Datenschutz · Weltweit

DSGVO für ausländische Unternehmen, die in die EU verkaufen: Ein praktischer Leitfaden

BRVon Brisamo-Redaktion·Aktualisiert im Juni 2026·8 Min. Lesezeit

Die Datenschutz-Grundverordnung der EU endet nicht an Europas Grenzen. Wenn Ihr Unternehmen außerhalb der EU ansässig ist, aber Waren oder Dienstleistungen an Menschen in Europa verkauft, kann die DSGVO in vollem Umfang für Sie gelten — selbst wenn Sie nirgends im Staatenverbund über Büro, Personal oder Server verfügen. Das Schwierige für ausländische Unternehmen ist meist, überhaupt zu erkennen, dass sie erfasst sind, und dann zu verstehen, wie die Einhaltung in der Praxis tatsächlich aussieht.

Ob Sie einen Onlineshop, eine Softwareplattform, eine Marketingagentur oder einen Abonnementdienst betreiben — in dem Moment, in dem Sie gezielt Kunden in der EU erreichen, können Sie eine Reihe rechtlicher Pflichten übernehmen, die unvertraut und streng durchgesetzt sind. Regeln und Zahlen ändern sich im Laufe der Zeit; betrachten Sie dies daher als allgemeinen Hintergrund und nicht als Beratung zu Ihrer eigenen Situation.

Gilt die DSGVO für mein Unternehmen?

Die DSGVO kann ein außerhalb der EU niedergelassenes Unternehmen auf zwei Hauptwegen erreichen, und es genügt, dass nur einer davon zutrifft, um erfasst zu sein. Der erste ist, dass Sie Menschen in der EU Waren oder Dienstleistungen anbieten, gleich ob Sie ihnen etwas berechnen oder nicht. Der zweite ist, dass Sie das Verhalten von Menschen in der EU beobachten, etwa durch Tracking, Profiling oder Analysen, die an ihre Online-Aktivität geknüpft sind.

Lediglich eine Website zu haben, die Europäer erreichen können, genügt für sich allein nicht. Worauf es ankommt, ist, ob Sie gezielt den EU-Markt ansprechen. Anzeichen dafür sind:

  • Ihre Preise in Euro oder einer anderen EU-Währung anzubieten.
  • Ihre Website oder Inhalte in einer EU-Sprache bereitzustellen, die in Ihrem Heimatland nicht verwendet wird.
  • EU-Kunden zu erwähnen, in EU-Länder zu versenden oder eine EU-Top-Level-Domain zu nutzen.
  • Marketing oder Werbung zu betreiben, die sich an Menschen in bestimmten EU-Mitgliedstaaten richtet.

Trifft etwas davon auf Ihr Unternehmen zu, gehen Sie davon aus, dass die DSGVO anwendbar ist, und behandeln Sie die personenbezogenen Daten Ihrer EU-Kunden entsprechend. Maßgeblich ist der Aufenthaltsort der Person, deren Daten Sie verarbeiten — nicht ihre Staatsangehörigkeit und nicht der Ort, an dem Ihr Unternehmen zufällig eingetragen ist.

Die zentralen Pflichten, die Sie übernehmen

Die DSGVO beruht auf einer Reihe von Grundsätzen, die für alles gelten, was Sie mit personenbezogenen Daten tun: Sie benötigen eine Rechtsgrundlage für die Verarbeitung, dürfen sie nur für klare und begrenzte Zwecke nutzen, müssen sie richtig halten, nicht mehr speichern, als Sie benötigen, sie nicht länger als nötig aufbewahren und sie sicher halten. Diese Grundsätze klingen abstrakt, übersetzen sich aber in konkrete Pflichten.

