Wie sich die GDPR auf Unternehmen außerhalb der EU auswirkt

Die EU-Datenschutz-Grundverordnung (GDPR), ein wichtiges Datenschutzgesetz, das im Mai 2018 von der Europäischen Union eingeführt wurde, hat nicht nur das Geschäft von datengesteuerten digitalen Dienstleistern aufgerüttelt, sondern wirkt sich weiterhin auf Unternehmen jeder Größe und Branche auf der ganzen Welt aus. Viele Führungskräfte, IT-Manager und Compliance-Experten außerhalb der EU sind unsicher, ob und inwieweit sich die Compliance-Anforderungen der GDPR auf ihr Unternehmen auswirken. Diese Bedenken sind sehr berechtigt und dringlich, da die DSGVO einen sehr breiten extraterritorialen Anwendungsbereich hat und schwerwiegende Haftungsrisiken auslöst. Dieser Artikel umreißt den territorialen Anwendungsbereich der DSGVO für Unternehmen, die ausschließlich von Niederlassungen außerhalb der EU aus tätig sind.

Doch zunächst einige Grundlagen der GDPR

Die den EU-Datenschutzgesetzen zugrundeliegenden Prinzipien basieren auf dem traditionellen europäischen Konzept des Datenschutzes, das besagt, dass jeder ein Mitspracherecht haben sollte, wenn es darum geht, wie andere persönliche Daten über ihn oder sie verwenden. Einer der Hauptgründe für die DSGVO war, dass die EU-Regulierungsbehörden über die Auswirkungen der digitalen Revolution auf diese Werte besorgt waren:

Welches Maß an Datensicherheit wäre erforderlich, um den Einzelnen vor Hackern zu schützen, die private elektronische Kommunikation öffentlich machen, oder vor anderen schwerwiegenden Datenverletzungen? Beeinträchtigt gezielte Werbung auf der Grundlage detaillierter Nutzerprofile die Markttransparenz für die Verbraucher? Wie können wir verhindern, dass Algorithmen ethnische Gruppen diskriminieren, wenn sie beurteilen, ob ein Antrag auf einen Verbraucherkredit genehmigt oder abgelehnt wird?

Die Datenschutz-Grundverordnung bietet einen umfassenden Rechtsrahmen für jede Verwendung von Informationen über eine bestimmte oder bestimmbare Person. In jedem relevanten Kontext verlangt die DSGVO von den Unternehmen, Grundsätze wie Transparenz, Rechenschaftspflicht und Mitbestimmung der betroffenen Person zu gewährleisten.

Welche Branchen sind von der Datenschutz-Grundverordnung betroffen?

Anstatt sektorspezifische Vorschriften zu erlassen, verfolgt die Datenschutz-Grundverordnung einen Einheitsansatz. Sie gilt für die Erhebung und Verwendung personenbezogener Daten in allen Bereichen wie Kundenbeziehungen, produktbezogene Analysen des Nutzerverhaltens, Marketing, Personalwesen, Lieferung von Waren und Bereitstellung von Websites, mobilen Anwendungen und anderen Online-Diensten.

Welche Geschäftstätigkeiten fallen in den Geltungsbereich der Datenschutz-Grundverordnung?

Die DSGVO gilt für jede "Datenverarbeitung", d. h. für jede Verwendung personenbezogener Daten in einem sehr weiten Sinne, einschließlich u. a,

• die Erfassung von IP-Adressen von Website-Besuchern oder E-Mail-Adressen von registrierten Nutzern,
• die Bearbeitung von Bestellungen und die Beauftragung von Paketdiensten für die Lieferung,
• Protokollierung und Analyse des Nutzerverhaltens in jeder IT-Umgebung,
• die Übermittlung von Mitteilungen wie Verkaufsangebote oder Rechnungen und
• die Speicherung personenbezogener Daten in einer Datenbank oder Cloud.

Das Rechtskonzept, in verschiedenen "Datenverarbeitungstätigkeiten" zu denken, ist für Nicht-EU-Unternehmen besonders relevant, da die Frage, ob sie bestimmte Verpflichtungen im Rahmen der DSGVO einhalten müssen, im Hinblick auf einen bestimmten Geschäftsprozess und nicht auf das Unternehmen als solches beantwortet werden muss. So kann beispielsweise die Unterhaltung eines Systems zur Verwaltung von Kundenbeziehungen, mit dem EU-Kundendaten verarbeitet werden, in den Anwendungsbereich der DSGVO fallen, während die Speicherung von Personalstammdaten von in Japan ansässigen Mitarbeitern keine Verpflichtungen gemäß der DSGVO auslöst.

