DSGVO bei internationalen Kunden: territoriale Reichweite

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Art. 3 DSGVO: Marktortprinzip — DSGVO gilt bei Angebot an EU-Bürger unabhängig vom Sitz
EU-Vertreter Art. 27 Pflicht für Nicht-EU-Anbieter mit EU-Markt-Aktivität
Cookie-Banner-Geo-IP-Tracking Best-Practice für Multi-Jurisdiktions-Compliance
Drittland-Transfer: DPF / SCC / TIA je nach Empfänger-Land
Datenschutzerklärung in den Kunden-Sprachen — auch Englisch + DACH-Sprachen

Hauptartikel: Hauptartikel: Drittland-Glossar — der vollständige Pillar-Artikel zum Thema.

1. Art. 3 DSGVO Marktort-Prinzip

DSGVO gilt bei: 1) Niederlassung in EU, 2) Anbieten von Waren/Dienstleistungen an EU-Bürger, 3) Verhaltens-Beobachtung von EU-Bürgern.

2. US-Kunden: CCPA + CPRA + State-Laws

13 US-Staaten haben Datenschutz-Gesetze. Strengstes: CA (CCPA/CPRA). Plus VA, CO, CT, UT, etc.

3. UK: GDPR-UK + DPA 2018

Post-Brexit: UK-GDPR ist DSGVO-Klon. DPA 2018 ergänzt. Angemessenheitsbeschluss EU↔UK bis 06/2025.

4. Asien: variabel

Singapur PDPA, Japan APPI, China PIPL — alle DSGVO-ähnlich aber unterschiedlich. Einzelfall-Beratung erforderlich.

5. Multi-Jurisdiktions-Strategie

DSGVO als Maßstab (strengstes EU). Lokale Anpassungen für CCPA + UK-GDPR. Globale Datenschutzerklärung mit Länder-Abschnitten.

6. EU-Vertreter-Pflicht (Art. 27 DSGVO)

Verantwortliche ohne EU-Niederlassung, die sich an EU-Bürger richten, müssen einen Vertreter nach Art. 27 DSGVO benennen. Übernommen wird die Rolle in der Praxis meist von einer spezialisierten Kanzlei oder einem Compliance-Anbieter — 2.000 bis 8.000 EUR pro Jahr.

Fazit

Der räumliche Anwendungsbereich folgt dem Targeting, nicht dem Server-Standort. KMU, die EU-Kunden von außerhalb der EU bedienen, brauchen DSGVO-Compliance plus Art.-27-Vertreter. KMU mit US- und EU-Kundschaft nutzen DSGVO als Basis und ergänzen CCPA-spezifische Hinweise. Der häufigste Fehler ist die Annahme, Hosting außerhalb der EU befreie das Unternehmen — das tut es nicht.

Häufig gestellte Fragen

Wann gilt DSGVO bei US-Kunden?

Wenn Sie EU-Bürger ansprechen. Allein US-Server reicht nicht.

Brauche ich US-Vertreter?

Ja, Art. 27 DSGVO bei Niederlassung außerhalb EU. Praxis: oft via Anwaltskanzlei.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Regulation (EU) 2016/679 — GDPR (consolidated, English) (Stand: 02.05.2026)
Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
Commission Implementing Decision (EU) 2023/1795 — EU-US Data Privacy Framework (Stand: 02.05.2026)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.