Als US Unternehmen seine SaaS-Lösung datenschutzkonform gestalten!

Der Europäische Gerichtshof hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln grundsätzlich weiterhin gültig ist.

Aufgrund dieser Entscheidung ist es nunmehr fraglich ob und unter welchen Umständen ein US-Unternehmen eine SAAS Lösung in Europa anbieten kann bzw. genau genommen, ob jemand in Europa die SaaS-Lösung eines US-Anbieters nutzen kann, ohne durch die Nutzung eine Verletzung von Datenschutz zu begehen.

Was folgt aus der Entscheidung nach aktuellen Diskussionsstand?

Durch die Entscheidung wurde mehr als 5.300 registrierten Unternehmen als Auftragsverarbeiter die Rechtsgrundlage zur Übermittlung und Empfang der Daten entzogen. Die Hauptbegründungen dafür sind, dass Daten, die in die USA übermittelt werden von den dortigen Behörden für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können. Als Alternative gibt es nunmehr nur noch die Standardvertragsklauseln, wie sie in dem Beschluss 2010/87/EU vom 05.02.2010 geregelt sind. Theoretisch können diese weiterhin verwendet werden, jedoch nur, wenn das Schutzniveau der DSGVO bei und nach der Übermittlung durch den in den USA ansässigen Auftragsverarbeiter garantiert werden kann. Das dürfte zumindest bei unverschlüsselten Daten und bei Unternehmen, die konzernrechtlich nicht 100% unabhängig von einem US-Unternehmen sind, nicht gelingen.

Das reine Vorhalten eines Servers in der Europäischen Union, zumindest ohne Verschlüsselung der Daten, dürfte wohl nicht ausreichen.

Die Aufsichtsbehörden werden, ja sie müssen nach dem Urteil darauf drängen, die Standardvertragsklauseln im Sinne des Urteils anzupassen. Es ist allerdings zu erwarten, dass die Auftragsverarbeiter das DSGVO-Schutzniveau wegen der weitreichenden Befugnisse der US-amerikanischen Behörden nach der Section 702 des Foreign Intelligence Surveillance Act nicht garantieren können. Eine Übermittlung der Daten in die USA ist damit unzulässig. Nach dem Urteil des EuGH sind nationale Behörden gem. Art. 58 Abs. 2 f) und j) DSGVO sogar verpflichtet, den Datenverkehr mit den USA auszusetzen oder zu verbieten und hohe Bußgelder im Falle einer Verletzung zu verhängen. Nicht-Europäische Unternehmen, die Daten von Europäern verarbeiten wollen, sei es im Bereich Streaming, Cloud, Datenverarbeitung etc. werden es schwer haben. Wer direkt Kundendaten verarbeitet, kann eventuell drei Möglichkeiten nutzen, die jedoch allesamt schwer umzusetzen sein werden.

1. Es können die Kunden vollständig informiert werden über die Umstände wo und welche Daten verarbeitet werden und welche Personen und Behörden in den USA auf diese Daten Zugriff haben, eventuell selbst, wenn diese Daten auf europäischen Server liegen. Da dieses Zustimmung der Kunden nicht in AGB versteckt werden darf und vollumfänglich sein muss, dürfte dies mindestens ein großer Wettbewerbsnachteil sein.
2. Daten können wohl vollständig verschlüsselt werden. Und zwar „Ende zu Ende“. Inwieweit dies z.B. bei Streaminglösung etc., wo nicht nur derjenige, der die Daten einstellt, wieder Zugriff hat, technisch überhaupt möglich ist, wird die Zukunft zeigen. Klar ist, dass es für US-Anbieter umfangreicher technischer Updates, Anpassungen von Serverstrukturen, rechtliche Anpassungen und eventuell auch Anpassungen von Geschäftsmodellen benötigt.
3. Die Daten von Europäern dürften nur von Unternehmen verarbeitet werden, die konzernrechtlich oder vertraglich zur Herausgabe von Daten an ein US-Unternehmen beteiligt sind. Wenn überhaupt müssen Anbieter als eigenständige europäische Tochterunternehmen gründen, die beispielsweise nur über Gewinnabführungs- oder Lizenzverträge mit dem US-Unternehmen verbunden sind. Inwieweit das für einen Großteil der US-Anbieter praktikabel umsetzbar ist, ist schwer einzuschätzen.

