Seit dem 25. Mai 2018 ist die DSGVO[1] , die europäische Datenschutzverordnung, in Europa in Kraft, und sie hat auch Auswirkungen außerhalb des Kontinents.

Die Mentalität der überwiegenden Mehrheit der Unternehmen auf dem transatlantischen Kontinent geht davon aus, dass sie, solange sie keine etablierte Basis in Europa haben, die europäischen Vorschriften nicht ausdrücklich (über die Importbestimmungen hinaus) einhalten müssen oder, falls doch, dass nur sie die europäischen Vorschriften unabhängig und isoliert einhalten müssen. Ab dem Inkrafttreten der DSGVO müssen sich jedoch auch all diese Unternehmen an deren Bestimmungen halten:

– Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen oder der verantwortlichen Person in der Union, unabhängig davon, ob die Verarbeitung in der Union erfolgt oder nicht.

– verarbeitet personenbezogene Daten von Personen mit Wohnsitz in der Union, auch wenn das Unternehmen nicht in der Union niedergelassen ist, wenn die Verarbeitungstätigkeiten im Zusammenhang stehen mit

(a) die Lieferung von Waren oder Dienstleistungen an solche Datensubjekte in der Union, unabhängig davon, ob von ihnen eine Bezahlung verlangt wird oder nicht, oder

(b) Kontrolle ihres Verhaltens, soweit es innerhalb der Union stattfindet.

Auf diese Weise sollten amerikanische Unternehmen auf Verhaltensweisen achten, die als der DSGVO unterworfene Datenverarbeitung angesehen werden, auch wenn sie dies bei der Entwicklung ihrer Aktivitäten nicht in besonderer Weise vorgesehen hatten. Hier einige Beispiele:

– Von europäischen Kunden abonnierte Newsletter

– Europäische Kunden-Web-Kontakte

– Registrierung europäischer Kunden auf amerikanischen Service-Websites (unabhängig davon, ob sie kostenlos oder kostenpflichtig sind)

– Verkauf von Produkten an Verbraucher in Europa

– Erlangung persönlicher Daten von Fachleuten bei der Unterzeichnung von Verträgen mit europäischen Unternehmen

– Verarbeitung von Daten durch Cookies auf der Website des Unternehmens (Kontrolle des Verhaltens und Erstellung von Werbeprofilen durch das IP)

– Automatische Standorterkennung durch Anwendungen zur Erstellung von Präferenzprofilen (Erkennung zu Hause, am Arbeitsplatz usw.)

Diese und viele andere Verfahren werden für amerikanische Unternehmen die Notwendigkeit mit sich bringen, sich auf regulatorische Weise an die DSGVO anzupassen, und dies wird unter anderem die Notwendigkeit voraussehen zu müssen:

  1. angepasste Datenschutz- und Cookie-Richtlinien
  2. Hinweise/Banner über die Verwendung von Cookies, die den Anforderungen entsprechen
  3. keine vorausgewählten Akzeptanzfelder auf Ihren Webseiten
  4. Informieren Sie die Betroffenen gemäß Artikel 13 und 14 des GPRS auch dann, wenn die Zustimmung des Betroffenen nicht erforderlich ist
  5. Vorkehrungen für den Datenschutz in allen Verträgen mit europäischen Unternehmen zu treffen, da die Angaben zu den gesetzlichen Vertretern der Unternehmen (den Unterzeichnern) aufgenommen werden

Diese Anpassung erfordert von diesen Unternehmen eine detaillierte Analyse ihrer Geschäftsprozesse und Dokumentation, und es ist ratsam, Experten auf diesem Gebiet hinzuzuziehen, um die Risiken zu minimieren.

Die vom DSGVO festgelegten Sanktionen für Verstöße gegen die Vorschriften belaufen sich auf Beträge von bis zu 20.000.000 EUR oder 4% des gesamten Jahresumsatzes des Unternehmens im Vorjahr, je nachdem, welcher Betrag höher ist.

Ebenso müssen im gleichen Bedeutungsbereich wie die oben genannten Zustimmungen, die nach den Vorschriften vor dem DSGVO eingeholt wurden, überprüft werden, um festzustellen, ob sie noch gültig sind oder erneut eingeholt werden müssen.

 

 

Andreas Terán

Vilá Abogados

 

Für weitere Informationen wenden Sie sich bitte an:

va@vila.es

 

8. März 2019

 

 

[1] VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)