Die EU-DSGVO hat auch auf US-amerikanische Unternehmen weitreichende Auswirkungen: Neben der Frage nach dem Speicherort für persönliche Daten stehen vor allem umfangreiche Nutzerrechte im Fokus. Wer nicht konform zur neuen Datenschutzgrundverordnung handelt, riskiert unter Umständen empfindliche Strafen – auch bei einem Unternehmenssitz außerhalb der Europäischen Union.
Seit Mai 2018 gilt in Europa die europäische Datenschutzgrundverordnung (EU-DSGVO kurz DSGVO). Sie regelt unter anderem die Rechte von Verbrauchern sowie die Pflichten von Unternehmen und Webseitenbetreibern, was den Umgang mit persönlichen Daten ihrer Nutzer und Kunden angeht. Gerade US-amerikanische Unternehmen tun sich teilweise schwer mit der Umsetzung – obwohl die neuen Gesetze dort inzwischen auch als Chance verstanden werden.
Die EU-DSGVO und ihre Auswirkungen auf US-amerikanische Unternehmen
Das Internet ist global und grenzübergreifend: Im damit verbundenen Welthandel wachsen Märkte mehr und mehr zusammen. Obwohl die für den europäischen Wirtschaftsraum verabschiedete DSGVO eigentlich nur für den Datenschutz innerhalb der Europäischen Union gilt, müssen sich auch US-amerikanische Unternehmen darauf einstellen. Schließlich machen diese einen nicht unerheblichen Teil ihres Umsatzes auf dem europäischen Markt. Während in Deutschland bereits das Bundesdatenschutzgesetz (BDSG), das vor Inkrafttreten der DSGVO gültig war, weitreichende Anforderungen an den Datenschutz stellte und Verstöße gegen bundesdeutsches Recht mit erheblichen Strafen bedachte, geht die europäische Regelung noch einige Schritte weiter. Unternehmen aus Drittländern – insbes. den USA – waren und sind derart strenge Richtlinien (u.a. das sog. „Recht auf Datenlöschung”) und andere Aspekte der Verordnung bislang nicht gewohnt. In vielen Unternehmen erfordert die neue Regelung somit umfangreiche Nachbesserungen an den eigenen Datenschutzgepflogenheiten.
Der Umgang mit diesen Anforderungen ist jedoch durchaus unterschiedlich: Vor dem Hintergrund der neuen gesetzlichen Regelungen hat sich z.B. die „Los Angeles Times” dazu entschlossen, ihre Website für Nutzer aus der EU kurzerhand zu sperren. Der US-Internetriese Google dagegen hat nach eigenen Angaben ganze 500 Mannjahre in die Umstellung seiner Angebote auf die DSGVO-Anforderungen gesteckt; und das nicht ohne Grund: Bei Verstößen gegen die DSGVO drohen nicht mehr, wie bisher unter der Gültigkeit des BDSG, Strafen in einer maximal fünfstelligen Höhe. Stattdessen orientieren sich die möglichen Sanktionen nunmehr am Umsatz eines Konzerns. Sie können je nach Schwere des Vergehens zwischen zwei und vier Prozent des weltweiten Jahresgesamtumsatzes betragen..
Insbes. folgende Aspekte der DSGVO beeinflussen die Inhalte und Ausgestaltung von Verordnungen anderer Länder; und damit auch IT-Infrastrukturen sowie die zugehörigen Websites:
- Rechtmäßigkeit und Verantwortlichkeit
Die erhobenen Daten müssen im Einklang mit der geltenden Verordnung erhoben werden und die für die Erhebung verantwortlichen Parteien klar benannt sein. - Fairness und Transparenz
Dem Nutzer muss zu jeder Zeit klar sein, welche Daten zu welchem Zweck erhoben werden. Hierzu zählen neben den vom Nutzer eingegebenen Daten auch IP-Adressen sowie eventuelle Cookies, die beim Besuch einer Website auf dem Rechner des Nutzers abgelegt werden. - Zweckbindung und Datensparsamkeit
Alle gespeicherten Daten dürfen nur für die eigentliche Absicht des Nutzers verwendet werden, beispielsweise einen Kauf oder eine Registrierung in einem bestimmten Portal. Jegliche nicht zwingend nötige Übertragung der Daten zwischen verschiedenen Systemen ist nur zulässig, sofern dies für die Abwicklung des Vorgangs erforderlich ist. Jegliche Datenverarbeitung, die über diesen eigentlichen Zweck hinausgeht, ist vom Nutzer explizit zu bewilligen. - Sachliche Richtigkeit und begrenzte Speicherung
Der Betreiber einer Website oder allgemein eines Angebots hat dafür Sorge zu tragen, dass die dargestellten Informationen korrekt und vollständig sind. Außerdem hat er die Daten nach Ablauf einer gewissen Frist zu löschen und nicht dauerhaft abzulegen.