Was sind die Aufgaben im Rahmen der GDPR?

Daten werden zu Geld gemacht, indem man sie zum Fließen bringt. Personenbezogene Informationen können zwischen Geschäftspartnern ausgetauscht, mit anderen Datenquellen abgeglichen, analysiert, gehostet oder von Anbietern aggregiert werden.

Nach der Datenschutz-Grundverordnung müssen zwei verschiedene Ebenen des Dateneigentums unterschieden werden, um die Verteilung der Verantwortlichkeiten zu bestimmen, wenn mehr als ein Unternehmen an einem Geschäftsprozess beteiligt ist:

"Datenverantwortlicher" ist eine juristische Person, "die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet". Dies ist das Unternehmen, das für die Geschäftsaktivitäten verantwortlich ist, für die die Daten benötigt werden, also in der Regel das Unternehmen, zu dessen Gunsten die Informationen hauptsächlich verwendet werden.
"Datenverarbeiter" ist eine juristische Person, "die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet". Diese Definition umfasst viele B2B-Anbieter wie SaaS-, Hosting-, IT-Wartungs-, Cloud- oder Buchhaltungsdienstleister.
Während ein für die Verarbeitung Verantwortlicher nach der Datenschutz-Grundverordnung voll verantwortlich ist und eine breite Palette von Anforderungen erfüllen muss, sind die Verantwortlichkeiten eines Datenverarbeiters begrenzt. Wenn es um die Frage geht, ob die DSGVO zunächst auf ein Unternehmen anwendbar ist, spielt auch die Unterscheidung zwischen für die Verarbeitung Verantwortlichen und Datenverarbeitern eine entscheidende Rolle, wie wir im Folgenden darlegen.

Anwendbarkeit der Datenschutz-Grundverordnung auf Nicht-EU-Unternehmen

Am 13. November 2019 hat der Europäische Datenschutzausschuss (EDPB), ein EU-Gremium, das sich aus den nationalen Datenschutzaufsichtsbehörden zusammensetzt, offizielle Leitlinien zur Auslegung der Bestimmungen zur internationalen Anwendbarkeit der DSGVO herausgegeben, die wir nachfolgend zusammenfassen.

Für die Datenverarbeitung Verantwortliche mit Sitz außerhalb der EU

Für für die Verarbeitung Verantwortliche, die keine Niederlassung in der EU haben, gilt die DSGVO unmittelbar für die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, wenn die Verarbeitungstätigkeiten im Zusammenhang stehen mit:

• das Anbieten von Waren oder Dienstleistungen an Personen in der EU, unabhängig davon, ob die Dienstleistung kostenpflichtig oder kostenlos ist; oder
• die Überwachung ihres Verhaltens, sofern dieses Verhalten innerhalb der EU stattfindet.

Die Datenschutz-Grundverordnung betrifft daher keine Unternehmen, die unbeabsichtigt Informationen über Personen in der EU verarbeiten. Wenn beispielsweise eine mobile App ausschließlich für den US-Markt bestimmt ist (z. B. dadurch, dass die App von den Nutzern verlangt, bei der Registrierung eine US-Telefonnummer anzugeben, oder dass die Geschäftsbedingungen die Dienste auf die USA beschränken und Käufe nur in USD getätigt werden können), werden die Daten von Nutzern, die auf Reisen in der EU gesammelt werden, nicht die Anwendbarkeit der Datenschutz-Grundverordnung auslösen.

Nach dem Europäischen Datenschutzbeauftragten unterliegt die Verarbeitung personenbezogener Daten der Datenschutz-Grundverordnung, wenn zwei Auslöser gleichzeitig zutreffen, nämlich dass die Datenverarbeitung Personen "in der EU" betrifft und dass das Unternehmen in irgendeiner Weise auf den EU-Markt abzielt oder EU-Bürger überwacht.

Auslöser 1: Betroffene Personen in der EU

Die Datenschutz-Grundverordnung gilt nur für die Verarbeitung von Informationen über Personen, die sich in der EU befinden". Dem EDPB zufolge bezieht sich diese Bedingung nicht auf die Staatsangehörigkeit oder den Wohnsitz der betroffenen Person, sondern auf ihren aktuellen Aufenthaltsort. Im Gegensatz dazu bedeutet dies auch, dass die DSGVO nicht für die Verarbeitung personenbezogener Daten von EU-Bürgern gilt, die sich in Nicht-EU-Staaten aufhalten oder reisen.

