Gilt die DSGVO-Konformität auch für US-Unternehmen?

Im Mai 2018 hat die Europäische Union eines der weltweit strengsten Regelwerke für den Schutz personenbezogener Daten erlassen. Der formelle Name dieser Gesetzgebung ist die General Data Protection Regulation, aber sie ist allgemein bekannt als GDPR.

Die DSGVO regelt personenbezogene daten, die als alle Informationen definiert sind, mit denen eine Person identifiziert werden kann, bezeichnet als „Betroffene“. Betroffene Unternehmen müssen die Wünsche der Betroffenen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten einhalten und Aufzeichnungen darüber führen, wie diese Verarbeitung erfolgt.

Dieser Artikel beantwortet die Frage, wann und wie die DSGVO auf US-Unternehmen und US-Bürger anwendbar ist? Er behandelt die Kernanforderungen des Gesetzes und die Besonderheiten der DSGVO-Durchsetzung, die jedes in den USA ansässige Unternehmen kennen sollte.

Der Anwendungsbereich für personenbezogene Daten nach dieser Definition ist deutlich umfassender als die meisten US-Compliance-Standards, die in der Regel nur Daten schützen, die zum Begehen von Betrug verwendet werden können. Neben Namen und Regierungs-ID-Nummern schützt die GDPR auch Informationen, die mit der „physischen, physiologischen, genetischen, mentalen, wirtschaftlichen, kulturellen oder sozialen Identität“ einer Person in Verbindung gebracht werden können.

GDPR auf einen Blick

Welche Daten schützt die DSGVO?

Die DSGVO ist darauf ausgelegt, EU-Bürgern mehr Kontrolle über die personenbezogenen Daten zu geben, die Organisationen über sie sammeln, verarbeiten und speichern. Der Anwendungsbereich des Begriffs „personenbezogene Daten“ unter der DSGVO ist deutlich breiter gefasst als die meisten US-amerikanischen Compliance-Gesetze, die in der Regel nur Daten schützen, die zum Begehen von Betrug verwendet werden können. Neben Namen und Ausweisnummern schützt die DSGVO auch Informationen die Rückschlüsse auf die „physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität“ einer Person zulassen, wie zum Beispiel ihre IP-Adresse und Browser-Cookie-Daten.

Gilt die DSGVO für EU-Bürger, die in den USA leben?

Nein. Die DSGVO bezieht sich speziell auf „Datensubjekte, die sich in der Union befinden“. Wenn ein EU-Bürger in den USA lebt, gilt die DSGVO nicht. Dies ist eine wichtige Unterscheidung, die berücksichtigt werden muss, wenn das gesamte oder fast das gesamte Geschäft eines Unternehmens in stationären Standorten auf US-Boden stattfindet.

Diese Kategorie umfasst mehr Organisationen, als Sie vielleicht denken. Laut der Forschungsgruppe Clutch.co, 36 % der kleinen Unternehmen haben überhaupt keine eigene Website. Dadurch ist es für diese Unternehmen viel einfacher zu bestimmen, ob sie Geschäfte mit EU-Bürgern machen.

Gilt die DSGVO für US-Bürger?

Das ist möglich. Die DSGVO schützt die Informationen jeder Person, die in der EU lebt. Daher, wenn ein US-Bürger in einem EU-Land lebt, während ein Unternehmen Informationen über diese Person sammelt, wird die DSGVO auf diese Daten anwendbar sein.

Die DSGVO gilt nicht für US-Bürger, die in den USA leben, aber es gibt mehrere bundesstaatliche und einzelstaatliche Datenschutzvorschriften in den USA, die einige ähnliche Schutzmaßnahmen bieten. Insbesondere das California Privacy Protection Act (CalOPPA) und der California Consumer Privacy Act (CCPA) regeln die Erfassung von „personenbezogenen Informationen“ jeder Person, die in Kalifornien ansässig ist (was auch alle kalifornischen Einwohner umfasst, die EU-Bürger sind).

Ebenso regelt der Children’s Online Privacy Protection Act (COPPA) die Sammlung, Nutzung und Verteilung von Daten, die Kindern unter 13 Jahren gehören, unabhängig von der Staatsangehörigkeit, solange sie sich in den USA aufhalten, wenn ihre Informationen gesammelt werden.

Wie wirkt sich die DSGVO auf US-Unternehmen aus?

