Wie sich die DSGVO auf US-Marken auswirken wird

Die Nutzung (und der Missbrauch) von Daten stellt Gesetzgeber und Strafverfolgungsbehörden vor besondere Herausforderungen. Im Gegensatz zu traditionellen Waren und Dienstleistungen respektieren Datenströme keine traditionellen internationalen Grenzen, und die Geschwindigkeit des technologischen Wandels bedeutet, dass das Datenschutzrecht immer entweder zu weit gefasst oder völlig veraltet ist.

Insbesondere die Regulierungsbehörden haben Mühe, wirksame Durchsetzungspraktiken für Unternehmen zu entwickeln, die in ihrem Hoheitsgebiet große Auswirkungen haben, aber physisch an einem anderen Ort ansässig sind.

Dies ist das zugrunde liegende Thema des aktuellen US-Supreme-Court-Falls United States v. Microsoft Corp , der vor kurzem dazu führte, dass der Clarifying Lawful Overseas Use of Data (CLOUD) Act im Eiltempo durchgesetzt wurde, der es den US-Behörden effektiv ermöglichen wird, Unternehmen zur Bereitstellung angeforderter Daten zu zwingen Daten, die auf Servern gespeichert werden, unabhängig davon, ob sie sich innerhalb der USA oder im Ausland befinden.

In ähnlicher Weise sind viele immer noch vom Cambridge Analytica/Facebook-Skandal erschüttert, der gezeigt hat, wie ausländische Manipulationen an den Daten von Einzelpersonen möglicherweise die Innenpolitik beeinträchtigen können.

In diesem Zusammenhang ist es vielleicht nicht überraschend, dass die Datenschutz-Grundverordnung (DSGVO), die neue richtungsweisende Datenschutzgesetzgebung der EU, darauf abzielt, verbesserte Datenschutzstandards nicht nur für Unternehmen mit Sitz in der EU, sondern auch für viele außerhalb der EU anzuwenden.

In diesem Beitrag untersuche ich, was die DSGVO für US-Marken bedeutet und welche Schritte sie gegebenenfalls jetzt unternehmen sollten, um sich darauf vorzubereiten:

Was ist die DSGVO und wie kann EU-Recht auf US-Unternehmen angewendet werden?

Einfach ausgedrückt ist die DSGVO eine EU-Gesetzgebung, die darauf abzielt, die personenbezogenen Daten von EU-Bürgern zu schützen, indem sie regelt, wie Organisationen diese Daten sammeln, speichern und verarbeiten.

Im Gegensatz zu ihrer Vorgängerin, der Datenschutzrichtlinie, die Unternehmen mit Sitz außerhalb der EU im Allgemeinen nicht regulierte, gilt die DSGVO für jede Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, wenn die Verarbeitungstätigkeiten entweder mit dem Anbieten von Waren zusammenhängen oder Dienstleistungen an solche betroffenen Personen in der EU (unabhängig davon, ob eine Zahlung der betroffenen Person erforderlich ist); oder die Überwachung ihres Verhaltens, soweit ihr Verhalten innerhalb der EU stattfindet.

Das bedeutet, dass die DSGVO nicht nur für multinationale Unternehmen mit Hauptsitz in den USA oder für US-Unternehmen mit direkter Geschäftstätigkeit in der EU relevant ist, sondern auch für viele US-Unternehmen, die dies nicht tun. Im Online-Kontext ist die DSGVO relevant, wenn:

• Sie haben eine starke Internetpräsenz in der EU (auch wenn Sie nicht direkt in die EU verkaufen)
• Sie sind ein E-Commerce-Unternehmen, das EU-Währungen akzeptiert und/oder ein EU-Domain-Suffix hat (z. B. .co.uk, .fr, .de usw.)
• Sie haben EU-Besucher und führen eine Personalisierung auf Ihrer Website durch.

Die Kosten dafür, dies falsch zu machen

Wenn einer der oben genannten Punkte auf Ihr Unternehmen zutrifft, sollten Sie Ihre Datenverarbeitungspraktiken sorgfältig überprüfen und feststellen, ob die DSGVO wahrscheinlich auf Ihre Online-Aktivitäten zutrifft oder nicht. Einer der Gründe, warum dies so wichtig ist, sind die erheblichen Bußgelder nach der neuen Verordnung.

Die DSGVO führt schwere Strafen für Unternehmen ein, die sich nicht an die neuen Regeln halten. Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes eines Unternehmens betragen – je nachdem, welcher Betrag höher ist.

Es ist noch unklar, wie die EU-Aufsichtsbehörden diese Strafen gegen US-Unternehmen verhängen würden, die in keinem EU-Land eine ständige Präsenz haben, aber die Höhe der potenziellen Geldbußen sollte bedeuten, dass sogar reine US-Unternehmen die neuen Vorschriften ernst nehmen sollten.

Compliance kann einfach sein, ist aber nicht nur eine Übung zum Ankreuzen

Entgegen der landläufigen Meinung kann die Einhaltung der DSGVO einfach und ohne großen Ressourcenaufwand erreicht werden. Es ist jedoch keine einfache Übung zum Ankreuzen, und einige der Schritte erfordern möglicherweise die Eingabe mehrerer Interessengruppen in Ihrer Organisation.

