Viele in den USA ansässige Unternehmen, die online tätig sind, haben Kunden aus der Europäischen Union (EU) oder anderen Teilen des Europäischen Wirtschaftsraums (EWR).
Wenn diese Unternehmen auch das Online-Verhalten der Nutzer verfolgen, müssen sie sich möglicherweise an die Allgemeine Datenschutzverordnung der EU (DSGVO), eine umfassende Datenschutzverordnung, halten.
Im Folgenden erkläre ich die Anforderungen für die Einhaltung der Bestimmungen von DSGVO in den USA und erläutere, warum Ihr Unternehmen unter diese Bestimmungen fallen könnte. Außerdem spreche ich mit einem Datenschutzexperten von fellow und biete Ihnen unter DSGVO einfache Lösungen an, mit denen Sie die notwendigen geschäftlichen Verpflichtungen erfüllen können.
- Gilt die Website DSGVO auch für die USA?
- DSGVO Anforderungen für US-Unternehmen
- DSGVO Durchsetzung in den USA
- Sind US-Einrichtungen von der DSGVO ausgenommen?
- Wie kann Termly US-Unternehmen bei der Einhaltung der Vorschriften helfen?
- Häufig gestellte Fragen zu DSGVO Compliance in den USA
- Zusammenfassung
Gilt die Website DSGVO auch für die USA?
Die kurze Antwort lautet ja; die DSGVO gilt für die Vereinigten Staaten in mehrfacher Hinsicht.
Eine Beschreibung des extraterritorialen Anwendungsbereichs von DSGVOfinden Sie in Artikel 3 des Textes.
U.S.-Unternehmen fallen entweder als für die Datenverarbeitung Verantwortliche oder als Datenverarbeiter unter die Zuständigkeit der DSGVO . Kurz gesagt, die für die Datenverarbeitung Verantwortlichen sind Einrichtungen, die entscheiden, wie bestimmte Daten verwendet werden, und Datenverarbeiter sind Einrichtungen, die diese Daten in irgendeiner Weise verwenden, speichern oder übertragen.
Wenn Ihre Website Waren oder Dienstleistungen für EU- oder EWR-Bürger anbietet und/oder personenbezogene Daten über sie sammelt, müssen Sie alle Geschäftsanforderungen von DSGVOerfüllen.
Außerdem schützt die Website DSGVO US-Bürger als betroffene Personen, allerdings nur, wenn sie die EU oder andere EWR-Länder besuchen. Der Schutz gilt nur, solange sie das Internet in diesen Gebieten nutzen.
In den folgenden Abschnitten werde ich näher darauf eingehen, wie die DSGVO für US-Unternehmen, Bürger und andere Personen gilt.
Doch zunächst ist es wichtig, die zusätzlichen Möglichkeiten zu erkunden, wie die Einhaltung der Datenschutzgesetze Ihrem Unternehmen zugute kommen kann.
Laut Konrad Martin, dem CEO von Tech Advisors, "bietet die Einhaltung von Datenschutzgesetzen wie DSGVO praktische Vorteile, die über die bloße Einhaltung von Gesetzen hinausgehen."
"Diese Verordnungen bieten einen Fahrplan für den Schutz personenbezogener Daten, der es Unternehmen ermöglicht, Informationen effektiv, aber verantwortungsvoll zu sammeln und zu nutzen.
Martin fügt hinzu: "Ich habe mit Kunden zusammengearbeitet, die anfangs Probleme mit der Einhaltung von Vorschriften hatten, aber durch strukturierte Ansätze wie klare Datenschutzrichtlinien und regelmäßige Datenaudits haben sie nicht nur ihre Sicherheit verbessert, sondern auch einen Wettbewerbsvorteil erlangt."
Gilt die DSGVO für US-Unternehmen?