Im Gegensatz zu branchenspezifischen US-Compliance-Vorschriften wie HIPAA für Medizin und GLBA für Finanzen ist die GDPR eine allgemeine Datenschutz-Verordnung, die für alle Organisationen, öffentliche und private, gilt, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten. Das bedeutet, dass viele US-Unternehmen der Verordnung unterliegen.

Allerdings erkennt die DSGVO an, dass einige Nicht-EU-Unternehmen nur gelegentlich Geschäfte mit EU-Bürgern tätigen. Gemäß Erwägungsgrund 23 müssen ausländische Unternehmen die DSGVO nur dann einhalten, wenn sie gezielt EU-Bewohner mit ihrem Marketing ansprechen. Wenn Sie beispielsweise eine lokalisierte Website in der Sprache eines EU-Mitgliedstaates haben und/oder Preise in Euro angeben, würde davon ausgegangen, dass Sie EU-Bürger gezielt ansprechen und daher der DSGVO unterliegen würden.

Im Allgemeinen können Sie haftbar gemacht werden, wenn eine der folgenden Bedingungen zutrifft:

• Sie verarbeiten regelmäßig die Daten von EU-Bürgern.
• Die Rechte und Freiheiten dieser betroffenen Personen könnten gefährdet sein.
• Sie verarbeiten Informationen, die sich auf special data categories, einschließlich Gesundheitszustand, rassischer oder ethnischer Herkunft, sexueller Orientierung oder religiöser Überzeugungen beziehen.

Gilt die DSGVO auch für US-Regierungsbehörden und andere Organisationen des öffentlichen Sektors?

Technisch gesehen gilt die DSGVO für alle Organisationen, öffentliche und private, weltweit. Praktisch gesehen sind jedoch nur einige US-amerikanische Regierungsbehörden wahrscheinlich

Die DSGVO regelt die Verarbeitungsvorgänge von personenbezogenen Daten nur, wenn diese Verarbeitung einem von zwei Zwecken dient:

• Angebot von Waren oder Dienstleistungen
• Überwachung des Verhaltens einer betroffenen Person, wie es innerhalb der Europäischen Union stattfindet

Daher unterliegen viele Organisationen des öffentlichen Sektors nicht der DSGVO. Einige Bundesbehörden, einschließlich des Department of Homeland Security und des State Department, könnten Gründe haben, persönliche Daten von EU-Bürgern zu sammeln und diese zur Verhaltensüberwachung zu nutzen. Ebenso, wenn eine staatliche Tourismusbehörde Daten zum Zweck des Marketings an EU-Bürger sammelt, oder wenn eine staatliche Hochschule Informationen über einen potenziellen Studenten erhebt, würde die DSGVO gelten. Aber die meisten anderen Regierungsbehörden, einschließlich jener, die Daten im Zusammenhang mit den Geschäftsinteressen von EU-Bürgern sammeln, sind wahrscheinlich nicht der DSGVO unterworfen

Was sind die wichtigsten GDPR-Anforderungen für US-Unternehmen?

Jede Organisation, ob im privaten oder öffentlichen Sektor, die persönliche Informationen über EU-Bürger speichert oder verarbeitet, muss die DSGVO einhalten, selbst wenn sie keine physische Präsenz innerhalb der EU hat. Die wichtigsten Anforderungen werden nachfolgend erläutert.

Anforderungen an Kontrolleure und Verarbeiter

Die Anforderungen der DSGVO hängen davon ab, ob Sie als Verantwortlicher oder als Auftragsverarbeiter handeln:

• Verantwortliche definieren die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Sie müssen geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen und nachzuweisen, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO durchgeführt wird.
• Prozessoren verarbeiten personenbezogene Daten nach den dokumentierten Anweisungen eines Controllers. Prozessoren können interne Gruppen sein, die personenbezogene Daten aufzeichnen und verarbeiten, oder ein Outsourcing-Unternehmen, das alle oder Teile dieser Aktivitäten durchführt.

Die DSGVO hält sowohl Verantwortliche als auch Auftragsverarbeiter für Verstöße gegen ihre Bestimmungen haftbar. Daher ist es möglich, dass sowohl Ihr Unternehmen als auch ein Datenverarbeitungspartner, wie ein Cloud-Anbieter, für Bußgelder und andere Strafen unter der DSGVO haftbar gemacht werden, selbst wenn das Verschulden ganz auf Seiten Ihres Verarbeitungspartners liegt.

