DSGVO: Sind ausländische Server und Softwares legal?

Die Datenschutz-Grundverordnung (DSGVO) regelt innerhalb der Europäischen Union unter anderem alle rechtlichen Angelegenheiten rund um die Speicherung und Weitergabe personenbezogener Daten. Im Kontext von Unternehmenssoftware spielt die DSGVO eine besondere Rolle, weil häufig Kundendaten involviert sind, die es entsprechend der Vorgaben zu schützen gilt.

Da jedoch viele Software-Anbieter nicht aus der EU kommen, sondern zum Beispiel aus den USA, wo das Thema Datenschutz viel lockerer gesehen wird, besteht hierzulande eine gewisse Verunsicherung darüber, welche Software überhaupt noch genutzt werden darf. Die Anbieter von Software sind auf der einen Seite verpflichtet, Nutzern aus der EU auch Datenschutz nach DSGVO anzubieten, aber die Nutzer der Software, also Unternehmen aus der EU, müssen andersherum auch sicherstellen, dass ihre Kundendaten sicher gespeichert werden - niemand kann hier also die Verantwortung von sich weisen.

DSGVO ist auch für On Premise Software relevant

Anders als man vielleicht glauben mag, ist die DSGVO nicht nur für Cloud Lösungen mit den dazugehörigen Servern relevant. Auch lokale Anwendungen können zu Problemfällen werden, wenn zum Beispiel wie bei Windows 10 Telemetriedaten von jedem PC aus in die USA übertragen werden können.

Kaum hochwertige Software aus der EU

Viele Unternehmen in Europa benutzen Software aus dem EU-Ausland (z.B. USA). Gerade im Bereich der Business-Software (CRM, ERP, HR etc.) stammen die großen Anbieter wie Salesforce oder Sage aus dem EU-Ausland oder hosten ihre Services außerhalb der EU.

Hochwertige Unternehmenssoftware aus der EU war in den letzten Jahrzehnten - bis auf wenige Ausnahmen (z.B. SAP) - eine Seltenheit. Gerade in den letzten Jahren lässt sich jedoch ein gegensätzlicher Trend nachweisen: Immer mehr Software-Startups entwickeln auch in Deutschland und der EU eigene Unternehmenssoftware.

Grundsätzlich ist es so, dass die allermeisten Softwares für Unternehmen in Europa der DSGVO entsprechen bzw. entsprechen müssen, damit die jeweiligen Anbieter ihre Produkte problemlos vertreiben können. Auch als Nutzer dieser Software sind Sie selbstverständlich in der Verantwortung, die genauen Regelungen zu überprüfen, aber nur weil ein Anbieter aus den USA stammt, widerspricht die Nutzung der Software nicht per se der DSGVO.

In der Regel wird sogar damit geworben, dass die eigenen Lösungen DSGVO bzw. GDPR konform sind und auf diese Aussage sollten Sie sich zumindest bei der groben Vorauswahl von Software erst einmal verlassen.

Es muss insgesamt zwischen vier wichtigen Szenarien unterschieden werden, die für die Einhaltung der DSGVO relevant sind. Eine Trennung zwischen Cloud-Software auf Servern und lokalen Anwendungen (On Premise) ist dabei nicht unbedingt von Bedeutung, denn auch auch letztere können Daten an einen ausländischen Firmensitz übertragen.

Folgende Szenarien entsprechen allesamt nach heutigem Stand (Januar 2022) der DSGVO: 1) entweder bietet ein europäisches Unternehmen Software (ggf. mit Servern in Europa) an. 2) Das ausländische Unternehmen zählt offiziell zu den sicheren Drittländern und bietet gleichwertigen oder besseren Datenschutz. 3) Alternativ stammt der Anbieter aus einem unsicheren Drittland, aber der Datenverkehr wird alleine über europäische Server abgewickelt. 4) Zuletzt besteht dann noch die Möglichkeit, dass ausländische Unternehmen mit Servern außerhalb der EU in ihren Standarddatenschutzklauseln sogenannte Binding Corporate Rules anbieten und damit europäische Datenschutz-Standards garantieren.

1) Europäische Unternehmen mit Servern in der EU

Europäische Software-Anbieter müssen nach Vorgabe der DSGVO agieren und können ihre Server zum Beispiel auch nicht einfach ins Ausland verlagern, um dem zu entgehen. Europäische Software auf europäischen Servern entspricht der DSGVO und ist zumindest vergleichsweise sicher vor Zugriffen ausländischer Geheimdienste, weil die Daten nur unter erheblichem Aufwand gehackt werden können.