Ja, die DSGVO gilt für jedes US-Unternehmen, das personenbezogene Daten verarbeitet und eine der folgenden Voraussetzungen erfüllt:
- Waren oder Dienstleistungen anbietet, die für Verbraucher in der EU oder im EWR zugänglich sind, auch wenn keine Geldtransaktion erforderlich ist
- das Verhalten von Nutzern in der EU oder im EWR zu überwachen, d. h. Informationen über diese Nutzer zu sammeln, zu verwenden oder zu analysieren
Die Website DSGVO schreibt keine Größen- oder Umsatzschwelle für Unternehmen vor, wie dies bei einigen Datenschutzgesetzen der US-Bundesstaaten der Fall ist, nämlich dem California Consumer Privacy Act(CCPA) und dem Virginia Consumer Data Protection Act(CDPA).
Stattdessen kann ein in den USA ansässiges Unternehmen jeder Größe als für die Verarbeitung Verantwortlicher im Sinne von DSGVO gelten, der in Artikel 4 als solcher definiert wird:
"... die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Datenentscheidet ..."
Einfach ausgedrückt ist ein für die Datenverarbeitung Verantwortlicher eine Einrichtung, die entscheidet, warum und wie personenbezogene Daten verwendet werden.
Alternativ können sich Unternehmen in den USA als Datenverarbeiter qualifizieren, was in Artikel 4 wie folgt definiert wird:
"... eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet."
Die Datenverarbeitung gemäß DSGVO bezieht sich auf das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Nutzung, die Offenlegung durch Übermittlung, die Verbreitung oder die anderweitige Bereitstellung von personenbezogenen Daten.
Um zu verdeutlichen, wann die DSGVO anwendbar ist, werden im Folgenden einige hypothetische Beispiele aufgeführt, die zeigen, wie verschiedene US-Unternehmen betroffen sind.
| Geschäftliches Beispiel | Fällt sie unter DSGVO? | Warum? |
| #Nr. 1: Die E-Commerce-Website eines in New York ansässigen Bekleidungsgeschäfts, das Bestellungen in mehrere europäische Großstädte wie Paris und Berlin liefert. | ✅ DSGVO Gilt | Dieses Unternehmen verkauft Waren an Verbraucher in der EU und im EWR und überwacht das Verhalten der betroffenen Personen in diesen Regionen. |
| #Nr. 2: Die Portfolio-Website eines in Los Angeles ansässigen freiberuflichen Reiseschriftstellers, der auf Französisch schreibt und Aufträge von Publikationen in Frankreich annimmt. | ✅ DSGVO Gilt | Dieses Unternehmen hat es auf französische Bürger abgesehen und überwacht ihr Verhalten, während sie sich in der EU/im EWR aufhalten. |
| #Nr. 3: Ein in Chicago ansässiges Kaffeegeschäft, das Online-Bestellungen für Lieferungen innerhalb eines 3-Meilen-Radius annimmt. | ❌ DSGVO Nicht zutreffend | Dieses Unternehmen richtet sich nicht an Verbraucher in der EU oder im EWR und beobachtet auch nicht das Verhalten der Verbraucher in diesen Regionen. |
| #4: Eine Website, die Treffen zum Sprachaustausch in Houston, Texas, ermöglicht. | ❌ DSGVO Nicht zutreffend | Dieses Unternehmen richtet sich an die Einwohner von Houston und nicht an Verbraucher aus der EU oder dem EWR. Außerdem überwacht es nur das Verhalten von Verbrauchern in den USA. |
Gilt die Website DSGVO auch für US-Bürger?
Ja, die Website DSGVO gilt für US-Bürger, die sich in einem geschützten EU-/EWR-Land befinden.
Auf DSGVO wird in Artikel 3 der Begriff " betroffene Personen " verwendet, wenn es um die Personen geht, deren Daten verarbeitet werden, aber es werden weder Staatsangehörigkeit noch Nationalität erwähnt. Diese Auslassung bedeutet, dass der Anwendungsbereich von DSGVO nicht auf die Staatsangehörigkeit, sondern auf den Standort abstellt, so dass wir berücksichtigen müssen, wo sich die betroffene Person befindet, wenn ihre Daten verarbeitet werden.
