Welche Auswirkungen hat die DSGVO auf nicht europäische Unternehmen?

Welche Auswirkungen hat die DSGVO auf nicht europäische Unternehmen?

Die EU-Datenschutz-Grundverordnung (DSGVO) tritt in knapp einem Jahr in Kraft. Die Verordnung ersetzt die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und nimmt Änderungen an der Handhabung und Verarbeitung von Daten in der EU vor. Bei Nichteinhaltung drohen Strafen von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

Die DSGVO gilt für Unternehmen, die in der EU tätig sind. Allerdings stellt sich die Frage, ob Unternehmen mit Sitz außerhalb der EU-Mitgliedsstaaten ebenfalls betroffen sind. Was bedeutet die Verordnung beispielsweise für Unternehmen mit Sitz in den USA? Und muss sich Großbritannien auch nach dem Brexit an die DSGVO halten?

Kurz gesagt: Die Vorschrift hat Auswirkungen auf Unternehmen in und außerhalb der EU. Alle Unternehmen, die mit Daten von Unternehmen, Einwohnern oder Bürgern der EU arbeiten, müssen die DSGVO einhalten.

Die Leitlinie stellt klar, dass alle Organisationen, die diese Daten handhaben, die DSGVO unabhängig von der Gerichtsbarkeit einhalten müssen, sagt Jamal Elmellas, Chief Technology Officer bei Auriga Consulting.

Dementsprechend rät er: „Organisationen außerhalb Europas müssen zunächst entscheiden, ob sie derzeit oder in Zukunft Geschäfte in der Region tätigen möchten. Sobald sie diese Frage beantwortet haben, müssen sie ihr geplantes Geschäftsmodell analysieren, um zu verstehen, ob sie Daten von EU-Bürgern handhaben und wenn ja, welche Daten das sind.“

Dazu sind sorgfältige Überlegungen notwendig: Selbst wenn eine Organisation keine europäische Präsenz hat, muss sie immer noch die Auswirkungen der DSGVO verstehen, wenn sie personenbezogene Daten eines EU-Bürgers in Verbindung mit Waren und Diensten verarbeitet, sagt Saurabh Ghelani, Experte für Datenschutz und DSGVO bei der PA Consulting Group.

Ein anderer Faktor, der Einfluss darauf haben könnte, ob ein Unternehmen die DSGVO einhalten muss, ist die Frage, ob das Unternehmen „das Verhalten der Personen in der EU überwacht“, sagt Ghelani.

Die Definition der DSGVO-Leitlinien dazu lautet: Wenn „Personen im Internet verfolgt werden“. Dazu gehört die potenzielle Verwendung von Techniken zur Profilerstellung, um Entscheidungen zu einem Datensubjekt zu treffen, oder zur Analyse oder Prognose persönlicher Vorlieben, Verhaltensweisen und Einstellungen.

Ein weiterer Faktor, der möglicherweise nicht offensichtlich ist: Die DSGVO gilt auch für Datenverarbeiter außerhalb der EU, warnt Ghelani. Dazu gehören Cloud-Serviceanbieter, die personenbezogene Daten von EU-Datensubjekten speichern oder hosten.

Die neuen Datenschutzvorschriften reichen also weit über die EU-Grenzen hinaus. Experten weisen darauf hin, dass zahlreiche Faktoren Einfluss darauf haben, ob Unternehmen außerhalb der EU die Regeln einhalten müssen. In einer immer digitaleren Welt handhaben die meisten großen Unternehmen EU-Daten in irgendeiner Form.

Die Unternehmen haben nicht mehr lange Zeit, sich über die Thematik Gedanken zu machen, da die Regelung bereits im Mai 2018 in Kraft tritt. Was sollten Unternehmen also tun?

Viele Unternehmen werden die Compliance nicht bis zum Stichtag schaffen. Mark Taylor, Partner in der Anwaltskanzlei Osborne Clarke, sagt jedoch, es sei wichtig, jetzt das Fundament zu legen. „Sensibilisieren Sie intern und holen Sie die wichtigsten Beteiligten an Bord“, rät er. „Sehen Sie sich im Zuge dessen an, wie Sie derzeit Daten der Personen verarbeiten, die in der EU ihren Wohnsitz haben.“

Datenhoheit Datenschutzverstoß Recht

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond