Wo gilt die DSGVO?
Durch die Datenschutz-Grundverordnung (DSGVO) ändern sich einige Kernaspekte des Datenschutzes. Eine der wichtigsten Änderungen ist der ausgeweitete geografische Geltungsbereich. Gemäß der DSGVO ist der Wohnort der Person, deren Daten verarbeitet werden, entscheidend, während die bisher gültige EU-Datenschutzrichtlinie sich eher auf den Ort der Datenverarbeitung bezog.
In der Praxis bedeutet das, dass die DSGVO auch für Organisationen gilt, die ihren Sitz außerhalb der EU haben, wenn diese in der EU ansässigen Personen Waren oder Dienstleistungen anbieten oder das Verhalten von EU-Bewohnern überwachen. Ein in den USA geführter Händler, der Waren oder Dienstleistungen an Kunden in der EU verkauft und deren Daten in den USA verarbeitet, sollte sich beispielsweise nicht wundern, wenn seine Tätigkeit nun in den Geltungsbereich der DSGVO fällt.
Diese Erweiterung des Geltungsbereichs war eines der Hauptziele bei der Formulierung der DSGVO und soll die Regelungen für Organisationen innerhalb und außerhalb der EU vereinheitlichen.
Falls Ihr Unternehmen seinen Sitz innerhalb der EU hat und mit Dienstleistern zusammenarbeitet, die personenbezogene Daten außerhalb der EU verarbeiten, sollten Sie noch vor Mai 2018 überprüfen, inwiefern diese Dienstleister sich auf die DSGVO vorbereitet haben. Weitere Informationen dazu, wie Sie Ihre Zulieferer bei der Umsetzung der DSGVO unterstützen können, finden Sie in diesem Post über die Zusammenarbeit mit Zulieferern.
Die DSGVO weitet den Schutz personenbezogener Daten zwar auf Gebiete außerhalb der EU aus, die Grundverordnung regelt jedoch nicht die Art und Weise, wie personenbezogene Daten legal aus der EU übertragen werden können. Für die Übertragung personenbezogener Daten in Nicht-EU-Länder sind spezielle Datentransfermechanismen eingerichtet worden, die einen angemessenen Schutz der Daten im Zielland sicherstellen sollen. Aktuell gibt es verschiedene rechtlich definierte Mechanismen, die für solche internationalen Datentransfers in Frage kommen, darunter Angemessenheitsentscheidungen der EU, Standardvertragsklauseln und der EU-US-Datenschutzschild (Privacy Shield) zum Transfer von personenbezogenen Daten aus der EU in die USA. Die DSGVO berücksichtigt auch eventuelle zukünftig entwickelte Mechanismen. Weitere Informationen wie bestehende Angemessenheitsvereinbarungen und Beispiele für Standardvertragsklauseln finden Sie auf der Website der Europäischen Kommission.
Zusammengefasst soll die DSGVO in der EU ansässigen Personen die Gewissheit geben, dass ihre personenbezogenen Daten jederzeit geschützt sind. Weitere Informationen über die DSGVO erhalten Sie bei Ihrer nationalen oder federführenden Datenschutzbehörde, wie in der DSGVO dargelegt, und von Datenschutzverbänden wie der IAPP (International Association of Privacy Professionals).