In der nachstehenden Tabelle habe ich hypothetische Beispiele dafür aufgeführt, wann die Website DSGVO US-Bürger schützt und wann nicht.
| Menschliches Beispiel | Gilt die DSGVO ? | Warum? |
| Ein US-amerikanischer Tourist macht Urlaub in Frankreich und nutzt während seines Aufenthalts Apps für Essenslieferungen. | ✅ DSGVO Gilt | Diese Person befand sich zu dem Zeitpunkt, als sie die in der EU ansässigen Lebensmittellieferdienste in Anspruch nahm, in einer DSGVO-geschützten Region. |
| Ein Mann aus New York hält sich mit einer einjährigen Arbeitserlaubnis in Spanien auf und meldet sich bei Netflix an, während er dort lebt. | ✅ DSGVO Gilt | Diese Person befand sich in einem DSGVO-geschützten Land, als sie sich bei Netflix anmeldete, einem Unternehmen, das persönliche Daten von Nutzern sammelt. |
| Eine Person aus Boston besucht Island, das im EWR liegt, und lädt nach ihrer Rückkehr Inhalte auf ihr TikTok hoch. | ❌ DSGVO Nicht zutreffend | Obwohl die für die TikToks verwendeten Videos in Island aufgenommen wurden, werden die Daten selbst hochgeladen, während sich die Person in den USA befindet, die kein DSGVO-geschütztes Land sind. |
Gilt die Website DSGVO für EU-Bürger in den USA?
Jetzt wird es interessant: Wenn sich ein EU-Bürger in den USA aufhält, gilt die Website DSGVO aufgrund des ortsbezogenen Anwendungsbereichs nicht mehr für ihn.
Bei der Bestimmung der Anwendbarkeit von DSGVO hat der Standort der betroffenen Person Vorrang vor ihrer Staatsangehörigkeit, so dass die Verordnung EU-Bürger, die in die USA reisen oder dort leben, nicht schützt.
Auch wenn DSGVO möglicherweise nicht anwendbar ist, können andere Datenschutzgesetze der US-Bundesstaaten ihre Daten in ähnlicher Weise schützen, z. B:
- Kalifornisches Gesetz zum Schutz der Privatsphäre im Internet (CalOPPA)
- Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA)
- Kalifornisches Verbraucherschutzgesetz(CCPA)
- Virginia Verbraucherdatenschutzgesetz(CDPA)
Gilt die Website DSGVO auch für die US-Regierung?
Ja, die DSGVO gilt für die US-Regierung.
Bundes- und Landesbehörden müssen die Richtlinien der Verordnung befolgen, da die DSGVO keine pauschalen Ausnahmen für Regierungs- oder öffentliche Einrichtungen vorsieht.
Wenn die US-Regierung also personenbezogene Daten von Nutzern aus der EU oder dem EWR anvisiert oder verarbeitet, muss sie die Bestimmungen von DSGVO einhalten, wie dies auch für alle öffentlichen Einrichtungen außerhalb der EU oder des EWR gilt.
Artikel 2 entbindet jedoch staatliche Stellen von der Einhaltung bestimmter Bestimmungen der Verordnung, solange die Verarbeitung aus Gründen des öffentlichen Interesses erfolgt, wie z. B. zur Verhütung, Untersuchung und Verfolgung von Straftaten oder Gefahren für die öffentliche Sicherheit.
Da die USA jedoch kein EU-Mitgliedstaat sind, gelten diese Ausnahmen nicht. Mit anderen Worten: Die US-Regierung muss immer noch alle Verpflichtungen erfüllen, die in der DSGVO aufgeführt sind.
DSGVO Anforderungen für US-Unternehmen
Da Sie nun wissen, dass Ihr Unternehmen in den USA in die Zuständigkeit der DSGVO fällt, fragen Sie sich vielleicht, wie Sie all diese Anforderungen erfüllen können.
Lassen Sie mich dies in sieben einfachen Schritten erläutern.
