehmen auf beiden Seiten des großen Teichs operieren können.
Dieser Artikel enthält Informationen für US-Unternehmen, die ihre Richtlinien und Verfahren an die strengen Datenschutzgesetze der DSGVO anpassen wollen, und zeigt auf, warum dieser Prozess so wichtig ist. Er befasst sich auch mit dem territorialen Geltungsbereich der DSGVO, erörtert, welche US-Unternehmen betroffen sind, und zeigt auf, wie sie die DSGVO-Anforderungen erfüllen können.
Fangen wir gleich damit an.
DSGVO ist das Datenschutzgesetz der Europäischen Union, das die personenbezogenen Daten von EU-Bürgern vor kommerziellem Missbrauch schützt.
Wenn es sich also um ein EU-Gesetz handelt, warum sollten US-Unternehmen davon betroffen sein?
Kurz gesagt, weil das Gesetz einen "extraterritorialen" Geltungsbereich hat, d. h. es betrifft Unternehmen auf der ganzen Welt. Entscheidend ist, dass die USA kein Datenschutzabkommen mit der EU haben, was verhindern würde, dass sich ihre Unternehmen direkt mit der Einhaltung der DSGVO befassen müssten.Der US-EU-Datenschutzschild wurde von der Europäischen Kommission gekippt, nachdem in der Schrems-II-Entscheidung festgestellt wurde, dass die US-Datenschutzgesetze die personenbezogenen Daten von EU-Bürgern nicht ausreichend vor staatlichen Eingriffen schützen. Die Einhaltung der DSGVO ist jedoch keine schlechte Sache - nicht zuletzt, weil sie das Vertrauen der Kunden stärken kann, die sich zunehmend Gedanken darüber machen, was mit ihren personenbezogenen Daten online geschieht. Überall auf der Welt werden neue Datenschutzgesetze nach dem Vorbild der DSGVO eingeführt, und die Einhaltung des europäischen Rahmens bedeutet im Grunde die Einhaltung aller dieser Gesetze, so dass Ihr Unternehmen international tätig sein kann, ohne mit der Datenschutzpolizei in Konflikt zu geraten. In den USA selbst ist der California Consumer Privacy Act (CCPA) weithin als "Amerikas DSGVO" bekannt, und sein Nachfolger - der California Privacy Rights Act (CPRA) - wird die Datenschutzgesetze im bevölkerungsreichsten Bundesstaat noch näher an den EU-Standard heranführen. Und da mehr als 30 weitere Bundesstaaten dabei sind, Gesetzesentwürfe auszuarbeiten, wird die Einhaltung des Datenschutzes bald zur neuen Normalität für US-Unternehmen werden.
Gemäß Artikel 3 betrifft die DSGVO alle US-Unternehmen, die eine oder mehrere der folgenden Bedingungen erfüllen:
In der Praxis bedeutet dies, dass jedes US-amerikanische Unternehmen - auch wenn es nicht in der EU tätig ist - betroffen ist, das über die personenbezogenen Daten auch nur einer in Europa lebenden Person verfügt. Darüber hinaus sind alle Arten von Unternehmen betroffen - öffentliche und private gleichermaßen. Es ist auch wichtig, daran zu denken, dass die Definition personenbezogener Daten im Rahmen der DSGVO weiter gefasst ist als die vieler Datenschutzgesetze in den USA, die in der Regel nur Daten schützen, die zur Begehung von Betrug verwendet werden können. Im Rahmen der DSGVO gelten als personenbezogene Daten alle Daten, die zur Identifizierung einer Person verwendet werden können - wir haben bereits früher über dieses Thema geschrieben, und zu verstehen, welche Informationen darunter fallen und welche nicht, ist ein guter Ausgangspunkt für die Erfüllung der gesetzlichen Anforderungen.
Unternehmen, die personenbezogene Daten in der EU missbraucht haben, können mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes des letzten Jahres belegt werden - je nachdem, welcher Betrag höher ist.
US-Unternehmen wurden nicht verschont, und die Berichte über die hohen Geldstrafen, die gegen sie verhängt wurden, sorgen regelmäßig für Schlagzeilen. Die meisten der bisher verhängten Bußgelder wurden gegen US-Tech-Giganten wie Amazon, Meta (Facebook) und Alphabet (Google) verhängt.
Meta hat kürzlich versucht, die DSGVO-Anforderungen zu umgehen, indem es kostenpflichtige Facebook- und Instagram-Pläne für Benutzer einführt, die nicht verfolgt werden möchten, was eine dystopische Ära einläuten könnte, in der Datenschutzrechte monetarisiert werden.
Neben den finanziellen Strafen müssen die sanktionierten Unternehmen in Zukunft auch mit regelmäßigen Datenschutzaudits und sogar mit dem Risiko rechnen, dass ihnen die Erhebung personenbezogener Daten in der EU untersagt wird - mit enormen Auswirkungen auf die Einnahmen und den Ruf eines Unternehmens.
US-Unternehmen müssen beim Umgang mit personenbezogenen Daten aus der EU eine ganze Reihe von Standards einhalten. Dazu gehören:
Die vollständige Einhaltung der DSGVO geht natürlich weit über die oben genannten Punkte hinaus, denn während sie für die EU-Bürger und ihre sensiblen persönlichen Daten von großem Nutzen war, war die Erfüllung der DSGVO-Anforderungen für Unternehmen ein Albtraum - wobei die meiste Arbeit auf die Vermarkter entfiel. Wenn Sie nach detaillierteren Informationen über die Einhaltung der Vorschriften suchen, sollten Sie einen Blick auf unseren ausführlichen DSGVO-Hub werfen - dort finden Sie alles, was Sie wissen müssen. Alternativ haben wir eine DSGVO-Compliance-Checkliste erstellt, die Informationen über alle praktischen Schritte enthält, die ein Unternehmen befolgen muss, um sicherzustellen, dass es sich an den Wortlaut des Gesetzes hält.
Gewinnen Sie erstklassige Einblicke und bieten Sie innovativen Datenschutz und Sicherheit
Halten Sie Schritt mit der Welt der datenschutzfreundlichen Analytik mit einer monatlichen Zusammenstellung von Neuigkeiten, Ratschlägen und Updates!