  • Eine Rechtsgrundlage für jede Tätigkeit, etwa Einwilligung, Erfüllung eines Vertrags oder ein berechtigtes Interesse, das Sie dokumentieren können.
  • Klare Datenschutzinformationen, die den Menschen mitteilen, wer Sie sind, welche Daten Sie erheben, warum, wie lange Sie sie aufbewahren und mit wem Sie sie teilen.
  • Gültige Einwilligung, wo Sie sich darauf stützen — freiwillig, spezifisch und ebenso leicht zu widerrufen, wie sie erteilt wurde, was insbesondere für Marketing und viele Cookies von Bedeutung ist.
  • Wahrung der Rechte des Einzelnen, einschließlich Auskunft, Berichtigung, Löschung, Übertragbarkeit und Widerspruch, in der Regel innerhalb einer festgelegten Frist.
  • Angemessene Sicherheitsmaßnahmen und ein Verfahren zum Umgang mit Verletzungen des Schutzes personenbezogener Daten, einschließlich der Benachrichtigung von Aufsichtsbehörden und betroffenen Personen, sofern erforderlich.

Von Ihnen wird zudem erwartet, dass Sie Aufzeichnungen über Ihre Verarbeitungstätigkeiten führen und bei risikoreicherer Verarbeitung vor Beginn eine Datenschutz-Folgenabschätzung durchführen. Wenn Ihre Kerntätigkeiten umfangreiche oder sensible Verarbeitung umfassen, müssen Sie möglicherweise einen Datenschutzbeauftragten benennen.

Benennung eines EU-Vertreters

Eine Anforderung überrascht viele ausländische Unternehmen. Wenn die DSGVO für Sie gilt und Sie keine Niederlassung in der EU haben, müssen Sie in der Regel schriftlich einen EU-Vertreter benennen — eine Person oder ein Unternehmen mit Sitz in einem Mitgliedstaat, in dem sich einige Ihrer betroffenen Kunden befinden. Dieser Vertreter fungiert als lokale Anlaufstelle für Einzelpersonen und für Datenschutzbehörden, und seine Angaben müssen in Ihrer Datenschutzerklärung erscheinen.

Es gibt begrenzte Ausnahmen, etwa wenn Ihre Verarbeitung nur gelegentlich und risikoarm ist, doch sie sind enger, als man annimmt. Die Benennung eines Vertreters hebt Ihre eigene rechtliche Verantwortung nicht auf — Sie bleiben vollständig haftbar —, doch die unterlassene Benennung, wenn sie erforderlich ist, stellt selbst einen Verstoß dar, gegen den Aufsichtsbehörden vorgehen können.

Datenübermittlung aus der EU heraus

Für ein Nicht-EU-Unternehmen ist das Senden personenbezogener Daten aus Europa in Ihr Heimatland eine Übermittlung, die die DSGVO sorgfältig reguliert. Sie können die Daten nicht einfach beliebig verschieben. Wenn Ihr Land von der EU förmlich als ein Land anerkannt wurde, das ein angemessenes Schutzniveau bietet, können Übermittlungen freier fließen. Ist dies nicht der Fall, benötigen Sie in der Regel eine genehmigte Garantie, bevor Daten die EU verlassen.

  • Standardvertragsklauseln, das gebräuchlichste Instrument, sind von der EU genehmigte Mustervertragsbedingungen, die die Parteien zum Schutz der Daten verpflichten.
  • Verbindliche interne Datenschutzvorschriften für Übermittlungen innerhalb einer Unternehmensgruppe, vorbehaltlich der Genehmigung durch die Aufsichtsbehörde.
  • Eine begrenzte Reihe spezifischer Ausnahmen für gelegentliche Übermittlungen, auf die man sich nicht als routinemäßige Lösung verlassen sollte.

Zunehmend wird von Ihnen auch erwartet, die Rechtslage des Bestimmungslandes zu bewerten und zusätzliche technische oder organisatorische Maßnahmen zu ergreifen, wo lokale Vorschriften den vorgesehenen Schutz der Daten untergraben könnten. Dies ist ein technischer Bereich, der sich mit neuen Entscheidungen und Rahmenwerken verschiebt; vergewissern Sie sich daher des aktuellen Standes, bevor Sie Ihre Datenflüsse gestalten.