Schritt 1: Durchführung eines Datenschutz-Audits
Um alle Anforderungen von DSGVO angemessen zu erfüllen, empfehle ich, ein Datenschutz-Audit durchzuführen, um alle persönlichen Daten zu ermitteln, die Ihre Website von den Nutzern sammelt.
- Behalten Sie den Überblick über die spezifischen Arten der erfassten Daten, wie IP-Adressen, Namen, E-Mail-Adressen usw.
- Vergessen Sie nicht, Cookies und Tracker einzubeziehen, die Sie finden können, indem Sie Ihre Website durch einen cookie scanner laufen lassen.
- Achten Sie auf besondere Kategorien von Informationen, die Sie möglicherweise sammeln, z. B. sensible personenbezogene Daten.
Dieser Schritt ist zwar nicht gesetzlich vorgeschrieben ( DSGVO), aber er wird es Ihrem Unternehmen erleichtern, die Vorschriften vollständig einzuhalten.
Schritt 2: Bestimmen Sie Ihre Rechtsgrundlage für die Verarbeitung von Informationen
Nachdem Sie nun wissen, welche Daten Ihre Website von den Nutzern erhebt, legen Sie die Rechtsgrundlage für die Datenverarbeitung fest, wie sie in Kapitel 2, Artikel 6 der Verordnung beschrieben ist.
Zu den sechs Rechtsgrundlagen, die auf der Website DSGVO aufgeführt sind, gehören:
- Legitimes Interesse
- Zustimmung der betroffenen Person
- Vertragliche Notwendigkeit
- Lebenswichtiges Interesse des Nutzers oder einer anderen Person
- Rechtliche Verpflichtung
- Öffentliches Interesse oder durch die Richtlinie des für die Verarbeitung Verantwortlichen
Sie müssen die Verbraucher über Ihre Rechtsgrundlage für jede von Ihnen verarbeitete Datenkategorie informieren, die Sie in Ihre Datenschutzerklärung aufnehmen können.
Schritt 3: Erstellen Sie eine DSGVO-konforme Datenschutzrichtlinie
Als nächstes sollten Sie eine Datenschutzrichtlinie veröffentlichen, die Ihre Nutzer leicht finden, lesen und verstehen können.
Gemäß Kapitel 3, Artikel 13 der Verordnung müssen Sie die betroffenen Personen über die Einzelheiten Ihrer Datenverarbeitungspraktiken informieren, wenn Sie die Informationen von ihnen erhalten.
Gemäß Artikel 15 muss Ihre Datenschutzpolitik folgende Angaben enthalten:
- Welche persönlichen Informationen Sie von den betroffenen Personen sammeln
- Wie Sie die persönlichen Informationen sammeln
- Die Rechtsgrundlage für die Erhebung der personenbezogenen Daten
- Welche Kategorien personenbezogener Daten Sie sammeln (sensible, nicht-sensible oder kriminelle)
- Wie lange Sie die personenbezogenen Daten speichern
- Mit wem Sie die persönlichen Daten teilen
- Eine Erläuterung der Rechte, die die betroffenen Personen in Bezug auf ihre persönlichen Daten haben
Schritt 4: Einholung, Nachverfolgung und Protokollierung der Benutzerzustimmung
Wenn die Einwilligung eine der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten ist, müssen Sie die Einwilligung der betroffenen Personen einholen, nachverfolgen und protokollieren, um die in Kapitel 2, Artikel 7, beschriebene DSGVO zu erfüllen.
Richten Sie dazu einen cookie banner auf Ihrer Website ein, das auf eine Cookie-Richtlinie und eine Datenschutzrichtlinie verweist und den Nutzern die Möglichkeit gibt, sich für oder gegen eine Nachverfolgung zu entscheiden. Außerdem müssen Sie den Nutzern die Möglichkeit bieten, ihre Zustimmung jederzeit zu widerrufen.
Sie müssen ein genaues Protokoll über die Einwilligungsentscheidungen der Betroffenen führen, solange Sie ihre Daten verwenden.