Für einen detaillierteren Leitfaden zu den neuen Anforderungen hat die britische Aufsichtsbehörde eine Zusammenfassung der DSGVO veröffentlicht, die ein guter Ausgangspunkt ist, wenn Sie neu zu diesem Thema kommen. Für Unternehmen, die nicht an das EU-Datenschutzrecht gewöhnt sind, kann die Einhaltung der DSGVO jedoch auch eine grundlegende Änderung der Datenkonzeption erfordern:

1.) Personenbezogene Daten vs. PII

Die Definition von „personenbezogenen Daten“ im Rahmen der DSGVO ist weit umfassender als das ähnliche US-amerikanische Konzept der „personenbezogenen Daten“ (PII).

PII, wie sie in den USA verstanden werden, ist in der Regel auf Identifikatoren wie Name, Sozialversicherungsnummer, Geburtsdatum und -ort sowie biometrische, medizinische, schulische, finanzielle und Beschäftigungsunterlagen beschränkt. Im Gegensatz dazu sind personenbezogene Daten in der EU alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person oder „betroffene Person“ beziehen. Dies umfasst Identifikatoren, die in der US-Definition von PII enthalten sind, und zusätzlich Online-Identifikatoren wie E-Mail-Adresse, Cookie-ID, IP-Adresse, Surfgewohnheiten, Standortdaten und so weiter.

In der Praxis bedeutet diese breite Definition von personenbezogenen Daten, dass Aktivitäten wie die Personalisierung von Websites von der DSGVO erfasst werden, selbst wenn eine solche Personalisierung nur die grundlegende Verwendung von Analysen auf der Grundlage der Cookie-ID oder IP-Adresse eines Benutzers beinhaltet.

2.) Die Datenschutzgrundsätze und Einwilligung

Die DSGVO erkennt an, dass Unternehmen ein berechtigtes Interesse an der Erhebung und Nutzung personenbezogener Daten haben (z. B. um zu verstehen, wie Besucher mit der Website eines Unternehmens interagieren). Dabei sind Unternehmen jedoch verpflichtet, bestimmte „Datenschutzgrundsätze“ zu beachten, wie etwa die Gewährleistung von Transparenz gegenüber der betroffenen Person.

Darüber hinaus kann es vorkommen, dass die Zustimmung eines Besuchers erforderlich ist, bevor seine Daten erfasst werden können, was nach der DSGVO mehr erfordert als nur den Verweis auf eine Online-Datenschutzerklärung. Die DSGVO schafft stillschweigende Einwilligungen und vorab angekreuzte Kästchen ab und legt den Unternehmen die Pflicht nachzuweisen, dass die betroffene Person vollständig verstanden und dem zugestimmt hat, wozu sie um Zustimmung gebeten wird.

3.) Eigentum

Anders als in den USA, wo normalerweise davon ausgegangen wird, dass alle von einer Website gesammelten Daten dem Eigentümer dieser Website gehören, gehören personenbezogene Daten in der EU der betroffenen Person. Dementsprechend hat diese Person ein Recht, zu kontrollieren, wie ihre Daten verarbeitet werden, was sich in den umfassenden Rechten für betroffene Personen gemäß der DSGVO widerspiegelt, auf ihre Daten zuzugreifen, Kopien anzufertigen und Unternehmen aufzufordern, ihre Daten zu löschen. Unternehmen müssen solchen Anfragen innerhalb strenger Fristen nachkommen oder sich potenziell strengen Durchsetzungsmaßnahmen lokaler Aufsichtsbehörden gegenübersehen.

In ähnlicher Weise werden auch bei der Einbeziehung Dritter deutlich strengere Anforderungen eingeführt. Insbesondere sollten betroffene Personen darüber informiert werden, an welche Unternehmen ihre Daten weitergegeben werden, und Organisationen dürfen nur Dritte beauftragen, die ein angemessenes Maß an Datensicherheit gewährleisten können. Dies ist durch konkrete Vertragsunterlagen nachzuweisen, die den inhaltlichen Anforderungen der DSGVO genügen. Das Verständnis dieser konzeptionellen Unterschiede wird für Unternehmen, die die DSGVO einhalten möchten, von entscheidender Bedeutung sein.

Einpacken

Die DSGVO wird die Art und Weise verändern, wie Unternehmen mit Daten interagieren – nicht nur in der EU, sondern auf der ganzen Welt. US-Marken, insbesondere diejenigen mit einer starken Internetpräsenz, sollten ihre Datenverarbeitungspraktiken sorgfältig überprüfen und feststellen, ob die DSGVO wahrscheinlich auf ihre Online-Aktivitäten Anwendung findet oder nicht. Alle Bedenken sollten rechtzeitig vor dem Inkrafttreten der DSGVO mit einem Anwalt besprochen werden, um die erheblichen Bußgelder nach der neuen Verordnung zu vermeiden.