Datenschutz im US Geschäft

Artfiles hat eine US Niederlassung gegründet. Einige Kunden haben sich besorgt geäußert, dass diese Erweiterung unseres Geschäftes Artfiles in irgendeiner Weise unter Einfluss der US amerikanischen Behörden und vor allem natürlich Geheimdienste bringt.

Das Wichtigste vorab: Selbstverständlich wird Artfiles auch in Zukunft keine Kundendaten (weder die Daten der Kunden, noch Daten “über die Kunden”) in die USA transferieren, außer dies ist ausdrücklich vom jeweiligen Kunden so gewünscht.

Deutsche Kunden werden wie bisher ausschließlich in Deutschland auf deutschen Servern gehostet.

Zu grundsätzlichen Fragen des Datenschutzes aber nun ein Gastbeitrag unseres Anwalts und Datenschutzbeauftragten Dr. Martin Bahr (www.dr-bahr.com):

Die Gründung einer US-Tochtergesellschaft ist datenschutzrechtlich unbedenklich

Zunächst ist es wichtig sich in Erinnerung zu rufen, dass beide Gesellschaften rechtlich vollkommen autonome juristische Personen sind. Die Artfiles New Media GmbH ist eine deutsche GmbH, die Artfiles LLC eine nach US-Recht gegründete Limited Liability Company. Aus datenschutzrechtlicher Sicht ist die jeweils andere Gesellschaft somit ein vollkommen fremdes Unternehmen. Ohne ausdrückliche Zustimmung des Kunden dürfen keinerlei personenbezogene Daten zwischen den Unternehmen ausgetauscht werden.
Nun könnte man auf die Idee kommen, dass es den amerikanischen Behörden gleichwohl doch irgendwie gelingen könnte, über die Artfiles LLC auf die Daten der Artfiles New Media GmbH Zugriff zu nehmen. Eine solche theoretische Möglichkeit scheitert jedoch von vornherein an einem wichtigen Umstand: Die deutsche GmbH ist die Muttergesellschaft und die LLC ist zu 100% die Tochtergesellschaft.
Dies bedeutet nichts anderes, als dass alleinige Gesellschafterin der amerikanischen Firma die deutsche GmbH ist. Das US-Unternehmen liegt damit wirtschaftlich vollständig in deutschen Händen. Die deutsche GmbH bestimmt als Gesellschafterin die Marschroute. Die Tochter ist somit vollkommen abhängig von ihrer Mutter.
Aufgrund dieser Abhängigkeit stehen der Artfiles LLC keinerlei rechtlichen Möglichkeiten zu, Zugriff auf die deutsche GmbH zu nehmen. Ordnet z.B. eine amerikanische Behörde gegenüber der LLC eine Maßnahme an, so kann dies weder unmittelbar noch mittelbar die Muttergesellschaft treffen.
Die Eröffnung einer Tochtergesellschaft im Ausland, die zu 100% in den Händen der Mutter liegt, ist also aus datenschutzrechtlicher Hinsicht absolut unbedenklich. Dadurch wird auch nicht der NSA oder sonstigen US-Geheimorganisationen die Tür zu den Daten deutscher User geöffnet.
Ein einfacher Blick auf die Praxis zeigt auch diesen Umstand: Denn zahlreiche deutsche und europäische Unternehmen besitzen eigenständige Tochtergesellschaften, ohne dass dies von den Datenschutzbehörden in Europa jemals kritisiert wurde.

Was es aber zu beachten gilt

Grundsätzlich werden sämtliche Daten der Artfiles-Kunden in Deutschland von der deutschen GmbH gehostet. Nur wenn der Kunde dies ausdrücklich verlangt, kann er wahlweise mit der US-Tochtergesellschaft den Vertrag schließen und/oder seine Daten in US-Rechenzentren hosten lassen.
In beiden Fällen gilt es dabei zu beachten: Sobald der Kunde freiwillig und bewusst einen Berührungspunkt mit den USA setzt, gilt das zuvor Gesagte nicht mehr. Wählt ein Kunde nämlich das Hosting seiner Daten in den USA, so muss ihm klar sein, dass die dortigen Behörden somit faktisch Zugriff auf seine Informationen haben, z.B. im Rahmen einer Beschlagnahme vor Ort.
Gleiches gilt im Falle eines Vertragsschlusses mit der Artfiles LLC. Auch hier liegen standardmäßig sämtliche Daten auf US-Servern. Einzige Ausnahme: Wenn ein Kunde einen Vertragsschluss mit der Artfiles LLC wünscht, seine Daten aber in den Deutschland hosten will. Ein solcher Fall dürfte in der Praxis zwar eher selten vorkommen, soll hier aber gleichwohl nicht unberücksichtigt bleiben: Auch hier muss der Kunde damit rechnen, dass letzten Endes sämtliche Informationen ebenfalls bei den US-Behörden landen. Die Informationen zu seiner Person speichert die Artfiles LLC ohnehin aufgrund des Vertragsverhältnisses vor Ort in den USA. Hierauf haben die dortigen Ermittler unmittelbaren Zugriff. Die anderen Daten liegen zwar im Ausland und sind damit zunächst nicht unmittelbar greifbar. Wie zahlreiche Beispiele aus den letzten Jahren jedoch zeigen, ist dies aber nur von kurzer Dauer. Im Rahmen der Amtshilfe bzw. durch andere Maßnahmen gelingt es den US-Behörden idR. auch auf diese Datensätze zuzugreifen.
Lange Rede, kurzer Sinn: Wer jeden (theoretischen) Zugriff auf seine Daten durch US-Ämter vermeiden will, sollte weiterhin bei der deutschen Artfiles New Media GmbH bleiben und auch in Deutschland hosten. Durch die Gründung der US-Tochter entsteht keinerlei Datenschutzproblem.


Rechtsanwalt Dr. Bahr ist TÜV-zertifizierter Datenschutzbeauftragter und berät Artfiles seit mehr als 10 Jahren.