Vielleicht können Sie das alles selbst erledigen, aber ich empfehle Ihnen eine automatisierte Lösung, wie unseren Cookie Consent Manager, um den gesamten Prozess zu vereinfachen.
Schritt 5: Verwenden Sie konforme Datenverarbeitungsvereinbarungen
Wenn Sie planen, mit Dritten zusammenzuarbeiten, die Zugang zu den Daten Ihrer Nutzer haben oder diese verarbeiten, müssen Sie Verträge erstellen und unterzeichnen, die den spezifischen Anforderungen von DSGVO entsprechen, wie in Kapitel 4, Artikel 28 beschrieben.
Diese Verträge, auch Datenverarbeitungsverträge genannt, werden zwischen dem für die Datenverarbeitung Verantwortlichen und dem Datenverarbeiter geschlossen.
Eine DPA verpflichtet einen Datenverarbeiter dazu:
- sich verpflichten, Daten nur auf schriftliche Anweisung des für die Datenverarbeitung Verantwortlichen zu verarbeiten.
- Wahrung der Vertraulichkeit der in die Verarbeitung einbezogenen personenbezogenen Daten.
- Führen Sie alle Maßnahmen auf, die die Sicherheit der personenbezogenen Daten gewährleisten.
- Einholung der Zustimmung des für die Verarbeitung Verantwortlichen zur Auslagerung von delegierten Funktionen.
- Unterstützung des für die Verarbeitung Verantwortlichen bei der Einhaltung der DSGVO in Bezug auf die Rechte der betroffenen Personen und der in den Artikeln 32 und 36 der Verordnung genannten Pflichten in Bezug auf die Sicherheit der Verarbeitung und die vorherige Konsultation.
- alle im Namen des für die Verarbeitung Verantwortlichen erhobenen personenbezogenen Daten nach Beendigung des Vertrags zu löschen.
- bei Bedarf von dem für die Datenverarbeitung Verantwortlichen überprüft werden.
Beide Parteien müssen den spezifischen Bedingungen der DPA zustimmen und sie unterzeichnen.
Schritt 6: Befolgen Sie die Richtlinien zur Datensicherheit und -speicherung
US-Unternehmen, die gemäß DSGVO als für die Verarbeitung Verantwortliche oder Auftragsverarbeiter gelten, müssen auch Richtlinien zur Datensicherheit und -speicherung befolgen, um sicherzustellen, dass die personenbezogenen Daten der Nutzer vor Verstößen oder Lecks geschützt sind.
In Artikel 32 der Verordnung werden die folgenden Sicherheitsmaßnahmen vorgeschlagen::
- Daten pseudonymisieren und verschlüsseln
- Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste
- die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten im Falle eines Zwischenfalls unverzüglich wiederherzustellen
- Einführung eines Verfahrens zur Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter sind für die Durchführung geeigneter Kontrollen und Sicherheitsmaßnahmen zum Schutz der Rechte der betroffenen Personen verantwortlich.
Schritt 7: Befolgen Sie alle internationalen Datenübertragungsanforderungen
Die Europäische Kommission hat am 10. Juli 2023 den EU-US-Datenschutzrahmen (DPF) angenommen, der einen wirksamen Angemessenheitsbeschluss gemäß DSGVO für die internationale Übermittlung personenbezogener Daten in die USA darstellt.
US-Unternehmen können sich gegenüber dem Handelsministerium freiwillig selbst zertifizieren, dass sie die Grundsätze der DPF einhalten, und Daten können dann gemäß DSGVO aus der EU/dem EWR in die USA übermittelt werden.
Alle Unternehmen, die sich nicht beim Handelsministerium zertifizieren lassen, müssen die Richtlinien in Kapitel 5, Artikel 46 der DSGVO erfüllen, um als konform zu gelten.
DSGVO Durchsetzung in den USA
In den USA und im Rest der Welt setzen verschiedene Aufsichtsbehörden der einzelnen EU-Mitgliedstaaten die DSGVO durch. Diese Personen werden als Datenschutzbehörden bezeichnet.
