Rechtssicherheit geschäftlicher Online-Tools – Anbieter aus den USA und anderen Nicht-EU-Ländern meiden?

Datenschutz-Compliance von SaaS-Systemen

Nicht nur öffentliche Webseiten und CRM-Systeme wie Hubspot speichern personenbezogene Daten, sondern auch Software, die von außerhalb des Unternehmens gar nicht erreichbar ist und nur von Mitarbeitern des Unternehmens genutzt wird. Dabei kann es sich etwa um Projektmanagement-Software oder das zentrale Unternehmens-ERP-System handeln, aber auch ein simpler kollaborativer Terminkalender reicht schon aus, um in puncto Rechtssicherheit geschäftlicher Online-Tools auf dünnes Eis zu geraten.

Da im Bereich der digitalen Geschäftsprozesse zulasten althergebrachter lokaler Excel-Dateien oder selbstgehosteter Systeme zunehmend Online-Tools in Form von Software as a Service (SaaS) Einzug halten, gewinnen zwei Faktoren an Relevanz:

• in den meisten Bereichen dominieren US-Anbieter oder Anbieter mit einer US-Muttergesellschaft – daher in diesem Beitrag ein Fokus auf die USA; das alles betrifft natürlich andere Nicht-EU-Länder gleichermaßen oder sogar noch mehr!;
• viele EU-Anbieter von SaaS nutzen US-Datenspeicher wie Amazon AWS, Google Cloud oder Microsoft Azure.

Auch in letzterem Fall begibt man sich in eine juristisch ungeklärte Situation, denn aus Sicht des Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist nicht erheblich, ob ich direkt Kunde eines amerikanischen Unternehmens bin – oder Kunde des Kunden.

Zwar kann ich die Einwilligung meiner Kunden, Lieferanten etc. zur Überlassung ihrer Daten an Unternehmen mit Sitz in den USA, Großbritannien und anderen Nicht-EU-Ländern einholen, aber dies ist mit Aufwand verbunden, und mein Vertrieb wird wenig begeistert sein: Aufklärung über das unzulängliche Schutzniveau ist auch nachträglich einzuholen, d.h. nicht nur für Neukunden, und auch etwa für Leads schon vor der ersten Mail! Zudem ist es ein Eiertanz, nicht auf der anderen Seite gleich wieder gegen die europäische DSGVO zu verstoßen.

Ob per Standardvertragsklauseln (SCC) anbieterspezifisch Rechtssicherheit geschäftlicher Online-Tools gewährleistet werden kann bzw. ob ein US-Unternehmen Anfragen nach dem CLOUD Act, die gegen die DSGVO verstoßen, per se nicht umsetzt und mich notfalls per Gerichtsverfahren schützt (wie z.B. Amazon dies verspricht), ist fraglich bzw. es bleibt ein Risiko. Dieses mag je nach Unternehmen als in Kauf zunehmen erachtet werden, als abzuwägendes Gegenargument oder als absolutes No-Go.

Die Hürden für eine Herausgabe personenbezogener Daten allein auf Grundlage von behördlichen Aufforderungen aus den USA auf Basis des CLOUD Act liegen allerdings hoch: sie ist in der Regel unzulässig, wie der Europäische Datenschutzausschuss (EDSA) im Jahr 2019 zum CLOUD Act festgestellt hat: Nur in ganz besonders gelagerten Ausnahmefällen hält der EDSA die Übermittlung für zulässig, etwa zum Schutz lebenswichtiger Interessen einer betroffenen Person (Art. 6 Abs. 1 lit. d i.V.m. Art. 49 Abs. 1 lit. f DSGVO).

EU-US Privacy Shield

Das EU-US Privacy Shield oder EU-US-Datenschutzschild ist der Versuch, auf politischer Ebene die Angemessenheit des Datenschutzes US-amerikanischer Unternehmen mit Bezug auf europäisches Recht unter bestimmten Bedingungen zu gewährleisten. Jedoch erklärte der Europäische Gerichtshof den Durchführungsbeschluss der EU-Kommission über den Datenschutzschild 2020 für ungültig. Datenschutzrechtlich Verantwortliche können sich demnach bei Datentransfers nach dem EU-US Privacy Shield zertifizierter US-Anbietern nicht mehr auf die Angemessenheit des Datenschutzniveaus gemäß DSGVO berufen, so dass die rechtliche Situation so aussieht wie oben dargestellt.