Was müssen Anbieter, die Daten in den USA transferieren also tun?

• Zuallererst ist zu prüfen, ob es Datenprozesse mit den USA gibt, die immer noch allein auf dem EU-Privacy-Shield beruhen. Dies ist im Rahmen des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO die Pflicht eines jeden Verantwortlichen. Ist dies der Fall, ist die Übermittlung unverzüglich einzustellen und Alternativen zu prüfen, wie das Umstellen der Datenprozesse mit einem Verbleib in der EU bewerkstelligt werden kann.
• Werden neben dem EU-Privacy-Shield auch Standardvertragsklauseln eingesetzt oder müssen diese als Alternative hierzu vereinbart werden, ist im Sinne des EuGH-Urteil zu prüfen, ob das Schutzniveau eingehalten werden kann. Anderenfalls hat der Datenverkehr ebenfalls zu unterbleiben. Unter Umständen könnten die Standardvertragsklauseln dahingehend ergänzt werden, dass Anfragen von US-Behörden gegenüber dem Verantwortlichen offen zu legen sind, damit er in solchen Fällen reagieren und unter Umständen seine Kunden oder sonstige Betroffene  hiervon unterrichten kann. Es sollte auch geprüft werden, sich gem. Art. 47 DSGVO die sog. Binding Corporate Rules von den nationalen Aufsichtsbehörden genehmigen zu lassen. Dies ist jedoch mit einem langen und umständlichen Prozess verbunden.
•  Als wichtigste und sofort zu ergreifende Maßnahme ist gem. Art. 49 Abs. 1 a) DSGVO die Einwilligung jeder betroffenen Person einzuholen. Alternativ ist die Übermittlung von Daten auf Art. 49 Abs. 1 c) DSGVO zu stützen, wonach diese für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Dies setzt jedoch eine entsprechende Datenschutzerklärung voraus. Diese Rechtsgrundlage stellt aber nur einen vorübergehenden Behelf für den Einzelfall dar und kann nicht für die regelmäßige Übermittlung von Daten in die USA herangezogen werden.

Die Chance zum Wettbewerbsvorteil

Auch wenn der EuGH, als unabhängiges Organ der Rechtspflege, politische Absichten nicht zu unterstellen ist, so kann dieses Urteil und die Situation eine große Chance sein, dass ein SaaS-Anbieter seine Unternehmensstruktur und/oder sein Geschäftskonzept derart umstellt, dass die oben genannte Punkte erfüllt sind. Dies würde einen großen Wettbewerbsvorteil vor allen anderen Anbietern darstellen und wäre gleichzeitig eine große Chance für das eigene Marketing, Wachstum und ein hoch interessanter Investment-Case.

Der Bundesdatenschutzbeauftragte hat für einfache Datenspeicherungen zudem Möglichkeiten wie Pseudonymisierung oder die Nutzung von Treuhändern, die Daten im Auftrag der US-Unternehmen verarbeiten, und die US-Sicherheitsbehörden keinen Zugriff gewähren müssen, ins Spiel gebracht. Da dies bei größeren Anbietern langwierig umzusetzen sein wird, bieten sich hier enorme Chance für kleinere, agile Anbieter.

Ich habe und kann zu diesen Fragen umfassend beraten und US-Anbieter helfen, gesellschaftsrechtliche und sonstige vertragliche Grundlagen zu schaffen, um diese Chance zu nutzen.

Kontaktieren Sie mich einfach unverbindlich und lassen Sie uns herausfinden, wie ich Ihnen helfen kann, die eigene SaaS-Lösung rechtskonform in Deutschland anzubieten!

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.