DSGVO für US-Unternehmen: Wann gilt die Verordnung?

Die DSGVO gilt nicht nur für europäische Unternehmen. Art. 3 DSGVO erstreckt den räumlichen Anwendungsbereich der Verordnung auf jede Organisation weltweit, die personenbezogene Daten von Personen im EWR verarbeitet – sofern die Verarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder der Verhaltensbeobachtung steht. Für US-Unternehmen bedeutet dies: Wer europäische Kunden bedient oder deren Verhalten trackt, unterliegt der DSGVO, unabhängig davon, ob das Unternehmen eine Niederlassung in der EU hat.

Das EDPB schätzt, dass über 10.000 US-Unternehmen direkt der DSGVO unterliegen, ohne eine EU-Niederlassung zu unterhalten. Dieser Artikel erklärt, wann die DSGVO für US-Unternehmen gilt, welche Pflichten bestehen und wie die Durchsetzung in der Praxis funktioniert.

Key Takeaways

• Art. 3(2) DSGVO wendet die Verordnung auf Nicht-EU-Unternehmen an, die Personen im EWR Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten (Marktortprinzip).
• DSGVO US Unternehmen müssen einen EU-Vertreter nach Art. 27 DSGVO benennen, sofern sie nicht unter die Ausnahmen fallen.
• Die Durchsetzung gegenüber US-Unternehmen ist real: Die irische DPC verhängte gegen Meta 1,2 Milliarden Euro, die französische CNIL gegen Google 150 Millionen Euro.
• Der EU-US Data Privacy Framework erleichtert Datentransfers, ändert aber nichts an der Anwendbarkeit der DSGVO auf US-Unternehmen.

Art. 3 DSGVO: Der räumliche Anwendungsbereich

Art. 3 DSGVO definiert den Anwendungsbereich der Verordnung in drei Varianten.

Art. 3(1): Niederlassungsprinzip

Die DSGVO gilt für die Verarbeitung personenbezogener Daten, wenn diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU erfolgt. Eine Niederlassung erfordert keine formale Gründung – eine effektive und tatsächliche Ausübung einer Tätigkeit genügt (EuGH, Weltimmo, C-230/14). Ein US-Unternehmen mit einem Vertriebsbüro in Berlin oder einer Tochtergesellschaft in Dublin fällt unter diese Variante.

Art. 3(2)(a): Angebot von Waren oder Dienstleistungen

Die DSGVO gilt auch ohne EU-Niederlassung, wenn ein Unternehmen Personen im EWR Waren oder Dienstleistungen anbietet. Das “Angebot” muss sich erkennbar an Personen im EWR richten. Der EDPB hat in den Leitlinien 3/2018 Kriterien aufgestellt:

• Die Website ist in einer EU-Sprache (Deutsch, Französisch, etc.) verfügbar.
• Preise werden in Euro angegeben.
• Lieferung in EU-Länder wird angeboten.
• EU-spezifische Zahlungsmethoden sind verfügbar.
• Werbung richtet sich an EU-Nutzer (z. B. Google Ads mit EU-Geotargeting).

Bereits ein einziges dieser Kriterien kann ausreichen. Ein US-Onlineshop, der Versand nach Deutschland anbietet und Preise in Euro anzeigt, fällt unter die DSGVO.

Art. 3(2)(b): Verhaltensbeobachtung

Die DSGVO gilt für US-Unternehmen, die das Verhalten von Personen im EWR beobachten. Dies umfasst insbesondere: Tracking mittels Cookies und Tracking-Pixeln, Profiling für personalisierte Werbung, Standortverfolgung und Verhaltensanalyse. Der EDPB stellt klar, dass die bloße Zugänglichkeit einer Website aus der EU nicht ausreicht – es muss eine aktive Verhaltensbeobachtung vorliegen.

In der Praxis erfasst dies nahezu jedes US-Unternehmen, das Google Analytics, Facebook Pixel, Hotjar oder vergleichbare Tools auf einer für EU-Nutzer zugänglichen Website einsetzt und EU-Nutzer gezielt erfasst.

Pflichten für DSGVO US Unternehmen

EU-Vertreter nach Art. 27 DSGVO

US-Unternehmen ohne EU-Niederlassung, die unter Art. 3(2) DSGVO fallen, müssen einen Vertreter in der Union benennen. Dieser Vertreter dient als Anlaufstelle für Aufsichtsbehörden und betroffene Personen. Er muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen ansässig sind. Die Benennung muss schriftlich erfolgen und in der Datenschutzerklärung angegeben werden.

Ausnahmen von der Pflicht bestehen nur für gelegentliche Verarbeitungen, die kein Risiko bergen, und für Behörden. In der Praxis können sich die wenigsten US-Unternehmen auf diese Ausnahme berufen.

Vollständige DSGVO-Compliance

Die DSGVO macht keinen Unterschied zwischen EU- und Nicht-EU-Unternehmen hinsichtlich der materiellen Pflichten. DSGVO US Unternehmen müssen dieselben Anforderungen erfüllen:

• Rechtsgrundlage für jede Verarbeitung nach Art. 6 DSGVO
• Informationspflichten nach Art. 13/14 DSGVO
• Betroffenenrechte gewährleisten: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch
• Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO führen
• Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei hohem Risiko
• Datenschutzbeauftragten bestellen, wenn die Voraussetzungen des Art. 37 DSGVO erfüllt sind
• Datenpannen innerhalb von 72 Stunden melden (Meldepflichten nach DSGVO)

Auftragsverarbeitung und Drittlandtransfers

US-Unternehmen, die als Auftragsverarbeiter für EU-Unternehmen tätig sind, benötigen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Gleichzeitig liegt eine internationale Datenübermittlung vor, die durch SCCs, den EU-US DPF oder eine andere Garantie nach Art. 46 DSGVO abgesichert sein muss.