Es könnte jedoch wieder Bewegung in die Sache kommen: Am 25. März 2022 verkündeten EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden eine „grundsätzliche Einigung“ über ein neues Privacy Shield. Allerdings wurden in den USA bislang keine Überwachungsgesetze geändert, und der Oberste Gerichtshof der USA räumte jüngst der US-Regierung noch mehr Spielraum bei der Berufung auf „Staatsgeheimnisse“ in Spionagefällen ein. Stand heute können US-Bürger und EU-Bürger eine geheime Überwachung in den USA nur sehr schwer vor dortigen Gerichten anfechten.

Eine verbindliche und die sich in ihren Stoßrichtungen grundsätzlich widersprechenden Regelungen von EU und USA versöhnende Einigung steht noch aus – bzw. kommt vielleicht nie. Speziell für die USA existiert zudem ein nicht unbeträchtliches Politikänderungsrisiko: ein Regierungswechsel könnte kurzfristig zu einer weiteren Verschärfung amerikanischer Eingriffsmöglichkeiten und weniger Lust auf Kooperation mit der EU führen.

So ist die Lage mit den USA – jedoch existieren für einige andere Ländern EU-Angemessenheitsbeschlüsse, die aus Sicht eines Unternehmens, das mit Anbietern aus diesen Ländern zusammenarbeiten möchte, wohl alles in Ordnung sein dürfte. Es handelt sich dabei um  Andorra, Argentien, Kanada (kommerzielle Unternehmen), Faroer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Südkorea, die Schweiz , die Vereinigten Königreiche unter DSGVO und Law Enforcement Directive, und Uruguay.

Ganz unabhängig von der Frage, ob man selbst Daten rechtssicher speichert: möchte man seine Geschäftspartner dem Risiko aussetzen, dass deren Daten wegen eigener Nutzung amerikanischer Software von US-Behörden abgerufen werden können? Wissen die Geschäftspartner überhaupt davon?

Strategische Bedeutung des internationalen Datenschutzrechts für die Digitale Transformation

Wenn man über die kurzfristige Gefahr eines DSGVO-Bußgelds oder eines CLOUD-Act-Fiaskos mit Datenzugriff durch US-Behörden hinaus längerfristig denkt, spielen folgende Überlegungen eine Rolle:

Buy local: ganz auf einen „sauberen“ EU-Anbieter-Stack setzen

Gibt es für meine Anforderungen SaaS von EU-Anbietern, die keine Daten außerhalb der EU speichern? Wie wichtig sind ggf. Abstriche gegenüber einer Lösung mit Drittlands-Anbietern? Wie viel teurer ist ggf. eine reine EU-Strategie?

Kann ich dem Problem grundsätzlich ausweichen, indem ich statt SaaS-Angeboten auf selbstgehostete Software setze? Dies geht zum einen mit klassischer Programmierung und gängigen ERP-Systemen; zum anderen ermöglichen auch viele No-Code- und Low-Code-Anbieter die Installation auf eigenen Servern.

Fußnote: Es geht ja um die Datenspeicherung, nicht um den Hersteller einer Software. Kann ich also einfach amerikanische (oder israelische, indische...) Software benutzen, so lange ich sie in der EU hoste einschließlich Massenspeicher? Hier gibt es die (hypothetische) Möglichkeit einer „Backdoor“ in der Software zu bedenken, wie sie bei diversen amerikanischen Soft- und Hardwarehersteller bekannt, bei chinesischen und russischen Anbietern dringend vermutet, bei EU-Anbietern aber verboten ist.

Kann ich die Migration auf ein rechtssicheres System mit einem ohnehin sinnvollen Schritt der Digitalen Transformation meines Unternehmens verbinden, so dass das Herstellen von Rechtssicherheit in die Rubrik „Sowiesokosten“ fällt?

US-Anbieter trotz rechtlicher Probleme nutzen

Kann mein Unternehmen die rechtlichen Risiken der Non-Compliance einschließlich des Politikänderungsrisikos in Kauf nehmen? Sind die Risiken hinsichtlich Finanzen (z.B. Bußgelder) oder auch Reputation empfindlich, kann gar eine betriebsbedrohende Situation entstehen? Wie groß ist der „Hebel“, d.h. sind denkbare Probleme Einzelfälle oder zahlreich?

