In diesem Artikel erfahren Sie, ob die EU-DSGVO für Ihr Unternehmen gilt und welche Schritte Sie unternehmen können | Prighter
Blog
Hinweis: Beiträge werden automatisch aus dem Englischen übersetzt. Für den Originalinhalt besuchen Sie bitte unsere englische Seite. Einige Übersetzungen sind möglicherweise nicht perfekt; wir danken Ihnen für Ihr Verständnis.
Picture

Gilt die EU-DSGVO auch für Ihr Unternehmen? Was internationale Unternehmen wissen müssen

In diesem Artikel erfahren Sie, ob die EU-DSGVO für Ihr Unternehmen gilt und welche Schritte Sie unternehmen können, um die Einhaltung der Vorschriften zu gewährleisten, wenn dies der Fall ist.

Die EU-Datenschutzgrundverordnung (GDPR) ist eines der umfassendsten Datenschutzgesetze der Welt.

Sie soll die personenbezogenen Daten von Menschen in der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR) schützen und hat seit ihrem Inkrafttreten im Mai 2018 den Umgang von Unternehmen mit personenbezogenen Daten verändert - mit strengen Regeln und hohen Geldstrafen für diejenigen, die sie nicht befolgen. Die Nichtbeachtung der GDPR kann schwerwiegende Konsequenzen nach sich ziehen. Unternehmen können mit Geldbußen von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes rechnen - je nachdem, welcher Betrag höher ist.

Abgesehen von den finanziellen Strafen riskieren Unternehmen behördliche Untersuchungen, Rufschädigung und sogar Einschränkungen ihrer Geschäftstätigkeit in der EU. Jedes dieser Risiken kann katastrophale Folgen haben. Daher sollte die Einhaltung der EU-DSGVO für alle Unternehmen, für die sie gilt, hohe Priorität haben.

Angesichts der Komplexität der EU-DSGVO und ihres Geltungsbereichs ist es jedoch ein logischer erster Schritt zu verstehen, ob das Gesetz für Ihr Unternehmen gilt. Dieser Artikel hilft Ihnen zu verstehen, ob die EU-DSGVO auf Ihr Unternehmen anwendbar ist, und zeigt Schritte auf, die Sie unternehmen können, um die Einhaltung der Vorschriften sicherzustellen, wenn dies der Fall ist.

Wer muss sich an die EU-DSGVO halten?

Eine grundlegende Komplexität der EU-DSGVO ist, dass sie auch für Unternehmen außerhalb der EU gilt. Ja, Sie haben das richtig gelesen.

Der Grund dafür ist der so genannte “extraterritoriale” Geltungsbereich oder die Reichweite. Das bedeutet, dass viele Unternehmen außerhalb Europas verpflichtet sein können, das Gesetz einzuhalten, je nachdem, wie sie mit den Daten von EU-Bürgern umgehen. Diese globale Reichweite hat die Einhaltung der DSGVO zu einem wichtigen Anliegen für Unternehmen überall gemacht.

Die EU-DSGVO gilt für Organisationen in zwei Schlüsselsituationen:

  1. Unternehmen mit Sitz in der EU: Wenn Ihr Unternehmen in einem EU-/EWR-Land ansässig ist, müssen Sie die EU-DSGVO für alle von Ihnen verarbeiteten personenbezogenen Daten befolgen, unabhängig davon, wo die Personen, mit denen Sie zu tun haben, ansässig sind.
  2. Unternehmen außerhalb der EU, die personenbezogene Daten aus der EU verarbeiten: Wenn Ihr Unternehmen außerhalb der EU ansässig ist, aber dennoch mit den Daten von in der EU ansässigen Personen interagiert, kann die EU-DSGVO für Sie gelten. Gemäß Artikel 3 Absatz 2 der EU-DSGVO gilt dies für Unternehmen, die: a. Waren oder Dienstleistungen für Menschen in der EU anbieten (egal ob kostenlos oder gegen Bezahlung) b. das Verhalten von Personen in der EU verfolgen oder überwachen (z. B. durch Online-Tracking)

Selbst wenn Ihr Unternehmen keine physische Präsenz in Europa hat, können Sie also dennoch Verpflichtungen aus der DSGVO haben.

