Klar ist, die DSGVO gilt für alle Mitgliedsländer der EU. Aber was ist mit Drittländern die nicht der EU angehören? Dürfen diese die DSGVO einfach ignorieren?
Haben Firmen von Drittländern in der EU eine Niederlassung oder ein Büro, so müssen sie selbstverständlich die Richtlinien der DSGVO einhalten. Das gilt auch für Unternehmen, die zwar in der EU eine Niederlassung betreiben, aber ausschließlich Kunden außerhalb der EU betreuen.
Das Dritte Szenario ist ein Unternehmen außerhalb der EU in einem Drittland ansässig, das aber EU Kunden hat und betreut, z.B. Internet-Shops aus den USA. Hier wird besonders häufig Daten und Informationen über Kunden und Interessenten getrackt, um sie anschließend mit eMails und Werbung zu überschütten.
Auch hier gibt es klar Regeln (gegen deren verstoß man aber kaum etwas unternehmen kann): sofern z.B. ein nicht EU-ansässiger Online-Shop personenbezogene Daten von Kunden, die in der EU leben, verarbeitet, müssen die Geschäftsabläufe des Shops DSGVO-konform ablaufen. Das ist auch der Fall, wenn nur der Datenverarbeiter in der EU ansässig ist.