Anforderungen an Verträge zur Datenverarbeitung

Die DSGVO fordert, dass Verantwortliche und Auftragsverarbeiter einen rechtlich bindenden Vertrag abschließen, wenn ein Verantwortlicher einen Auftragsverarbeiter beauftragt, personenbezogene Daten in seinem Namen zu verarbeiten. Verantwortliche sind verpflichtet, nur Auftragsverarbeiter zu verwenden, die ausreichende Garantien für das Vorhandensein angemessener technischer und organisatorischer Maßnahmen bieten, um die DSGVO einzuhalten. Diese Maßnahmen sollten in der data security policy des Unternehmens detailliert aufgeführt sein.

Artikel 28 legt fest, was in einem Datenverarbeitungsvertrag zwischen einem Datenverantwortlichen und einem Datenverarbeiter enthalten sein muss. Zuerst müssen die folgenden Details enthalten sein:

• Gegenstand, Dauer, Art und Zweck der Datenverarbeitung
• Die Art der verarbeiteten personenbezogenen Daten
• Die Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden
• Die Anforderungen und Rechte des Controllers

Darüber hinaus muss der Vertrag die folgenden Bestimmungen enthalten:

• Der Prozessor wird personenbezogene Daten, die vom Kontrolleur erhalten wurden, nur auf dokumentierte Anweisungen des Kontrolleurs verarbeiten (es sei denn, das Gesetz erfordert die Verarbeitung personenbezogener Daten ohne solche Anweisungen).
• Der Prozessor stellt sicher, dass jede Person, die personenbezogene Daten verarbeitet, einer Vertraulichkeitspflicht unterliegt.
• Der Prozessor ergreift alle durch Artikel 32 geforderten Maßnahmen, einschließlich der Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der vom Kontrolleur erhaltenen personenbezogenen Daten.
• Der Prozessor erhält eine schriftliche Genehmigung für alle Unterprozessoren, die der Prozessor zur Verarbeitung der vom Kontrolleur erhaltenen personenbezogenen Daten einsetzen möchte. Wenn der Kontrolleur eine allgemeine schriftliche Genehmigung für die Beauftragung von Unterprozessoren erteilt, muss dem Kontrolleur die Möglichkeit gegeben werden, im Voraus gegen jeden einzelnen Unterprozessor, den der Prozessor zu beauftragen beabsichtigt, Einspruch zu erheben.
• Alle vom Verarbeiter beauftragten Unterprozessoren unterliegen denselben Datenschutzanforderungen wie der Verarbeiter und der Verarbeiter bleibt gegenüber dem Verantwortlichen direkt haftbar für die Erfüllung der Datenschutzanforderungen eines Unterprozessors.
• Der Prozessor unterstützt den Controller, indem er geeignete technische und organisatorische Maßnahmen umsetzt, um auf Anfragen von betroffenen Personen gemäß der DSGVO zu reagieren.

• Der Prozessor unterstützt den Controller, um die Einhaltung der GDPR-Anforderungen für die Sicherheit der Datenverarbeitung (Artikel 32), die Meldung von data breaches (Artikel 33 und 34) und Datenschutz-Folgenabschätzungen (Artikel 35 und 36) zu gewährleisten.
• Am Ende der Datenverarbeitung durch den Prozessor und auf Anweisung des Controllers löscht der Prozessor die vom Controller erhaltenen personenbezogenen Daten oder gibt sie zurück.
• Der Prozessor stellt dem Kontrolleur alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung von Artikel 28 nachzuweisen, und dass der Prozessor Audits zulässt und zu Audits beiträgt, die vom Kontrolleur oder einem Dritten im Auftrag des Kontrolleurs durchgeführt werden.

Es gibt andere Bestimmungen, die Auftragsverarbeiter und Verantwortliche möglicherweise fallweise in einen Datenverarbeitungsvertrag aufnehmen möchten, die jedoch nach der DSGVO nicht verpflichtend sind, wie zum Beispiel:

• Haftungsbestimmungen (einschließlich Freistellungen)
• Detaillierte (technische) Sicherheitsbestimmungen
• Zusätzliche Kooperationsbestimmungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter

Regeln für multinationale Unternehmen

Wenn Ihr in den USA ansässiges Unternehmen Teil eines multinationalen Unternehmens mit Sitz in der EU ist und Sie regelmäßig Daten von Ihren EU-Partnern über EU-Bürger erhalten, unterliegen Sie den Vorschriften, die diese Datenübertragungen zwischen Ländern regeln. Diese Binding Corporate Rules (BCRs) sind in Artikel 29 festgelegt und bieten einen Rahmen für multinationale Unternehmen, um personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) rechtskonform gemäß dem 8. Datenschutzgrundsatz und Artikel 25 der Richtlinie 95/46/EG an ihre außerhalb des EWR ansässigen Partnerunternehmen zu übertragen.

