Gilt die DSGVO für mich, wenn sich meine Website außerhalb der EU befindet?

Wenn Sie personenbezogene Daten von Personen in der EU verarbeiten – auch wenn Ihr Unternehmen in den USA, Brasilien oder anderswo ansässig ist – gilt die DSGVO. Beispiele: eine australische E-Commerce-Website, die nach Frankreich liefert, ein US-amerikanisches SaaS-Unternehmen mit EU-Kunden, ein persönlicher Blog, bei dem EU-Leser sich für einen Newsletter anmelden. Das Territorialprinzip richtet sich nach dem Standort der betroffenen Person, nicht nach dem Standort des Verantwortlichen.

Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter?

Der Verantwortliche entscheidet, warum und wie Daten verarbeitet werden (Facebook, Ihre Bank). Der Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen (dem E-Mail-Versandanbieter der Bank). Die DSGVO erlegt jedem unterschiedliche Verpflichtungen auf. Die meisten Unternehmen fungieren als Verantwortliche für ihre Kunden und als Auftragsverarbeiter für die Dienstleistungen, die sie anderen Unternehmen anbieten.

Sind Cookie-Banner laut DSGVO vorgeschrieben?

Cookie-Banner sind meist durch die ePrivacy-Richtlinie (ein separates, älteres EU-Gesetz) vorgeschrieben, die eine Einwilligung für nicht wesentliche Cookies erfordert. Die DSGVO legt den Standard dafür fest, wie eine gültige Einwilligung aussieht – informiert, spezifisch, freiwillig erteilt und leicht widerrufbar. Gemeinsam erschufen sie die Cookie-Banner-Realität. Die ePrivacy-Verordnung, die die Richtlinie ersetzen soll, liegt seit Jahren in der Schwebe.

Kann mir ein VPN bei den DSGVO-Rechten helfen?

Ein VPN gewährt Ihnen keine DSGVO-Rechte – diese basieren auf dem Wohnsitz und nicht darauf, was das Ziel als Ihre IP ansieht. EU-Bürger haben DSGVO-Rechte, egal von wo aus sie eine Verbindung herstellen; Nicht-EU-Benutzer erhalten keine DSGVO-Rechte, wenn sie sich über ein EU-VPN verbinden. Das Gesetz folgt der Person, nicht dem Paket.

Was passiert, wenn mein Unternehmen eine DSGVO-Beschwerde erhält?

Die örtliche Datenschutzbehörde ermittelt. Wird ein Verstoß festgestellt, können die Sanktionen Abmahnungen, Bearbeitungsverbote, Abhilfemaßnahmen und Bußgelder umfassen. Die meisten Fälle werden durch Dialog und Abhilfe statt durch Geldstrafen gelöst. Bei den aufsehenerregenden Strafen in Milliardenhöhe handelt es sich um wiederholte Verstöße sehr großer Verarbeiter nach mehreren Regulierungsaustauschen.

DSGVO erklärt: Europas Datenschutzverordnung und warum sie das Internet verändert hat

Die DSGVO – die Datenschutz-Grundverordnung – ist seit 2018 in der gesamten Europäischen Union in Kraft und ihre Auswirkungen zeigen sich auf jeder Website, die Sie besuchen: Cookie-Banner, Optionen zum Löschen von Konten, Tools zum Datenexport, das Recht auf Vergessenwerden. Das Gesetz ist nicht perfekt und die Durchsetzung war uneinheitlich, aber es bleibt die folgenreichste Datenschutzverordnung der Welt.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Die Allgemeine Datenschutzverordnung (DSGVO) trat am 25. Mai 2018 in Kraft und ersetzte die ältere Datenschutzrichtlinie der EU aus dem Jahr 1995 durch eine einzige Verordnung, die direkt in jedem Mitgliedsstaat gilt. Es regelt, wie Organisationen personenbezogene Daten von Personen in der EU und im EWR verarbeiten. Die territoriale Reichweite ist groß: Jedes Unternehmen, das Daten von EU-Bürgern verarbeitet, fällt unter die DSGVO, unabhängig davon, wo das Unternehmen seinen Sitz hat. Namen, E-Mails, IPs, Cookies, Geräte-IDs, Standortdaten, Fotos, Verhaltensmuster. Auch pseudonyme IDs zählen, wenn das Pseudonym durch andere verfügbare Daten auf eine bestimmte Person zurückgeführt werden kann. Entscheidend ist, ob jemand die Person identifizieren konnte, und nicht, ob jemand es versucht hat Erlaubnis

Vertrag XPLZ19 notwendig, um das Leben einer Person zu schützen

Öffentliche Aufgabe – für Zwecke des öffentlichen Interesses, die von einer offiziellen Behörde durchgeführt werden

Berechtigte Interessen – die Interessen des Verantwortlichen oder eines Dritten in Abwägung mit den Rechten und Freiheiten der betroffenen Person

Die Wahl der Grundlage wird entschieden werden vom Verantwortlichen verarbeitet und in der Datenschutzerklärung offengelegt. „Einwilligung“ wurde wegen der Cookie-Banner zum Schlagzeilenwort, aber es ist nur eine von sechs Grundlagen – und die EU-Regulierungsbehörden haben deutlich gemacht, dass Einwilligung nicht als Workaround für Verarbeitungen geeignet ist, die unter Vertrag oder berechtigte Interessen fallen sollten.