U.S.-Unternehmen - oder jede andere juristische Person -, die einen Verstoß gegen DSGVO begehen, müssen mit Geldstrafen von bis zu 10 Millionen Euro (12 Millionen Dollar) oder 2 % ihres Bruttojahresumsatzes des vorangegangenen Geschäftsjahres rechnen, je nachdem, welcher Betrag höher ist.
Wenn Ihr Unternehmen in der EU/im EWR präsent ist oder dort Vermögenswerte besitzt, wie Bankkonten, Immobilien oder Server, können diese wegen der Nichteinhaltung der Bestimmungen von DSGVO beschlagnahmt werden.
Wenn Sie keine Vermögenswerte in der EU/im EWR haben, müssen Sie einen Vertreter benennen, der in der EU ansässig ist und als Verbindungsperson fungiert. Diese Person wird als Datenschutzbeauftragter bezeichnet. Im Falle eines Verstoßes gegen die Bestimmungen von DSGVO , an dem Ihr in den USA ansässiges Unternehmen beteiligt ist, werden die Bußgelder über diesen Vertreter eingezogen.
DSGVO Geldbußen für US-Unternehmen
Unternehmen aus den USA haben seit Inkrafttreten der Verordnung vor Jahren unzählige Bußgelder für die Nichteinhaltung von DSGVO erhalten.
Die nationalen Durchsetzungsbehörden verschiedener EU-/EWR-Mitgliedstaaten verfügen über die rechtlichen Mittel, um Bußgelder und Strafen bei Nichteinhaltung von Vorschriften gegen Unternehmen außerhalb ihres Hoheitsgebiets durchzusetzen.
In der nachstehenden Tabelle sind einige der größten DSGVO Geldbußen aufgeführt , die in den letzten Jahren gegen US-Unternehmen verhängt wurden.
| Unternehmen | Strafe | Jahr Ausgestellt | Durchgesetzt von | Warum? |
|
Google Hauptsitz in Kalifornien |
60 Millionen Euro (66 Millionen Dollar) | 2021 | Frankreichs CNIL | Es wurde versäumt, den Nutzern eine angemessene und einfache Möglichkeit zu geben, Cookies auf YouTube abzulehnen. |
|
Facebook (Meta) Hauptsitz in Kalifornien |
60 Millionen Euro (66 Millionen Dollar) | 2021 | Frankreichs CNIL | Es wurde versäumt, den Nutzern angemessene und einfache Möglichkeiten zu geben, Cookies auf Facebook abzulehnen. |
|
Instagram (Meta) Hauptsitz in Kalifornien |
405 Millionen € (403 Millionen $) | 2022 | Irischer Datenschutzbeauftragter | Verstoß gegen die Vorschriften über die Verarbeitung von Daten von Kindern ohne Rechtsgrundlage. Status: laufend |
| Clearview AI | 20 Millionen Euro (22 Millionen Dollar) | 2022 | Italienischer Datenschutzbeauftragter | Verarbeitung von biometrischen Daten und Geolokalisierungsdaten ohne angemessene Rechtsgrundlage. Status: laufend |
Einige Unternehmen - wie viele US-amerikanische Nachrichtenseiten - sperren ihre Websites aktiv für EU-Nutzer, um Geldstrafen zu vermeiden, riskieren aber, Kunden dauerhaft zu verlieren(Reuters).
Eines ist sicher: Die Nichteinhaltung von DSGVO kann für amerikanische Unternehmen, die in der EU/im EWR tätig sind, teuer werden.
Vermeiden Sie die Strafen, indem Sie die Richtlinien und geschäftlichen Verpflichtungen der Verordnung befolgen. Dies beginnt mit der Veröffentlichung einer DSGVO-konformen Datenschutzrichtlinie und der Implementierung einer ordnungsgemäßen DSGVO -Zustimmungsverwaltung und Kontrollen auf Ihrer Website.
Sind US-Einrichtungen von der DSGVO ausgenommen?