Regeln für die Benachrichtigung bei Datenpannen

Benachrichtigungen über Datenpannen müssen herausgegeben werden, wenn eine Sicherheitsverletzung zur zufälligen oder unrechtmäßigen Offenlegung, zum Verlust oder zur Veränderung personenbezogener Daten führt. Die DSGVO Datenschutzgesetz schreibt vor, dass, wenn eine Datenpanne die persönlichen Rechte und Freiheiten von Einzelpersonen gefährdet und Sie nicht in der Lage sind, diese Risiken zu begrenzen, alle betroffenen Personen benachrichtigt werden müssen. Wenn ein Unternehmen feststellt, dass kein solches Risiko besteht, muss diese Position durch glaubwürdige Beweise gestützt werden. Datenverarbeiter, die von Pannen betroffen sind, müssen auch den zuständigen Datenverantwortlichen benachrichtigen. Sie müssen auch die Datenschutzbehörden benachrichtigen; betrifft die Panne Personen in mehreren Ortschaften, müssen Sie die Behörde mit der breitesten Zuständigkeit informieren. Ein Regulator wird nicht sagen, dass Sie keine Datenpanne hätten haben dürfen. Sie werden sagen, dass Sie die Richtlinien, Verfahren und eine Reaktionsstruktur haben sollten, um das schnell zu lösen.

Obwohl die gesetzliche Frist für die Meldung eines Verstoßes 72 Stunden beträgt, warten Sie nicht bis zur letzten Stunde, um dies zu tun; erstatten Sie so schnell wie möglich Bericht, sobald Sie von einem Verstoß erfahren, und informieren Sie den Regulator, dass Sie Ihren Reaktionsprozess einleiten und dass Sie Updates bereitstellen werden.

Anforderungen an Datenschutz-Folgenabschätzungen

Artikel 35 der DSGVO verlangt von allen Unternehmen, Datenschutz-Folgenabschätzungen (DSFA) durchzuführen, um potenzielle data risk zu bewerten und zu demonstrieren, wie die Daten durch die Organisation fließen. Es gibt vier grundlegende Komponenten einer Datenschutz-Folgenabschätzung:

• Eine Beschreibung der Verarbeitungsvorgänge
• Eine Erklärung, warum die Verarbeitung stattfindet und warum sie notwendig ist
• Eine Beschreibung der Maßnahmen, die ergriffen werden, um Risiken zu mindern und die Privatsphäre der Benutzer zu schützen
• Eine Darstellung des Kontos, die Risiko gegenüber Nutzen abwägt

Die DSGVO gibt keine spezifische Struktur für diese Bewertungen vor, aber sie legt fest, dass die Datenerhebung und -verarbeitung immer „der Menschheit dienen“ muss, was darauf hinweist, dass der Schwerpunkt auf ihrem Nutzen für die betroffenen Personen liegen sollte.

Einwilligung zur Datenverarbeitung

Unter der DSGVO müssen Unternehmen eine ausdrückliche Zustimmung erhalten, um personenbezogene Daten verarbeiten zu dürfen: Jede betroffene Person muss nicht nur der Erhebung und Speicherung ihrer Daten zustimmen, sondern auch der von Ihnen beabsichtigten Verwendung dieser Daten.

Betroffene Personen haben das Recht, ihre Einwilligung für jegliche Zwecke zu widerrufen. Wenn ein Kunde entscheidet, dass er die zielgerichteten Werbeanzeigen, die Sie mit seinen Daten erstellen, nicht mehr erhalten möchte, sind Sie verpflichtet, den Kunden aus Ihrem System zu entfernen.

