Über Risiken bei der Nutzung amerikanischer SaaS-Tools

Anfang Oktober hatte der Europäische Gerichtshof die Übertragung personenbezogener Daten von Europäern in die USA auf Grundlage der “Safe Harbor”-Absprachen für ungültig erklärt. Begründung: In den USA sei kein ausreichendes Datenschutzniveau gegeben sei. Deutsche Datenschützer raten dazu, personenbezogene Daten in Europa zu speichern. Das wird Konsequenzen für viel Unternehmen haben. Für sie könnte es ab kommendem Februar richtig ernst werden.

Was bedeutet das Safe Harbor-Urteil allgemein für deutsche Unternehmen?

Die Aufhebung der Safe Harbor-Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten haben am Dienstag den 6. Oktober große Wellen geschlagen. Die Ausläufer dieser Wellen trafen in den darauf folgenden Tagen auch die Schreibtische unserer Customer Success-Mitarbeiter bei Userlike.

Uns erreichten viele besorgte Stimmen, die nach möglichen Folgen der großen Entscheidung des Europäischen Gerichtshofes fragten. Daraufhin haben wir uns an den Rechtsanwalt für Datenschutz und IT-Recht Dr. Philip Laue in Köln gewendet, damit wir unseren Kunden richtige Auskünfte auf ihre Fragen geben konnten. Wir sind der Meinung, dass alle Unternehmen, die SaaS-Tools im Einsatz haben, die genauen Risiken und Konsequenzen aus dem Safe-Harbor-Urteil kennen sollten.

“Die Entscheidung ermächtigt die nationalen Behörden der EU-Mitgliedstaaten, Unternehmen zu überprüfen, ihnen Bußgelder aufzuerlegen und sogar deren Geschäftstätigkeit zu untersagen. Diese Folgen drohten, falls sie persönliche Daten auf der Grundlage des nun ungültigen Safe Harbor-Abkommens in die USA weitergäben.” Philip Laue: “Von den Auswirkungen betroffen sind insbesondere solche Software-Anbieter, die SaaS-Tools nutzen, bei denen es auch zu einer Datenweitergabe in die USA kommt. Ein Grund wäre etwa, dass die Daten auf Servern in den USA gehostet werden.”

Was sollten deutsche Unternehmen tun, die amerikanische SaaS-Tools nutzen?

Ein grundsätzliches Problem ist, dass die amerikanische Regierung Zugriff auf Daten von Unternehmen verlangt, die ihren Sitz in den USA haben, selbst wenn die Daten in Europa von EU-Bürgern gesammelt wurden. Da dies grundsätzlich mit EU-Recht nicht vereinbar ist, operiert in der Theorie aktuell jedes amerikanische Unternehmen im rechtlichen Graubereich, wenn es Daten aus der EU sammelt. Microsoft etwa wehrt sich aktuell mit aller Kraft gegen dieses Dilemma.

Auch wegen dieser Problematik hat die Entscheidung dem Image der amerikanischen Software-Anbieter eine erhebliche Delle verpasst. Wir erwarten, das nicht wenige deutsche Unternehmen diesen Anbietern den Rücken kehren, um nicht mit mangelhaften Datenschutzstandards in Verbindung gebracht zu werden.

Deutsche Unternehmer sollten sich also unbedingt im Einzelfall erkundigen, auf welche Datenschutzrichtlinien und -standards sich die amerikanischen Anbieter ihrer Tools jeweils berufen. Nicht wenige amerikanische Firmen, die sensible Daten aus Europa verarbeiten, haben sich bereits geäußert und Zeit erbeten, um ihre Datenschutz-Policies anzupassen.

Dazu haben auch die Europäische Kommission und Datenbehörden verschiedener EU-Mitgliedsstaaten bereits angekündigt, neue Wege für Unternehmen zu suchen. Im Mittelpunkt steht dabei, auf welcher Grundlage in Zukunft der Datentransfer in die USA für diese Firmen ermöglicht werden kann. Bis zu beschlussfähigen Vorschlägen wird es dauern. Deutsche Unternehmer sollten die Services ihrer amerikanischen Kollegen in der Zwischenzeit mit Vorsicht genießen und deren öffentliche Kommunikation zum Datenschutz genau im Auge behalten.

Was sollten deutsche Unternehmen tun, die ihre Daten auf Servern europäischer Anbieter in Europa gespeichert haben?

