Gilt die Einhaltung der GDPR für US-Unternehmen?

Der transatlantische Handel ist für die Weltwirtschaft von entscheidender Bedeutung, aber der sich entwickelnde Rahmen internationaler Datenschutzgesetze hat echte Auswirkungen auf die Art und Weise, wie Unternehmen auf beiden Seiten des großen Teichs arbeiten können.

Dieser Artikel enthält Informationen für US-Unternehmen, die ihre Richtlinien und Verfahren an die strengen Datenschutzgesetze der GDPR anpassen wollen, und zeigt auf, warum dieser Prozess so wichtig ist.

Er befasst sich auch mit dem territorialen Geltungsbereich der GDPR, erörtert, welche US-Unternehmen davon betroffen sind, und zeigt auf, wie sie die GDPR-Anforderungen erfüllen können.

Fangen wir gleich damit an.

Warum ist die GDPR für US-Unternehmen von Bedeutung?

GDPR ist das Datenschutzgesetz der Europäischen Union, das die personenbezogenen Daten von EU-Bürgern vor kommerziellem Missbrauch schützt.

Wenn es sich also um ein EU-Gesetz handelt, warum sollten US-Unternehmen davon betroffen sein?

Kurz gesagt, weil das Gesetz einen "extraterritorialen" Geltungsbereich hat, was bedeutet, dass es Unternehmen auf der ganzen Welt betrifft.

Entscheidend ist, dass die USA kein Datenschutzabkommen mit der EU haben, was verhindern würde, dass sich ihre Unternehmen direkt mit der Einhaltung der GDPR befassen müssten.

Der US-EU-Datenschutzschild wurde von der Europäischen Kommission gekippt, nachdem in der Schrems-II-Entscheidung festgestellt wurde, dass die US-Datenschutzgesetze die personenbezogenen Daten von EU-Bürgern nicht ausreichend vor staatlichen Eingriffen schützen.

Die Einhaltung der GDPR ist jedoch keine schlechte Sache - nicht zuletzt, weil sie das Vertrauen der Kunden stärken kann, die sich zunehmend Gedanken darüber machen, was mit ihren personenbezogenen Daten online geschieht.

Überall auf der Welt werden neue Datenschutzgesetze nach dem Vorbild der GDPR eingeführt, und die Einhaltung des europäischen Rahmens bedeutet im Grunde die Einhaltung aller dieser Gesetze, so dass Ihr Unternehmen international tätig sein kann, ohne mit der Datenschutzpolizei in Konflikt zu geraten.

In den USA selbst ist der California Consumer Privacy Act (CCPA) weithin als "Amerikas GDPR" bekannt, und sein Nachfolger - der California Privacy Rights Act (CPRA) - wird die Datenschutzgesetze im bevölkerungsreichsten Bundesstaat sogar noch näher an den EU-Standard heranführen.

Und da mehr als 30 weitere Bundesstaaten dabei sind, Gesetzesentwürfe auszuarbeiten, wird die Einhaltung des Datenschutzes bald zur neuen Normalität für US-Unternehmen werden.

Wann ist die GDPR für US-Unternehmen relevant?

Gemäß Artikel 3 betrifft die GDPR jedes US-Unternehmen, das eine oder mehrere der folgenden Bedingungen erfüllt:

• Sie sind in der EU ansässig oder haben dort eine Niederlassung
• Sie sind nicht in der EU ansässig, haben aber in der EU ansässige Nutzer
• Sie sind nicht in der EU ansässig, überwachen aber das Verhalten von Nutzern in der EU.

In der Praxis bedeutet dies, dass jedes US-Unternehmen - auch wenn es nicht in der EU tätig ist - betroffen ist, das über die personenbezogenen Daten auch nur einer in Europa lebenden Person verfügt.

Darüber hinaus sind alle Arten von Unternehmen betroffen - sowohl öffentliche als auch private.

Es ist auch wichtig, daran zu denken, dass die Definition personenbezogener Daten unter der DSGVO weiter gefasst ist als unter vielen Gesetzen zur Dateneinhaltung in den USA, die im Allgemeinen nur Daten schützen, die zur Begehung von Betrug verwendet werden können.