Schutz der Rechte betroffener Personen

Die DSGVO listet acht Rechte der betroffenen Personen auf, die Unternehmen verpflichtet sind zu wahren. Diese sind:

• Das Recht auf Auskunft darüber, was mit personenbezogenen Daten geschieht
• Das Recht auf eine Kopie der gesammelten Daten und aller zusätzlichen Informationen zum Kontext
• Das Recht auf Berichtigung unrichtiger Daten
• Das Recht auf Löschung personenbezogener Daten (unter bestimmten Umständen)
• Das Recht, die Verwendung von Daten einzuschränken
• Das Recht, einen Bericht zu erhalten, welche Daten gesammelt wurden
• Das Recht, die Einstellung der Datenverarbeitung zu verlangen
• Das Recht, nicht Entscheidungen unterworfen zu sein, die auf automatisierter Datenverarbeitung basieren

Darüber hinaus müssen Unternehmen es den betroffenen Personen erleichtern, diese Rechte auszuüben. Unternehmen können beispielsweise eine Datenschutzrichtlinie herausgeben und von Kunden verlangen, ein „Zustimmen“-Kästchen anzukreuzen. Diese Verfahren sollten in Ihrer Datenschutzerklärung dargelegt werden, die regelmäßig aktualisiert werden sollte (eine gute Versionskontrolle ist ein kluger Weg, um die Einhaltung der Vorschriften zu demonstrieren).

Ernennung von Personal

Die Europäische Kommission empfiehlt, dass jedes betroffene Unternehmen einen Datenschutzbeauftragten (DPO) beschäftigt. Sie sind verpflichtet, einen DPO zu haben, wenn eine der folgenden Bedingungen zutrifft:

• Sie sind eine öffentliche Behörde, die nach der DSGVO geschützte Daten verarbeitet.
• Ihre primären Aktivitäten umfassen großangelegtes, systematisches Monitoring von Daten.
• Sie verarbeiten eine besondere Kategorie von Daten, wie Gesundheitszustand, rassische oder ethnische Herkunft, sexuelle Orientierung oder religiöse Überzeugungen.

Auch wenn die DSGVO nicht spezifisch die Ernennung eines DPO vorschreibt, finden es Organisationen manchmal nützlich, auf freiwilliger Basis einen DPO zu bestimmen. DPO ist ein Eckpfeiler der Rechenschaftspflicht, und die Ernennung eines DPO kann die Einhaltung demonstrieren und erleichtern, was Unternehmen einen Wettbewerbsvorteil verschaffen kann, indem es zeigt, wie ethisch Ihre Organisation ist. Die Artikel-29-Datenschutzgruppe (‚WP29‘) fördert diese freiwilligen Bemühungen. (Diese Gruppe umfasst Vertreter der Datenschutzbehörden jedes EU-Mitgliedstaats und gibt Leitlinien zur Erfüllung der Anforderungen der DSGVO heraus, wie zum Beispiel die Ernennung von DPOs.)

Ein Datenschutzbeauftragter kann jedes Mitarbeitermitglied sein, das sicherstellt, dass die Datenschutzstrategie Ihres Unternehmens mit der DSGVO übereinstimmt. Wenn Sie keine physische Präsenz in der EU haben, müssen Sie einen Vertreter in einem EU-Land ernennen. Der Datenschutzbeauftragte kann auch andere Aufgaben haben, vorausgesetzt, dass er immer noch Zeit hat, die Einhaltung der DSGVO zu überwachen.

Sobald Sie einen DPO benannt oder jemanden neu für diese Rolle eingestellt haben, stellen Sie sicher, dass sie wissen, was sie tun müssen und über die notwendigen Ressourcen verfügen, um es zu tun. Eine umfassende Checkliste ist ideal. Zusätzlich zu Aufgaben wie der Erleichterung von DPIAs und der Durchführung von Audits, fungieren DPOs als Vermittler zwischen Stakeholdern, wie Aufsichtsbehörden, betroffenen Personen und Geschäftseinheiten innerhalb einer Organisation.

Beachten Sie, dass Datenschutzbeauftragte (DPOs) persönlich nicht verantwortlich sind, wenn es zu einer Nichteinhaltung der DSGVO kommt. Artikel 24 stellt klar, dass es der Verantwortliche oder der Auftragsverarbeiter ist, der sicherstellen und nachweisen muss, dass die Verarbeitung gemäß den Bestimmungen der DSGVO durchgeführt wird.