Wenn zum Beispiel ein spanischer Staatsbürger in China reist und eine mobile Anwendung nutzt, die von einem chinesischen Unternehmen betrieben wird und Standortdaten sammelt, gilt die DSGVO nicht für diese Verarbeitung. Nutzt jedoch ein chinesischer Staatsbürger, der in Spanien lebt, dieselbe App, fällt die Erhebung von Standortdaten in den Anwendungsbereich der DSGVO, wenn der zweite unten erläuterte Auslöser auch für die mobile Anwendung gilt.

Auslöser 2: Ausrichtung auf den EU-Markt / Überwachung des Verhaltens

Eine zweite Voraussetzung für die Anwendung der DSGVO ist, dass die Geschäftstätigkeit des Unternehmens in irgendeiner Weise auf den EU-Markt ausgerichtet ist, unabhängig davon, ob die angebotenen Dienstleistungen oder Waren kostenpflichtig oder kostenlos sind. Dem EDPB zufolge umfasst dies die folgenden Geschäftstätigkeiten:

• Budgetierung von Werbekampagnen, die sich an Verbraucher in der EU richten, z. B. über Suchmaschinen und soziale Netzwerke, oder die Anzeige von Testimonials aus der EU,
• das Anbieten von Dienstleistungen mit internationalem Charakter, wie z. B. bestimmte touristische Aktivitäten,
• Verwendung von EU-Website-Domänen oberster Stufe wie .de, .fr., .es. oder .eu oder Bereitstellung von EU-Sprachversionen eines Online-Dienstes oder einer mobilen Anwendung, wenn diese sich von der im Land des Unternehmenssitzes üblichen Sprache unterscheiden,
• die Annahme von Zahlungen in Euro oder einer anderen EU-Währung,
• die Erwähnung der EU oder ihrer Mitgliedstaaten im Zusammenhang mit einer Ware oder Dienstleistung oder die Angabe spezifischer Kontaktinformationen für EU-Kunden,
• die Lieferung von Waren in EU-Mitgliedstaaten,
• Profiling, einschließlich verhaltensorientierter Werbung und Verarbeitung von Geolokalisierungsdaten, insbesondere zu Marketingzwecken,
• Online-Tracking mit Cookies oder anderen Tracking-Techniken wie Device Fingerprinting,
• personalisierte digitale Ernährungs- und Gesundheitsanalysedienste,
• Marktumfragen und andere Verhaltensstudien, die auf individuellen Profilen beruhen,
• CCTV

Die Beurteilung, ob und inwieweit die DSGVO für Nicht-EU-Unternehmen gilt, sollte im Einzelfall rechtlich geprüft werden. Für eine erste Einschätzung haben wir einen Online-Test eingerichtet, um zu prüfen, ob Ihr Unternehmen einen EU-Vertreter benennen muss, was bei den meisten Nicht-EU-Unternehmen, deren Tätigkeiten in den Anwendungsbereich der DSGVO fallen, der Fall ist.

Datenverarbeiter mit Sitz außerhalb der EU

Nicht-EU-Datenverarbeiter unterliegen der DSGVO, wenn ihr Geschäftskunde (für die Datenverarbeitung Verantwortlicher) gemäß den oben genannten Auslösern ein solcher ist. Ein Beispiel: Ein in den USA ansässiger Online-Händler wirbt für seine Produkte bei Google AdWords und wendet sich an Verbraucher in der EU, so dass er in den Anwendungsbereich der Datenschutz-Grundverordnung fällt. Wenn der Einzelhändler die Dienste eines Cloud-Anbieters in Anspruch nimmt, um seine EU-Kundendaten zu verwalten, löst das Hosting dieser Daten in der Cloud ebenfalls die Anwendbarkeit der Datenschutz-Grundverordnung aus. Der Cloud-Anbieter muss die (begrenzten) GDPR-Verpflichtungen für Datenverarbeiter einhalten.

Was müssen wir tun?

Nicht-EU-Unternehmen, die der Datenschutz-Grundverordnung unterliegen, müssen verschiedene rechtliche Anforderungen erfüllen. Wir von EU-REP.Global sind darauf spezialisiert, als EU-Vertreter aufzutreten und so die Einhaltung der Anforderungen gemäß Artikel 27 GDPR für unsere Kunden sicherzustellen.

Gemeinsam mit unseren juristischen Partnern beraten wir unsere internationalen Kunden auch zu allen anderen GDPR-bezogenen Themen, wie z. B. internationale Datenübertragungen, Compliance-Dokumentation und Bereitstellung von Datenschutzbeauftragten. Bitte kontaktieren Sie uns für weitere Informationen.