Insbes. das Recht auf jederzeitige Datenlöschung auf Nutzeranfrage bereitet in herkömmlichen Infrastrukturen Kopfzerbrechen. Das gilt besonders dann, wenn die Daten (dazu zählen auch hochgeladene Bilder und Videos) wie bei Großunternehmen üblich auf mehreren Servern auf der ganzen Welt verteilt liegen. Außerdem können Nutzer jederzeit der weiteren Verarbeitung ihrer Daten widersprechen, ohne dass diese gelöscht werden müssen. Das bedeutet eine weitere Option, die technisch umgesetzt werden muss. Außerdem müssen die Nutzer das Recht erhalten, jederzeit einzusehen, welche Daten von ihnen in welcher Form aktuell gespeichert sind. Das soziale Netzwerk Facebook bietet eine solche Auswertung schon seit Längerem an und hat ebenfalls viel Zeit und Mühe in die Einhaltung der DSGVO investiert.
Ganz klar – die DSGVO hat bei ausländischen und gerade US-amerikanischen IT-Unternehmen anfangs nicht unbedingt für Begeisterung gesorgt; bringt sie doch jede Menge Handlungsbedarf mit sich. Daten sind jedoch das neue Kapital für Firmen und so ist es verständlich, dass sich die Politik mit der Sicherheit ihrer Bürger auseinandersetzt und strengere gesetzliche Regelungen erlässt. Die meisten Unternehmen stellen sich letztlich auf diese Anforderungen ein, da sie weiterhin in Europa Geschäfte machen wollen.
Viele US-amerikanische Unternehmen haben das Potenzial verbesserten Datenschutzes inzwischen erkannt, was sich bei den Verbrauchern in einem größeren Vertrauen niederschlägt. Daher bessern die amerikanischen Unternehmen zunehmend auch im eigenen Land nach, und auch die Politik orientiert sich am europäischen Vorbild. So hat der US-Bundesstaat Kalifornien erst kürzlich mit dem „California Consumer Privacy Act“ eine Datenschutzregelung auf den Weg gebracht, die sich in weiten Teilen an der DSGVO orientiert. Sie soll nach aktuellem Stand Anfang 2020 in Kraft treten.
Die Tatsache, dass gewisse Anpassungen wegen des riesigen europäischen Marktes ohnehin notwendig sind, dürfte auch bei den US-Amerikanern indirekt schon bald für mehr Datenschutz sorgen. Insofern erfüllt die DSGVO bei aller – teils berechtigten Kritik seitens der Unternehmen – tatsächlich eine gewisse Vorbildfunktion; selbst auch wenn eine US-DSGVO sicherlich noch nicht so bald kommen wird, da außer Kalifornien bislang kein Bundesstaat eine vergleichbare Regelung erlassen hat.
Zusammenfassung
- Die DSGVO hat weitreichende Auswirkungen auf den unternehmerischen Umgang mit Nutzerdaten weltweit.
- Unternehmen, deren Websites und Datenpolitik nicht der Verordnung entsprechen, müssen seit Mai 2018 mit empfindlichen Strafen rechnen.
- Gerade in den USA, die einen erheblichen Teil ihres Umsatzes mit europäischen Kunden erzielen, hat die Neuregelung für erheblichen Umstellungsaufwand gesorgt.
- Nach anfänglicher weltweiter Kritik wird die verschärfte Datenschutzregelung inzwischen auch als Chance begriffen, bei Verbrauchern für mehr Vertrauen zu werben.
Quelle: vodafone
Photo by Luke Michael on Unsplash
04.02.2019