Unter der DSGVO sind personenbezogene Daten alle Daten, die zur Identifizierung einer Person verwendet werden können - wir haben bereits früher über dieses Thema geschrieben, und das Verständnis, welche Informationen abgedeckt sind und welche nicht, ist ein guter Ausgangspunkt für die Erfüllung der gesetzlichen Anforderungen.

Was sind die Konsequenzen bei Nichteinhaltung?

Unternehmen, die personenbezogene Daten in der EU missbraucht haben, können mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes des letzten Jahres belegt werden - je nachdem, welcher Betrag höher ist.

Auch US-Unternehmen wurden nicht verschont, und die Berichte über die hohen Geldstrafen, die gegen sie verhängt wurden, sorgen regelmäßig für Schlagzeilen. Die meisten der bisher verhängten Bußgelder betrafen US-Tech-Giganten wie Amazon, Meta (Facebook) und Alphabet (Google).

Meta hat kürzlich versucht, die GDPR-Anforderungen zu umgehen, indem es kostenpflichtige Facebook- und Instagram-Pläne für Nutzer einführte, die nicht verfolgt werden wollen. Dies könnte eine dystopische Ära einläuten, in der Datenschutzrechte monetarisiert werden.

Abgesehen von den finanziellen Strafen müssen sanktionierte Unternehmen in Zukunft auch regelmäßige Datenschutz-Audits befürchten und riskieren sogar, dass ihnen die Erhebung personenbezogener Daten in der EU untersagt wird - mit enormen Auswirkungen auf den Umsatz und den Ruf eines Unternehmens.

Wie können US-Unternehmen die Datenschutzgesetze einhalten?

US-Unternehmen müssen beim Umgang mit personenbezogenen Daten aus der EU eine ganze Reihe von Standards erfüllen. Dazu gehören:

• Legen Sie Ihre Rechtsgrundlage für die Verarbeitung personenbezogener Daten fest
• Wenn Ihre Rechtsgrundlage die Einwilligung ist, stellen Sie sicher, dass es sich um eine "frei erteilte, spezifische, informierte und ausdrückliche" Einwilligung handelt.
• Stellen Sie sicher, dass die Nutzer ihre Einwilligung jederzeit problemlos widerrufen können.
• Dokumentieren Sie alles, um für ein Datenaudit gerüstet zu sein
• Legen Sie umfassend offen, welche Daten erhoben werden, wie sie gespeichert werden und was mit ihnen geschieht - am besten in den Datenschutzhinweisen Ihres Unternehmens
• Legen Sie Verfahren fest, die es den Nutzern ermöglichen, gespeicherte personenbezogene Daten problemlos zu aktualisieren oder zu löschen und sie auf Anfrage an andere Organisationen weiterzugeben.
• Überlegen Sie, ob Ihr Unternehmen einen Datenschutzbeauftragten ernennen muss.
• Wenn Sie personenbezogene Daten in Länder außerhalb der EU übertragen, sollten Sie Standardvertragsklauseln unterzeichnen, die Regeln für den Datenschutz im Einklang mit den Anforderungen der Datenschutz-Grundverordnung festlegen.

Was können US-Unternehmen sonst noch tun?

Natürlich geht die vollständige Einhaltung der DSGVO weit über die oben genannten Punkte hinaus.

Denn während sie für die EU-Bürger und ihre sensiblen persönlichen Daten großartig war, war die Erfüllung der DSGVO-Anforderungen für die Unternehmen ein Albtraum - wobei die meiste Arbeit den Vermarktern in den Schoß fiel.

Wenn Sie nach detaillierteren Informationen über die Einhaltung der Vorschriften suchen, sollten Sie einen Blick auf unseren ausführlichen GDPR-Hub werfen - dort finden Sie alles, was Sie wissen müssen.

Alternativ dazu haben wir eine Checkliste zur Einhaltung der GDPR erstellt, die Informationen über alle praktischen Schritte enthält, die ein Unternehmen befolgen muss, um sicherzustellen, dass es sich an den Wortlaut des Gesetzes hält.