Durchsetzung gegenüber US-Unternehmen

Die Durchsetzung der DSGVO gegenüber US-Unternehmen war lange ein Schwachpunkt. Die Lage hat sich seit 2020 deutlich verändert.

Meta/Facebook (DPC Irland, 2023): 1,2 Milliarden Euro Bußgeld wegen unzulässiger Datenübermittlungen in die USA. Meta unterhält eine EU-Niederlassung in Irland und fällt daher unter Art. 3(1) DSGVO.

Google (CNIL, 2022): 150 Millionen Euro Bußgeld wegen nicht konformer Cookie-Einwilligung auf google.fr und youtube.com. Die CNIL wandte Art. 3(2) DSGVO an, da Google Dienstleistungen an Personen in Frankreich anbietet.

Amazon (CNPD Luxemburg, 2021): 746 Millionen Euro Bußgeld wegen Verstößen gegen die Informationspflichten bei personalisierter Werbung.

Clearview AI (CNIL, 2022): 20 Millionen Euro Bußgeld gegen das US-Unternehmen, das keine EU-Niederlassung hatte. Die CNIL stützte ihre Zuständigkeit auf Art. 3(2)(b) DSGVO – Clearview beobachtete das Verhalten von EU-Bürgern durch Gesichtserkennung. Das Unternehmen hat das Bußgeld bisher nicht gezahlt, was die Grenzen der grenzüberschreitenden Durchsetzung zeigt.

Für Unternehmen ohne EU-Niederlassung und Vermögenswerte in der EU bleibt die praktische Durchsetzung schwierig. Allerdings riskieren diese Unternehmen, den Zugang zum EU-Markt zu verlieren: Art. 58(2)(f) DSGVO ermöglicht es Aufsichtsbehörden, vorübergehende oder endgültige Verarbeitungsverbote zu verhängen.

Der EU-US Data Privacy Framework und DSGVO-Anwendbarkeit

Ein häufiges Missverständnis: Der EU-US DPF macht die DSGVO für US-Unternehmen nicht unanwendbar. Der DPF regelt ausschließlich den Datentransfer – er erleichtert die Übermittlung personenbezogener Daten aus der EU in die USA. Die materiellen DSGVO-Pflichten (Rechtsgrundlage, Betroffenenrechte, Datenpannen-Meldung) gelten unverändert.

Ein US-SaaS-Anbieter, der sich unter dem DPF zertifiziert hat, darf personenbezogene Daten aus der EU empfangen. Er muss aber weiterhin die DSGVO-Anforderungen in vollem Umfang einhalten, wenn er unter Art. 3(2) fällt.

Praktische Schritte für US-Unternehmen

1. Anwendbarkeit prüfen: Analyse, ob das Unternehmen unter Art. 3(1) oder Art. 3(2) DSGVO fällt. Die EDPB-Leitlinien 3/2018 bieten konkrete Kriterien.

2. EU-Vertreter bestellen: Identifizierung und Bestellung eines Vertreters nach Art. 27 DSGVO im relevanten Mitgliedstaat.

3. DSGVO-Compliance aufbauen: Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten, Implementierung von Betroffenenrechten, Anpassung der Datenschutzerklärung an Art. 13/14 DSGVO.

4. Transfermechanismus wählen: DPF-Zertifizierung oder SCCs mit TIA für den Empfang personenbezogener Daten aus der EU.

5. Datenschutzbeauftragten prüfen: Art. 37 DSGVO gilt auch für Nicht-EU-Unternehmen. Bei umfangreicher oder systematischer Verarbeitung ist ein Datenschutzbeauftragter zu bestellen.

FAQ

Gilt die DSGVO für jedes US-Unternehmen mit einer Website?

Nein. Die bloße Zugänglichkeit einer Website aus der EU reicht nicht aus. Art. 3(2)(a) DSGVO erfordert, dass das Unternehmen erkennbar Waren oder Dienstleistungen an Personen im EWR anbietet. Art. 3(2)(b) erfordert eine aktive Verhaltensbeobachtung. Ein rein US-amerikanischer Anbieter ohne EU-Bezug fällt nicht unter die DSGVO, selbst wenn seine Website technisch aus Deutschland erreichbar ist.

Was passiert, wenn ein US-Unternehmen die DSGVO ignoriert?

Formell drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes nach Art. 83(5) DSGVO. Die praktische Durchsetzung gegen Unternehmen ohne EU-Vermögenswerte ist eingeschränkt. Allerdings können Aufsichtsbehörden Verarbeitungsverbote verhängen und EU-Kunden können Schadensersatz nach Art. 82 DSGVO geltend machen.

Braucht ein US-Unternehmen mit DPF-Zertifizierung noch einen EU-Vertreter?

Ja. Die DPF-Zertifizierung ersetzt nicht die Pflicht nach Art. 27 DSGVO. Der DPF betrifft den Datentransfer, Art. 27 betrifft die Erreichbarkeit des Verantwortlichen für Aufsichtsbehörden und betroffene Personen. Beides sind eigenständige Pflichten.

Können betroffene Personen in der EU US-Unternehmen verklagen?

Ja. Art. 79 DSGVO gibt betroffenen Personen das Recht, Klage vor den Gerichten des Mitgliedstaats zu erheben, in dem sie ihren gewöhnlichen Aufenthalt haben. Die Durchsetzung eines EU-Urteils gegen ein US-Unternehmen ohne EU-Vermögenswerte ist jedoch praktisch herausfordernd.