Was ist die extraterritoriale Reichweite der EU-DSGVO?

Auch wenn Ihr Unternehmen nicht in der EU ansässig ist, müssen Sie möglicherweise die EU-DSGVO einhalten, wenn Sie Produkte oder Dienstleistungen an in der EU ansässige Kunden verkaufen oder Personen in der EU durch Aktivitäten wie die Analyse ihres Online-Verhaltens mittels Website-Analysen verfolgen oder überwachen.

Ihr Unternehmen muss nicht einmal unbedingt auf die gesamte EU ausgerichtet sein, um unter die DSGVO zu fallen - wenn Sie mit Kunden in einem beliebigen EU-Mitgliedstaat in Kontakt treten oder sie verfolgen, kann Ihr Unternehmen in den Geltungsbereich der Verordnung fallen.

Wenn Ihr Unternehmen in den extraterritorialen Geltungsbereich der EU-DSGVO fällt, müssen Sie möglicherweise einen EU-Beauftragten gemäß Artikel 27 der Verordnung benennen.

Brauchen Sie einen EU-Beauftragten?

Wenn Ihr Unternehmen keine physische Präsenz in der EU hat, aber in der EU geschäftlich tätig ist und daher unter die Datenschutz-Grundverordnung fällt, müssen Sie möglicherweise einen EU-Vertreter gemäß Artikel 27 ernennen. Ein Vertreter ist eine Person oder ein Unternehmen, die bzw. das von einem Nicht-EU-Unternehmen ernannt wird, um als lokaler Ansprechpartner für EU-Behörden und Personen, deren Daten Sie verarbeiten, zu fungieren.

Ein EU-Vertreter ist erforderlich, wenn nicht alle der folgenden Kriterien erfüllt sind:

  • Ihre EU-Datenverarbeitung erfolgt nur gelegentlich, also nur von Zeit zu Zeit und nicht systematisch; und
  • die von Ihnen verarbeiteten Daten umfassen keine großen Mengen an Daten besonderer Kategorien (z. B. Gesundheit, biometrische Daten) oder strafrechtliche Verurteilungen und Straftaten; und
  • die Verarbeitung stellt ein geringes Risiko für den Einzelnen dar.

Es ist schwierig, alle diese Kriterien zu erfüllen, insbesondere das Kriterium der nur gelegentlichen Datenverarbeitung erweist sich für die meisten Unternehmen als große Hürde.

Wenn Sie zu dem Schluss kommen, dass Ihr Unternehmen einen Vertreter braucht, müssen Sie:

  • einen Vertreter benennen, der in der EU ansässig ist und
  • die Kontaktangaben des Vertreters in Ihre Datenschutzrichtlinien aufnehmen.

Die Aufsichtsbehörden können sich bei Durchsetzungsmaßnahmen an sie wenden, weshalb dies ein wichtiger Schritt für Unternehmen ist, die der EU-Datenschutz-Grundverordnung unterliegen.

Wie Sie herausfinden, ob die EU-DSGVO für Ihr Unternehmen gilt

Um herauszufinden, ob die EU-DSGVO auf Sie anwendbar ist, sollten Sie vor allem zwei Fragen klären:

1. Bieten Sie Waren oder Dienstleistungen für Menschen in der EU an?

Gemäß Artikel 3 Absatz 2 Buchstabe a müssen Unternehmen außerhalb der EU die Datenschutz-Grundverordnung einhalten, wenn sie sich aktiv an EU-Kunden wenden. Es reicht nicht aus, eine Website zu haben, auf die EU-Bürger zugreifen können.

Anzeichen dafür, dass sich Ihr Unternehmen auf dem EU-Markt engagiert, sind u. a:

  • Angebot einer Website in einer EU-Sprache (außer Englisch, wenn Sie außerhalb der EU ansässig sind).
  • Die Preise werden in Euro (EUR) oder anderen EU-Währungen angegeben.
  • Lieferung von Produkten oder Anbieten von Dienstleistungen an EU-Standorte.
  • Schalten von Anzeigen oder Marketingkampagnen, die sich an EU-Benutzer richten.
  • Verwendung von Domänennamen, die mit EU-Ländern verbunden sind (z. B. .de, .fr, .eu).