Nachwort: Tipps zur Einhaltung der DSGVO

Der beste Weg, um die DSGVO-Konformität zu erreichen, besteht darin, einen Top-Down-Ansatz zu verfolgen, über die Hauptziele nachzudenken und dann zu bestimmen, welche technischen Kontrollen gewählt werden sollen, um diese Ziele zu erreichen. Abgesehen von den offensichtlichen GDPR Compliance Tools, gibt es drei wichtige Dinge, die Sie im Auge behalten sollten, wenn Sie die Sicherheit regulierter Daten gewährleisten möchten:

Risikomanagement für Sicherheit

Die DSGVO betont einen risikobasierten Ansatz zum Datenschutz und zur Sicherheit Ihrer Verarbeitungssysteme und Dienste. Sie müssen Ihre Risiken identifizieren und bewerten und dann angemessene Maßnahmen ergreifen, um sie zu verwalten, basierend auf Faktoren wie:

• Die verfügbare Technologie
• Die Kosten für die Implementierung von Werkzeugen und Prozessen
• Die Art, der Umfang, der Kontext und der Zweck der Verarbeitung
• Die Schwere und Wahrscheinlichkeit der Risiken
• Die personenbezogenen Daten, die Sie verarbeiten
• Die Systeme, die diese Daten verarbeiten

Wo die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen darstellt, müssen Sie eine Datenschutz-Folgenabschätzung (DPIA) durchführen, um die Auswirkungen der beabsichtigten Verarbeitung auf den Schutz personenbezogener Daten zu ermitteln und die technischen und organisatorischen Maßnahmen zu identifizieren, die erforderlich sind, um das Risiko zu mindern. Wenn diese Maßnahmen das Risiko nicht auf ein akzeptables Niveau reduzieren, müssen Sie vor Beginn der Verarbeitung Ihre Datenschutzbehörde konsultieren.

Governance

Sie müssen auch angemessene Datenschutz- und Informationssicherheitsrichtlinien sowie Prozesse implementieren. Stellen Sie sicher, dass Sie Aufzeichnungen über Verarbeitungstätigkeiten führen und, falls erforderlich, einen Datenschutzbeauftragten ernennen.

Mitarbeiterbewusstsein und Schulung

Helfen Sie Ihrem Personal dabei, personenbezogene Daten sicher zu verwalten, indem Sie relevante Aufklärung und Schulungen zum richtigen Umgang mit Ihren Systemen und Werkzeugen anbieten. Beispielsweise muss das Personal kompetent sein, damit es nicht versehentlich personenbezogene Daten verarbeitet (z.B. durch das Senden an den falschen Empfänger).

F.A.Q.

Was bedeutet die DSGVO für US-Unternehmen?

Die DSGVO regelt die Erfassung und Verarbeitung personenbezogener Daten von EU-Bürgern, selbst wenn das Unternehmen in den USA ansässig ist.

Wie wirkt sich die DSGVO auf in den USA ansässige Unternehmen aus?

US-Unternehmen müssen die DSGVO einhalten, wenn sie Waren oder Dienstleistungen speziell für EU-Bürger anbieten oder wenn sie das Verhalten von EU-Bürgern innerhalb der Union überwachen.

Wann ist die Einhaltung der GDPR in den Vereinigten Staaten notwendig?

Wenn ein Unternehmen personenbezogene Daten von EU-Bürgern zu kommerziellen Zwecken sammelt und dies mehr als gelegentlich tut, muss es compliant with the GDPR sein.

Was sind personenbezogene Daten nach der DSGVO in den USA?

Personenbezogene Daten sind alle Informationen, die mit der individuellen oder sozialen Identität einer Person in Verbindung gebracht werden können. Dazu gehören der Name, Wohnort, Beruf oder religiöse Zugehörigkeit der Person.

Was passiert, wenn US-Unternehmen die DSGVO nicht befolgen?

Jedes Unternehmen, das gegen die DSGVO verstößt, kann mit Geldstrafen zwischen 10 Millionen Euro und 20 Millionen Euro oder bis zu 4% des jährlichen Umsatzes des Unternehmens belegt werden.

Welche Organisation hat die Befugnis, nicht konforme US-Unternehmen zu bestrafen?

Die Europäische Kommission ist die offizielle Regulierungsbehörde für die DSGVO. Wenn ein Unternehmen gegen diese Vorschriften verstößt, aber nicht in den Zuständigkeitsbereich Europas fällt, kann die EC mit internationalen Regierungen zusammenarbeiten, um Strafen und Bußgelder zu verhängen.