Was geschieht, wenn Sie es falsch machen

Die DSGVO wird ernst genommen, weil die Folgen real sind. Die Aufsichtsbehörden in jedem Mitgliedstaat können ermitteln, Ihnen die Änderung oder Einstellung Ihrer Verarbeitung anordnen und erhebliche Geldbußen verhängen, die sich nach Ihrem weltweiten Umsatz bemessen, wobei die höhere Stufe den schwersten Verstößen vorbehalten ist. Auch Einzelpersonen können Schadensersatzansprüche geltend machen, und Verbraucher- oder Datenschutzverbände handeln zunehmend in deren Namen.

Über Geldbußen hinaus zählen die praktischen Folgen: Reputationsschäden, Verlust des Kundenvertrauens und die Kosten des Umbaus von Systemen unter behördlicher Aufsicht. Für ein ausländisches Unternehmen kann eine Durchsetzungsmaßnahme in der EU auch die Beziehungen zu den europäischen Zahlungsdienstleistern, Plattformen und Partnern stören, auf die Sie angewiesen sind, um den Markt überhaupt zu erreichen.

Praktische erste Schritte

Wenn Sie vermuten, dass die DSGVO für Sie gilt, ist ein strukturierter Ansatz weit weniger einschüchternd, als auf eine Beschwerde im Nachhinein zu reagieren. Das Ziel ist zu wissen, welche Daten Sie halten, warum Sie sie halten und ob jeder Schritt in Ihrem Umgang damit gerechtfertigt werden kann.

  • Erstellen Sie eine Datenübersicht. Ermitteln Sie, welche personenbezogenen Daten Sie von Menschen in der EU erheben, woher sie stammen, wohin sie gehen und wer sie einsehen kann.
  • Prüfen Sie Ihre Rechtsgrundlage für jede Tätigkeit und verschärfen Sie Ihre Einwilligungs- und Marketingpraktiken dort, wo Sie sich darauf stützen.
  • Veröffentlichen Sie eine klare Datenschutzerklärung und richten Sie ein einfaches Verfahren für den Umgang mit Anfragen zu den Rechten des Einzelnen und mit Datenpannen ein.
  • Regeln Sie die grenzüberschreitenden Aspekte — Ihren EU-Vertreter, falls erforderlich, und einen gültigen Übermittlungsmechanismus für Daten, die die EU verlassen.

Da die DSGVO mit den gesonderten nationalen Gesetzen der einzelnen Mitgliedstaaten sowie mit Vorschriften zu Cookies und elektronischem Marketing zusammenwirkt, hängt die richtige Antwort oft genau davon ab, welche Länder Sie bedienen und wie.

Es richtig machen

Die DSGVO verleiht Europäern starke, durchsetzbare Rechte an ihren personenbezogenen Daten, und diese Rechte folgen ihnen zu jedem, der ihre Informationen verarbeitet — einschließlich eines Unternehmens auf der anderen Seite der Welt. Die Grundsätze sind stabil, doch die Einzelheiten, die Schwellenwerte und die Übermittlungsregeln verschieben sich im Laufe der Zeit, und die Strafen für Fehler können empfindlich sein. Da so vieles davon abhängt, wie Sie den EU-Markt ansprechen, welche Daten Sie verarbeiten und wohin sie fließen, ist der sicherste Schritt, wenn etwas Wichtiges auf dem Spiel steht, mit einem qualifizierten Datenschutzanwalt zu sprechen, der Ihre Situation prüfen und die aktuellen Regeln bestätigen kann, bevor Sie entscheiden, wie Sie vorgehen.

BR
Brisamo-Redaktion
Allgemeine Informationen, keine Rechtsberatung

Dieser Leitfaden bietet allgemeine Informationen. Für eine Beratung zu Ihrer Situation lassen Sie sich kostenlos mit einer Kanzlei vermitteln.

a data protection lawyer finden →
Lassen Sie sich kostenlos mit einem Anwalt vermitteln