Einige US-Unternehmen sind vollständig von der DSGVO befreit und müssen sich nicht um die Einhaltung der verschiedenen Aspekte dieser Verordnung kümmern.
Insbesondere müssen US-Unternehmen, die keine Waren oder Dienstleistungen an EU- oder EWR-Verbraucher liefern oder deren Verhalten überwachen, die Verordnung nicht befolgen.
Mit anderen Worten: Wenn Ihre Website nicht mit Personen aus der EU oder dem EWR interagiert, müssen Sie sich nicht um die Einhaltung der Bestimmungen von DSGVO kümmern.
Gemäß Artikel 30, Teil 5 des Textes müssen Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, einige der gesetzlich vorgeschriebenen Aufzeichnungspflichten nicht einhalten. Dies ist jedoch keine vollständige Befreiung und entbindet kleine Unternehmen nicht von den oben beschriebenen Schritten.
Wie kann Termly US-Unternehmen bei der Einhaltung der Vorschriften helfen?
TermlyDie umfassende Palette an Datenschutzlösungen von DSGVO kann US-Unternehmen dabei helfen, die vollständig einzuhalten. Was mir am besten gefällt? Sie können alles bequem an einem Ort direkt von Ihrem Termly Dashboard aus verwalten.
Unser Datenschutzerklärung Generatorenthält zum Beispiel alle relevanten Klauseln, Formulierungen und Informationen, die in der Verordnung vorgeschrieben sind. Sie müssen lediglich einfache Multiple-Choice-Fragen zu Ihrem Unternehmen beantworten, und das Programm erstellt auf der Grundlage Ihrer Antworten eine ordnungsgemäß formatierte, vorschriftsmäßige Police.
Nachstehend finden Sie ein Beispiel für einen Screenshot unserer Datenschutzerklärung Generator .
Wir bieten auch eine Consent Management Platform (CMP) zur Verfügung, mit der Sie alle DSGVO erfüllen können, z. B. die Einholung und Protokollierung der Zustimmungsentscheidungen Ihrer EU- und EWR-Nutzer.
Unten sehen Sie ein Beispiel für die Konfiguration unseres Einwilligungsbanners für die Einhaltung der Bestimmungen von DSGVO , das Sie auf der Grundlage des regionalen Standorts Ihrer Nutzer einrichten können.
TermlyMasha Komnenic, Director of Global Privacy, trägt dazu bei, dass unser Rechtsteam und unsere Datenschutzexperten unsere Richtliniengeneratoren, Vorlagen und Tools prüfen. Wir aktualisieren sie regelmäßig, damit Sie mit neuen und sich ändernden Datenschutzgesetzen Schritt halten können.
Häufig gestellte Fragen zu DSGVO Compliance in den USA
Im Folgenden habe ich mir die Zeit genommen, einige der am häufigsten gestellten Fragen zu beantworten, die wir über DSGVO in den USA erhalten.
Wie wirkt sich die DSGVO auf US-Unternehmen aus?
Die Website DSGVO betrifft US-Unternehmen, da sie für jede Website gilt, die personenbezogene Daten sammelt und Kunden aus der EU oder dem EWR hat, unabhängig vom Standort des Unternehmens.
US-Websites, die Waren für in der EU und im EWR ansässige Personen anbieten oder das Verhalten von Nutzern in diesen Gebieten überwachen, müssen alle in der DSGVO genannten Verpflichtungen einhalten, sonst drohen ihnen bei Verstößen gegen die Verordnung erhebliche Geldstrafen.
Wann müssen US-Unternehmen die Bestimmungen der DSGVO erfüllen?
US-Unternehmen müssen die Bestimmungen von DSGVO einhalten, wenn sie Verbrauchern in der EU oder im EWR Waren oder Dienstleistungen anbieten oder deren Online-Verhalten überwachen.
In Artikel 3 des Textes von DSGVO wird der territoriale Geltungsbereich erläutert.
Was ist das US-amerikanische Pendant zu DSGVO?