Alternativ: kann und will mein Unternehmen den Aufwand betreiben, flächendeckend Vereinbarungen mit Standardvertragsklauseln abzuschließen und nachzuhalten? Monitoring sich verändernder rechtlicher Voraussetzungen pro Anbieter? Die Belastbarkeit dieser Vereinbarungen und Anbieter-Zusicherungen auch stellvertretend für meine Geschäftspartner voraussetzen? Ohne mich darüber mit meinen Geschäftspartnern abzustimmen? Kann und will mein Unternehmen ggf. Geschäftskontakte schon im Lead-Stadium und auch Bestandskunden im Nachhinein mit einem obligatorischen Opt-in bei umfassender Aufklärung über unzureichendes Datenschutzniveau konfrontieren? Wenn hier die Antwort „ja“ lautet, steht der Nutzung von Diensten aus Drittländern nichts entgegen.

Falls ich weiterhin US-Anbieter nutze: Kosten eines evtl. im Nachhinein wegen Datenschutz-Compliance vorgenommenen Wechsels zu reinen EU-Anbietern bedenken

Wie viel werde ich in ein bestehendes oder neu aufzusetzendes Nicht-EU-System in Zukunft investieren, und wie stark wachsen dadurch die Kosten der Migration? Wie hoch müsste die Rückstellung für unterlassene Instandsetzung sein, wie viel „technische Schulden“ häufe ich durch die Unterlassung an?

Wie sehr hemmt das Bewusstsein, ein eventuell nicht rechtssicheres Bestands-System zu nutzen, meinen Digitalisierungsfortschritt, mein Vertrauen in mein Werkzeug?

Fazit

Aus rein juristischer Perspektive kann man sich vermutlich auf die Aussage zurückziehen , daß Rechtssicherheit nur mit einer reinen EU-Strategie zu bekommen ist. Es wird aber sicherlich Unternehmen geben, für die aus strategischer Perspektive das rechtliche Risiko der Arbeit mit US-Tools ohne konsequente Standardvereinbarungen und Opt-in nach der Methode „was soll schon passieren?“ als tolerierbar gesehen werden kann. Wer bei den großen, etablierten Anbietern ist, hofft vielleicht zurecht darauf, dass man nicht Millionen von europäischen Nutzern im Stich lassen wird, siehe die Positionierung von Amazon.

Wer nur wenige Geschäftspartner mit entsprechend intensiverem Austausch hat, wird möglicherweise die Vorteile der freien Auswahl auf dem internationalen Software-Markt höher bewerten als den Nerv-Faktor, mit Tool-Anbietern Standardvereinbarungen abzuschließen und allen seinen Partnern ein explizites Opt-in zuzumuten.

Wer jedoch besonders sensible Daten speichert, wer in dieser Hinsicht empfindliche Kunden oder Lieferanten hat, wer so groß ist, so dass sich Bußgelder und andere negative Rechtsfolgen summieren und eine neue Technik von so vielen genutzt wird, dass die Kosten pro Nutzer gering sind (Skaleneffekt), wer seinen Kunden kein Opt-in zumuten oder sich nicht auf Standardvertragsklauseln verlassen will, wer den Reputations-Schaden eines Bußgeldverfahrens scheut, sollte seine internen Tools genauso DSGVO-konform und frei von Zugriff aus Drittländern halten wie seine öffentliche Web-Präsenz und seinen Online-Shop. Wenn ein Unternehmen das europäische Datenschutz-Niveau als Teil seines Markenversprechens kommuniziert und sich demzufolge die DSGVO voll zueigen macht, gibt es zu „EU only“ (inklusive den Ländern mit EU-Angemessenheitsbeschluß) ohnehin keine Alternative.

Es ist klug, eine Umstellung auf einen DSGVO-konformen Stack für alle digitalen Werkzeuge im Unternehmen mit ohnehin anstehenden Schritten der Digitalen Transformation zu verbinden – sei es, dass die Modernisierung den Anstoß gibt oder das Bedürfnis nach Rechtssicherheit, beides ist ein Fortschritt!

In diesem Artikel wir keine Rechtsberatung geleistet. Rechtliche Sachverhalte werden lediglich allgemein dargestellt. Für die Richtigkeit wird keine Haftung übernommen.