Wie können Sie GDPR-Benutzer von Websites in den USA blockieren?

Dies könnte auf einem Missverständnis der DSGVO beruhen. Die DSGVO gilt unter drei Umständen:

• Artikel 3 Absatz 1: Sie (der für die Verarbeitung Verantwortliche) sind in der EU niedergelassen / leben dort.
• Artikel 3 Absatz 2 Buchstabe a: Sie bieten Waren oder Dienstleistungen für Personen in der EU an.
• Artikel 3 Absatz 2 Buchstabe b: Sie überwachen das Verhalten von Personen, die sich physisch in der EU aufhalten.

Was ist kein Faktor:

• Welche Staatsbürgerschaft haben Ihre Website-Besucher (siehe Erwägungsgrund 14)?
• ob auf Ihre Website von der EU aus zugegriffen werden kann (siehe Erwägungsgrund 23).

Entscheidend ist, was „Angebot von Waren oder Dienstleistungen“ bedeutet. Die EDPB hat offizielle Richtlinien zur Interpretation dieses Zielkriteriums herausgegeben ( Richtlinien 03/2018 zum territorialen Geltungsbereich der DSGVO ). Einige wichtige Hinweise:

• Das Angebot von Waren oder Dienstleistungen muss keine Entschädigung beinhalten. Der kostenlose Zugriff auf eine Website kann auch ein Service sein.
• Die DSGVO gilt für Personen, die sich derzeit in der EU befinden. US-Touristen in der EU sind geschützt, EU-Touristen in den USA nicht.
• Der Moment des Serviceangebots ist wichtig. Beispielsweise kann eine US-Person, die einen US-Dienst nutzt, auf Reisen in die EU keinen GDPR-Schutz gegen den US-Dienst beanspruchen.
• Anstatt die Nutzer des Dienstes zu betrachten, sollten wir uns den Zielmarkt des Dienstes ansehen: Wenn der Dienst nicht für Menschen in der EU bestimmt ist, gilt die DSGVO nicht.
• Die wesentliche Frage ist, ob der Dienstleister „beabsichtigt“, Dienstleistungen für Menschen in der EU anzubieten. Beabsichtigt der Diensteanbieter, dass EU-Betroffene den Dienst nutzen?
• Die Leitlinien enthalten eine nicht erschöpfende Liste von Angaben aus der Rechtsprechung, insbesondere aus dem Fall Pammer und Alpenhof . Ein Auszug von Hinweisen, dass die DSGVO gelten könnte:
  • Die EU oder die Mitgliedstaaten werden im Dienstleistungsangebot erwähnt
  • Die Website richtet sich an ein EU-Publikum
  • Die betreffende Tätigkeit ist internationaler Natur, z. B. Tourismus
  • Erwähnung spezieller Kontaktdaten für den EU-Markt
  • Verwendung eines Top-Level-Domainnamens, der der EU oder den Mitgliedstaaten zugeordnet ist
  • Reiseanleitung bei einem Besuch aus der EU
  • Erwähnungen einer internationalen Kundschaft, einschließlich Personen / Unternehmen aus der EU
  • Verwendung einer anderen Sprache oder Währung als Ihrer
  • Angebot der Lieferung von Waren in die EU

Ob die DSGVO gilt, hängt also vom Thema Ihrer Website ab und davon, ob Sie beabsichtigen, am EU-Markt teilzunehmen (auch wenn Sie nur online sind, auch wenn Ihr Service kostenlos ist).

Wenn die DSGVO gelten würde, wäre die Blockierung von Personen aus der EU fraglich. Es könnte auch illegal sein, aber nicht aus Gründen der DSGVO.

Wenn die DSGVO nicht gilt, ist es bereits nicht erforderlich, Personen aus der EU zu blockieren.

Geoblocking wäre jedoch ein sehr starkes Indiz dafür, dass Sie nicht beabsichtigen, Ihre Dienste Menschen in der EU anzubieten. Es gibt keine gute Rechtsprechung darüber, ob Geoblocking notwendig oder ausreichend ist. Ich gehe davon aus, dass Geoblocking ausreichend ist (auch wenn es leicht umgangen werden kann, z. B. mit einem VPN), aber dass es überhaupt nicht notwendig ist.

Sie könnten auch noch einmal betonen, dass Sie nicht auf den EU-Markt abzielen, wenn Sie die oben genannten Indikationen berücksichtigen. Beispielsweise könnte ein Webshop klarstellen, dass sie nur nach Nordamerika, nicht aber international versenden.

Nochmals: Ihre Ausrichtung auf Ihre Website ist der entscheidende Faktor, nicht die Herkunft Ihrer Besucher. Selbst wenn gelegentlich EU-Besucher anwesend sind, bedeutet dies nicht, dass Sie die DSGVO einhalten müssen.

Das kannst du nicht

Erstens hat Kalifornien ein der DSGVO sehr ähnliches Gesetz, das für seine Einwohner gilt, unabhängig davon, wo sie sich befinden. Dies unterscheidet sich von der DSGVO, die für alle Menschen in der EU gilt, unabhängig davon, wo sie wohnen. Ein in Europa ansässiger Kalifornier unterliegt also beiden Gesetzen, ein Deutscher in Nebraska keinem.

Zweitens erlauben einige Gesetze den Parteien, sich auf die Einhaltung unterschiedlicher Regeln zu einigen, beispielsweise erlauben die Schiedsgesetze den Parteien, ihr Recht auf Nutzung der Gerichte aufzugeben. Andere können beispielsweise in einem Vertrag nicht zustimmen, dass es in Ordnung ist, durch rote Ampeln zu fahren. Die DSGVO (und das kalifornische Gesetz) legen ausdrücklich fest, dass Sie keine Verträge abschließen können. Jeder Versuch, dies zu tun, ist einfach nichtig (ohne Wirkung) und selbst eine Straftat.

Drittens, selbst wenn Sie jeden, für den die Gesetze gelten, zuverlässig blockieren könnten, was tun Sie, wenn sich die Umstände des Benutzers ändern, den Sie zugelassen haben? Ich bin Australier in Australien und daher von keinem der beiden Gesetze erfasst (obwohl für mich australische Datenschutzgesetze gelten). Wenn Sie meine persönlichen Daten sammeln und 5 Jahre später nach Österreich ziehen, gilt dies jetzt für die DSGVO Daten.

Wie Sie sagen, hat sich die Technologie erheblich verbessert, ebenso wie der Schutz der Privatsphäre.