Das Ende von Safe Harbour – Startups was nun?

Recht für Startups

Die Entscheidung des europäischen Gerichtshofes zum Datentransfer von Facebook hat hohe Wellen geschlagen. Völlig zu Recht, denn die bisherige auf dem Safe Harbour Abkommen basierende Praxis, europäische personenbezogene Daten auf Servern in den USA zu lagern und vor allem mit anderen Daten zu vermischen, ist jetzt insgesamt als illegal anzusehen. Der europäische Gerichtshof hat seine Entscheidung sowohl auf eine fehlende Kompetenz der europäischen Kommission gestützt, also auf rein formale Erwägungen, aber eben auch auf substantielle Mängel des amerikanischen Datenschutzsystems, das mit dem deutschen und europäischen nicht vergleichbar ist.

Für Startups aus Europa und ihre Geschäftsmodelle hat das eine ähnlich große Bedeutung wie für etablierte amerikanische Unternehmen. Wer sein Geschäftsmodell auf die Auswertung personenbezogener Daten (Datamining) stützt und hierbei ein weltweites Modell ausrollen will, sieht sich jetzt einer erheblichen rechtlichen Problematik gegenüber. Zu unterscheiden sind drei verschiedene Fallbereiche.

  1. Nicht personenbezogenen Daten
  2. Nach wie vor unproblematisch ist der Umgang mit nicht personenbezogenen Daten, also allen Daten, die keiner individuellen Person eindeutig zugeordnet werden können. Das Problem hierbei ist, dass die Grenze fließend ist. Gerade das Kombinieren verschiedenster Informationen aus verschiedenen Bereichen kann mit technischen Mitteln genutzt werden, um Bewegungsprofile, Benutzungsprofile oder sonstige Merkmal zu errechnen, die eine Person individuell beschreiben können. Hier kommt es also entscheidend auf das Geschäftsmodell des Startup und die hierfür benötigten Datensätze an. Gewährleistet die Art der Datenverarbeitung hinreichende Anonymität, bestehen keine Bedenken gegen einen Datenaustausch mit den USA.

  3. Personenbezogenen Daten
  4. Schwieriger wird der Umgang mit personenbezogenen Daten. Auch diese dürfen aber gespeichert oder auch in die USA transferiert werden, wenn dies von den Datenschutzgesetzen vorgesehen ist. Wer also personenbezogene Daten ausschließlich zu dem Zweck erfasst, einen grenzüberschreitenden Verbrauchervertrag abzuwickeln, bewegt sich auch ohne Zustimmung des Betroffenen im Rahmen des gültigen Rechts und hat auch weiter keine besonderen Maßnahmen zu treffen.

  5. Einwilligung in die Datenverarbeitung
  6. Der dritte Fall ist der der Einwilligung der Person in die Datenverarbeitung. Wer von seinen Kunden die Einwilligung zum Transfer der personenbezogenen Daten in Länder außerhalb der Europäischen Union einholt, kann auch zukünftig von internationalem Datenaustausch Gebrauch machen. Allerdings ist hier größte Vorsicht angesagt. Denn die rechtssichere Gestaltung entsprechender Einwilligungserklärungen ist alles andere als einfach. Insbesondere vor dem Hintergrund, dass auch eine Einwilligung in eine Datenübertragung dem Recht der Allgemeinen Geschäftsbedingungen unterfallen kann, und oftmals im Zeitpunkt der Einwilligung der Zweck der Datenübertragung noch gar nicht feststeht, ist eine rechtssichere Einwilligungserklärung nur mit größter Sorgfalt zu erstellen und an sich verändernde Umstände jederzeit anzupassen. Sofern irgend möglich, sollten Startups diesen sehr aufwendigen Weg vermeiden.

Was bleibt, ist schließlich die Verarbeitung personenbezogener Daten über Grenzen hinweg ohne Einwilligung des Nutzers. Diese ist nunmehr, seit es die USA betrifft, nur noch möglich, wenn das Unternehmen die Einhaltung europäischen Datenschutzstandards auch in den USA sicherstellen kann. Im Rahmen multinationaler Konzerne mag dies möglich sein, für eine typische Startup-Situation ist es kaum darstellbar.

So begrüßenswert die Entscheidung des Europäischen Gerichtshofes aus Sicht der Verbraucher ist, so sehr stellen sich jetzt für Startups Fragen des Geschäftsmodells. Ein Trost dabei bleibt allerdings: Durch die nunmehr strikte Trennung der Rechtsräume sind die bisherigen Standortvorteile amerikanischer Unternehmen im Umgang mit Daten entfallen. Amerikanische Startups können nicht mehr europäisches Datenschutzrecht durch Transfer aller Daten in die USA umgehen. Das wiederum ist für deutsche Startups eine gute Nachricht.

Autor

Christian Stahl


Dr. Christian Stahl

Rechtsanwalt Dr. jur. Christian Stahl ist Inhaber von KEYTERSBERG Gründungs- und Rechtsberatung.

Als langjähriger Berater innovativer StartUp-Unternehmen aus der IT-Branche konnte Dr. Stahl bereits eine Vielzahl erfolgreicher Unternehmensgründungen begleiten.

In seiner Funktion als Consultant und Rechtsbeistand ist Rechtsanwalt Dr. Stahl bundesweit für seine Mandanten tätig.