Wenn Ihr Unternehmen eine dieser Bedingungen erfüllt, gilt wahrscheinlich die EU-DSGVO.

2. Verfolgen oder überwachen Sie in der EU ansässige Personen?

Die EU-DSGVO kann auf Ihr Unternehmen anwendbar sein, wenn es gemäß Artikel 3 Absatz 2 Buchstabe b) EU-Personen verfolgt oder profiliert. Dies gilt für Unternehmen, die personenbezogene Daten für Verhaltensanalysen, gezielte Werbung oder ähnliche Zwecke verwenden.

Beispiele für Aktivitäten, die unter die Überwachung fallen, sind:

  • Verfolgung des Nutzerverhaltens durch Cookies, Device Fingerprinting oder ähnliche Instrumente.
  • Profiling von Personen für personalisierte Werbung oder Empfehlungen.
  • Analyse der Interaktionen von EU-Website-Besuchern mithilfe von Analysetools.
  • Verfolgung von Standortdaten durch mobile Anwendungen.
  • Aufzeichnung von Surfgewohnheiten zur Risikobewertung, Betrugserkennung oder zu ähnlichen Zwecken.

Wenn Sie eine dieser Aktivitäten mit in der EU ansässigen Personen durchführen, müssen Sie die EU-DSGVO einhalten - auch wenn Sie außerhalb der EU tätig sind.

Praktische Schritte zur Sicherstellung der EU GDPR Compliance

Wenn die EU-DSGVO auf Ihr Unternehmen Anwendung findet, ist es am besten, proaktive Schritte zu unternehmen, um Strafen und Störungen zu vermeiden. Zu den wichtigsten Maßnahmen gehören:

  • Ernennen Sie einen EU-Vertreter, falls dies gemäß Artikel 27 erforderlich ist, der als Kontaktstelle für Aufsichtsbehörden und EU-Bürger dient.
  • Aktualisieren Sie Ihre Datenschutzrichtlinien, um klar zu erklären, welche Daten Sie sammeln, warum, und wie Einzelpersonen ihre Rechte ausüben können.
  • Verstärken Sie die Datensicherheit, indem Sie Verschlüsselung, Zugangskontrollen und andere Schutzmaßnahmen einführen.
  • Führen Sie ordnungsgemäße Aufzeichnungen darüber, wie Sie mit EU-Daten umgehen, damit Sie die Einhaltung der Vorschriften auf Anfrage nachweisen können.
  • Bereiten Sie sich auf Anfragen von Betroffenen vor, z. B. auf Anträge auf Auskunft, Berichtigung und Löschung von Daten, indem Sie klare interne Prozesse einrichten.

Diese Schritte helfen Unternehmen, Risiken zu verringern, und stellen sicher, dass sie weiterhin ohne unnötige Hindernisse mit EU-Kunden zusammenarbeiten können.

Ergreifen Sie heute proaktive Schritte zur Einhaltung der EU-GDPR

Die Einhaltung der EU-DSGVO kann eine Herausforderung sein, insbesondere für Unternehmen außerhalb der EU, die vielleicht nicht wissen, dass sie sie einhalten müssen. Der breite Geltungsbereich der Verordnung, die strengen Anforderungen und die hohen Strafen machen es für internationale Unternehmen unerlässlich, ihre Verpflichtungen zu bewerten und zu handeln.

Für Nicht-EU-Unternehmen ist die Ernennung eines EU-Vertreters gemäß Artikel 27 oft einer der ersten Schritte zur Einhaltung der Vorschriften. Genau hier kann Prighter helfen. Wir bieten EU GDPR Representative Services für Hunderte von globalen Organisationen und können Ihrem Unternehmen helfen, seine Verpflichtungen zu verstehen und zu erfüllen, indem wir die Komplexität auf dem Weg dorthin beseitigen.

Überlassen Sie die Einhaltung der Vorschriften nicht dem Zufall - vereinbaren Sie noch heute einen Termin für eine Demo und finden Sie heraus, wie Prighter die Einhaltung der EU-GDPR nahtlos und stressfrei gestalten kann.