XPLZ40 Tage:
Zugriffsrecht – Erhalten Sie eine Kopie aller Ihrer personenbezogenen Daten und Informationen über deren Verarbeitung
Recht auf Berichtigung – Berichtigung unrichtiger Daten
Recht auf Löschung (Recht auf Vergessenwerden) – Anfrage Löschung unter bestimmten Voraussetzungen
Recht auf Einschränkung der Verarbeitung XPLZ59 Marketing
Rechte im Zusammenhang mit automatisierter Entscheidungsfindung – Anfechtung von Entscheidungen, die vollständig automatisiert getroffen werden
Recht auf Information – klare, zugängliche Datenschutzhinweise
Strafen, die Biss haben
Das schlagzeilenträchtige Merkmal der DSGVO: Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Das irische DPC verhängte gegen Meta im Jahr 2023 eine Geldstrafe von 1,2 Milliarden Euro wegen unbefugter Datenübermittlungen in die USA, und dieselbe Behörde hatte bereits eine Geldstrafe von 405 Millionen Euro wegen der Verarbeitung von Daten Minderjähriger durch Instagram verhängt. Amazon wurde von Luxemburg mit einer Geldstrafe von 746 Millionen Euro belegt. Die Strafen sind so hoch, dass die meisten multinationalen Unternehmen die Einhaltung der Vorschriften ernst nehmen.
Allerdings ist die Durchsetzung sehr unterschiedlich. Irlands DPC bearbeitet Fälle, an denen die meisten US-amerikanischen Technologiegiganten beteiligt sind, da diese ihren Hauptsitz in Dublin haben, und wurde wegen ihrer langsamen Bearbeitung kritisiert. Andere Datenschutzbehörden (Deutschland, Frankreich, Italien) reagieren in kleineren Fällen tendenziell schneller.
XPLZ84 Mit den Urteilen Schrems I (2015) und Schrems II (2020) des Europäischen Gerichtshofs wurden aufeinanderfolgende Datenübermittlungsrahmen zwischen den USA und der EU für ungültig erklärt, da die US-Überwachungsgesetze keinen DSGVO-äquivalenten Schutz bieten. Das aktuelle Datenschutzrahmenwerk (2023) ist in Kraft, wird aber bereits in Frage gestellt.
XPLZ88ul>
Cookie-Banner. Jetzt allgegenwärtig, meist schmerzhaft, oft mit dunklen Mustern. Die zugrunde liegende ePrivacy-Richtlinie (älter als die DSGVO) erforderte sie bereits; Durch die Durchsetzung der DSGVO sind sie universell geworden in standardisierte Exportformate (Google Takeout, Facebook-Download). effects
GDPR wurde zur Vorlage. Der kalifornische CCPA (2020), der brasilianische LGPD (2020), der indische DPDP Act (2023) und Dutzende anderer nationaler Gesetze haben seine Struktur übernommen. Multinationale Unternehmen standardisieren häufig weltweit DSGVO-äquivalente Praktiken, da der Betrieb unter fragmentierten Vorschriften teurer ist als der strengste. Das Ergebnis: Datenschutzregeln, die jeder irgendwo einhalten muss, sind zu Datenschutzregeln geworden, die jeder überall bereitstellt.

Häufig gestellte Fragen

Gilt die DSGVO für mich, wenn sich meine Website außerhalb der EU befindet?: Wenn Sie personenbezogene Daten von Personen in der EU verarbeiten – auch wenn Ihr Unternehmen in den USA, Brasilien oder anderswo ansässig ist – gilt die DSGVO. Beispiele: eine australische E-Commerce-Website, die nach Frankreich liefert, ein US-amerikanisches SaaS-Unternehmen mit EU-Kunden, ein persönlicher Blog, bei dem EU-Leser sich für einen Newsletter anmelden. Das Territorialprinzip richtet sich nach dem Standort der betroffenen Person, nicht nach dem Standort des Verantwortlichen.
Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter?: Der Verantwortliche entscheidet, warum und wie Daten verarbeitet werden (Facebook, Ihre Bank). Der Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen (dem E-Mail-Versandanbieter der Bank). Die DSGVO erlegt jedem unterschiedliche Verpflichtungen auf. Die meisten Unternehmen fungieren als Verantwortliche für ihre Kunden und als Auftragsverarbeiter für die Dienstleistungen, die sie anderen Unternehmen anbieten.
Sind Cookie-Banner laut DSGVO vorgeschrieben?: Cookie-Banner sind meist durch die ePrivacy-Richtlinie (ein separates, älteres EU-Gesetz) vorgeschrieben, die eine Einwilligung für nicht wesentliche Cookies erfordert. Die DSGVO legt den Standard dafür fest, wie eine gültige Einwilligung aussieht – informiert, spezifisch, freiwillig erteilt und leicht widerrufbar. Gemeinsam erschufen sie die Cookie-Banner-Realität. Die ePrivacy-Verordnung, die die Richtlinie ersetzen soll, liegt seit Jahren in der Schwebe.
Kann mir ein VPN bei den DSGVO-Rechten helfen?: Ein VPN gewährt Ihnen keine DSGVO-Rechte – diese basieren auf dem Wohnsitz und nicht darauf, was das Ziel als Ihre IP ansieht. EU-Bürger haben DSGVO-Rechte, egal von wo aus sie eine Verbindung herstellen; Nicht-EU-Benutzer erhalten keine DSGVO-Rechte, wenn sie sich über ein EU-VPN verbinden. Das Gesetz folgt der Person, nicht dem Paket.
Was passiert, wenn mein Unternehmen eine DSGVO-Beschwerde erhält?: Die örtliche Datenschutzbehörde ermittelt. Wird ein Verstoß festgestellt, können die Sanktionen Abmahnungen, Bearbeitungsverbote, Abhilfemaßnahmen und Bußgelder umfassen. Die meisten Fälle werden durch Dialog und Abhilfe statt durch Geldstrafen gelöst. Bei den aufsehenerregenden Strafen in Milliardenhöhe handelt es sich um wiederholte Verstöße sehr großer Verarbeiter nach mehreren Regulierungsaustauschen.