Zuerst und vor allem: Sich keine Sorgen machen. Anschließend sollten sie weiterhin hohe Datenschutzstandards pflegen. Dabei sind auch die weiteren datenschutzrechtlichen Entwicklungen von großer Relevanz. Dies betrifft insbesondere die sogenannte EU-Datenschutzgrundverordnung, die derzeit auf europäischer Ebene verhandelt wird und bis Ende des Jahres verabschiedet werden soll. Diese soll nach Umsetzungsfrist voraussichtlich ab dem Jahr 2018 als geltendes Recht für ein einheitliches Datenschutzniveau in Europa sorgen. Sie dürfte nicht nur beim Datentransfer, sondern auch bei der Datenschutzorganisation im Unternehmen, der Verarbeitung von Kundendaten oder durch die Möglichkeit der Datenschutzzertifizierung zu Neuerungen führen. Diese seien dann auch für deutsche Start-ups zu beachten.

Was sollten deutsche Unternehmen tun, die Daten auf Servern in den USA speichern?

Hier wird es schon wesentlich komplizierter. Das oben beschriebene Dilemma für amerikanische Unternehmen erweitert sich in diesem Fall auf deutsche Unternehmen. Nachdem der Europäische Gerichtshof Safe Harbor gekippt hat-, fällt diese Legitimationsmöglichkeit weg.

Eine mögliche Alternative ist derzeit insbesondere noch der Abschluss von EU-Standardvertragsklauseln zwischen dem US-amerikanischen Hoster und dem deutschen Unternehmen. Diese Klauseln wurden von der EU-Kommission verabschiedet. Gleichzeitig haben erste Datenschutzbehörden in Deutschland nach dem Safe Harbor-Urteil bereits angekündigt, auch die Gültigkeit dieser Klauseln prüfen zu wollen. Will oder kann man sich also nicht die Einwilligung jedes einzelnen Betroffenen zur Datenspeicherung in den USA einholen, ist daher die aktuell wohl sicherste Lösung, zu Serverstandorten europäischer Unternehmen innerhalb der EU zu wechseln.

Allgemeine Auswirkungen für unsere SaaS-Kollegen aus den Staaten

Es ist damit zu rechnen, dass für sie einige Zeit und großer Aufwand nötig sein wird, um den beschädigten Ruf wiederherzustellen. Uns war bereits vorher bewusst, dass der Standort von Datenservern und Datenschutz eine große Rolle für unsere europäischen und noch mehr für unsere deutschen Kunden spielt. Tatsächlich hat sich dieser Faktor für uns als starkes Verkaufsargument herausgestellt, wenn wir deutsche Unternehmen überzeugen wollten, uns amerikanischen Wettbewerbern vorzuziehen. Wir gehen davon aus, dass diese Tendenz durch die Entscheidung der letzten Woche nur weiter verstärkt wurde.

Für unsere transatlantischen SaaS-Kollegen dürften hingegen anstrengende Zeiten anbrechen. Die folgenden Dinge sollten sie bald tun:

– Eine starke Verschlüsselung anwenden. Diese müsste wohl so stark sein, dass sie den Unternehmen selbst einen exklusiven Einblick in die Daten ihrer User verwehrt. Datenhändlern wie Facebook oder Google wäre damit die Geschäftsgrundlage genommen.
– Die Art und Weise, wie sie Daten sammeln, grundlegend überdenken und den EU-Richtlinien anpassen. Hier gilt das Gleiche wie zuvor.
– Server in der EU aufstellen. Für Tech-Riesen kein Problem, könnte dies für kleinere Anbieter deutlich schwieriger zu stemmen sein. Zudem besteht das oben beschriebene Problem eines
Datenzugriffs durch die US-Regierung.

Auswirkungen für deutsche SaaS-Anbieter

Deutsche Unternehmen haben hier aktuell einen Vorsprung. Datenschutz und -sicherheit wird in den nächsten Jahren weiter an Gewicht gewinnen, und zwar nicht nur in Europa. Durch die schon zuvor strengeren Bestimmungen zum Schutz personenbezogener Daten in Deutschland und der EU liegen hiesige Firmen in diesem Bereich mit an der Spitze.

Etwas, das wir durch die Anfragen der letzten Woche erkannt haben, ist dass vielen unserer deutschen Nutzer gar nicht bewusst ist, dass wir eine deutsche Firma sind. Deutsche Unternehmen sollten dies in Zukunft durchaus selbstbewusst und offen kommunizieren.

Über den Autor:
Sven ist im Content Marketing bei Userlike tätig. Hier setzt er sich als Autor kritisch mit allen Themen des E-Commerce und des Bloggens als solches auseinander. Ein besonderes Interesse hat er dabei für Innovation, Nachhaltigkeit und Datenschutz. Während seines Studiums der Literatur- und Kulturwissenschaften, Journalistik und Psychologie war er unter anderem beim Magazin für Popkultur „Intro” und dem WDR aktiv.

Foto: Landscape from bird view of Cargo ships entering one of the busiest ports in the world, Singapore. from Shutterstock