Das US-amerikanische Pendant zu DSGVO ist der CCPA oder California Consumer Privacy Act. Es wurde durch das DSGVO inspiriert, und beide Gesetze schützen die persönlichen Daten der Verbraucher.
Die DSGVO gilt für Unternehmen, die Daten von Nutzern im EWR (Europäischer Wirtschaftsraum) erheben, während die CCPA für Unternehmen gilt, die Daten von Einwohnern Kaliforniens erheben.
Gilt die Website DSGVO auch für US-Websites?
Ja, die DSGVO gilt für US-Websites, die personenbezogene Daten von EWR-Bürgern sammeln. Zu den personenbezogenen Daten gehören alle identifizierenden Informationen wie Namen, Kontaktinformationen und Gerätedaten. Die Nichteinhaltung der DSGVO kann zu Geldbußen und rechtlichen Sanktionen führen, auch für US-Websites.
Was sind personenbezogene Daten in den USA nach der DSGVO?
Die DSGVO definiert personenbezogene Daten als alle Informationen, die eine Person entweder direkt oder indirekt identifizieren können, wie Namen, Identifikationsnummern, Standortdaten oder Online-Kennungen. Diese Definition gilt für Unternehmen in den Vereinigten Staaten und anderen Teilen der Welt.
Was passiert, wenn sich US-Unternehmen nicht an die DSGVO halten?
Halten sich US-Unternehmen nicht an die DSGVO und handelt es sich um einen unbeabsichtigten Verstoß, können sie mit einer Geldstrafe von bis zu 10 Mio. € (12 Mio. $) oder 2 % ihres Bruttojahreseinkommens aus dem Vorjahr belegt werden, je nachdem, welcher Betrag höher ist. Bei vorsätzlichen Verstößen drohen Geldbußen von bis zu 20 Mio. EUR oder 4 % des Jahreseinkommens.
Sie müssen auch die Datenerhebungspraktiken einstellen, die nicht mit der DSGVO übereinstimmen, und die Situation bereinigen.
Welche Organisation kann US-Unternehmen für die Nichteinhaltung von Vorschriften bestrafen?
Die Aufsichtsbehörden in den verschiedenen EU-Mitgliedstaaten setzen die DSGVO in den USA durch. Wenn Sie gegen die Verordnung verstoßen, benötigen Sie möglicherweise einen physischen Vertreter in der EU oder im EWR, der als Ihre Kontaktperson fungiert.
Zusammenfassung
Unternehmen fallen unter die Zuständigkeit der DSGVO , wenn sie personenbezogene Daten über eine Person innerhalb der EU/des EWR verarbeiten, was bedeutet, dass auch US-Unternehmen, Bürger sowie Bundes- und Landesregierungen betroffen sein können.
Da die DSGVO die betroffenen Personen unabhängig von ihrem Aufenthaltsort zum Zeitpunkt der Datenverarbeitung schützt, kann diese Verordnung auf alle Personen innerhalb eines EU- oder EWR-Landes angewendet werden, unabhängig von ihrer Staatsangehörigkeit oder ihrem Bürgerstatus.
Vermeiden Sie DSGVO mit dem kostenlosen Datenschutzerklärung Generator und der Consent Management Platform um die Verordnung ordnungsgemäß einzuhalten.
Mehr über die Autorin
Geschrieben von Josh Langeland, CIPM
Hallo, ich bin Josh! Ich bin ein Privacy Engineer, der sich leidenschaftlich für den Einsatz von Technologie zur Wahrung der Privatsphäre der Nutzer einsetzt. Ich fühle mich an der Schnittstelle zwischen komplexer Technologie und sich ständig änderndem Datenschutzrecht wohl. Wenn ich nicht gerade eine Entwurfsprüfung durchführe oder ein System neu architektiere, lese ich vielleicht eine Biografie oder gehe im nächstgelegenen Nationalpark wandern. Mehr über die Autorin
Rezensiert von Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direktorin für globalen Datenschutz