2) Anbieter aus sicheren Drittländern

Die europäische Union hat im Rahmen der Datenschutz-Grundverordnung ebenfalls eine Reihe von sicheren Drittländern festgelegt, die auf Grundlage eines Angemessenheitsbeschlusses ohne weitere Maßnahmen als „sicherer Hafen“ gelten. Stammt Software aus Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay oder Japan bzw. wird dort gehostet, dann gilt die DSGVO als erfüllt, weil diese Länder gleichwertige oder noch höheren Standards beim Datenschutz ansetzen. Die USA werden explizit nicht zu den sicheren Drittländern gezählt!

3) Ausländische Unternehmen mit Servern in der EU

Vertrauen Sie auf eine Software aus den USA, die jedoch komplett in sich geschlossen auf Servern in der EU läuft, dann werden ebenfalls die Vorgaben der DSGVO erfüllt. Salesforce setzt hierfür zum Beispiel für einige Anwendungen auf die Open Telekom Cloud aus Deutschland. Ein Nachteil: Bei ausländischen Unternehmen aus unsicheren Drittländern ist es für die jeweiligen Behörden erheblich leichter, sich private Daten legal aushändigen zu lassen, selbst wenn diese in der EU gespeichert werden.

4) Ausländische Unternehmen mit Standarddatenschutzklauseln (SCC)

Im Fall von Salesforce gibt es jedoch auch Software wie das sogenannte Pardot (für Marketing-Automatisierung), das weiterhin auf Servern in den USA gehostet wird. Deutsche, bzw europäische Unternehmen können Salesforce Pardot jedoch trotzdem DSGVO konform auf Grundlage von Binding Corporate Rules (BCR) nutzen, die einen gleichwertigen Datenschutz-Standard garantieren, der in Standarddatenschutzklauseln festgehalten wird.

In der öffentlichen Wahrnehmung existieren einige Missverständnisse über den Einfluss ausländischer Nachrichtendienste (NSA, Mossad, FSB etc.) auf den europäischen Datenschutz. Wichtig ist hierbei: Aus technischer Sicht können mit dem entsprechenden Know How und genügend Ressourcen grundsätzliche alle Datenspeicher auf der ganzen Welt gehackt werden. Selbst lokale Systeme oder gar klassische Archive sind zwar vom Internet abgeschirmt, aber nicht unbedingt bestmöglich gegenüber Einbrüchen gesichert.

Die Frage ist also eher wie wichtig die Daten für irgendwen sein könnten und welcher Aufwand oder welche Konsequenzen in Kauf genommen werden, um an die Daten zu gelangen - in vielen Fällen stehen Aufwand und Nutzen in jedenfalls keinem Verhältnis, sodass eben nicht jeder Computer einfach mal eben von einer ausländischen Regierungsorganisation gehackt wird. Viel problematischer sind daher rechtliche Grundlagen wie der Cloud Act in den USA, der es den Behörden vergleichsweise einfach und legal erlaubt, auf ausländische Daten zuzugreifen, wenn diese von einem US-amerikanischen Unternehmen gespeichert werden.

Auch EU-Server können gehackt werden

In der Debatte um die DSGVO und die Datenspeicherung in Europa wird häufig übersehen, dass hierdurch im Ernstfall kein besonderer Schutz besteht. Selbstverständlich sind Ihre verschlüsselten Daten in einer Cloud sehr sicher, aber mit den entsprechenden Mitteln kann jedes Sicherheitssystem überwunden werden - online oder offline.

Sollte Ihr Unternehmen im Besitz von Daten sein, die zum Beispiel von nationaler Bedeutung für die USA oder Russland sind, dann können sie sehr sicher davon ausgehen, dass die zuständigen Stellen zumindest aktiv versuchen werden, an die Daten zu gelangen. In so einem Fall wäre es vermutlich egal, ob Sie sich für eine Cloud oder eine Offline-Speicherung entschieden haben.

Zuletzt darf nicht vergessen werden, dass etwa auch der Bundesnachrichtendienst ein berechtigtes Interesse an Ihren Daten haben und Zugriff erwirken könnte. Insgesamt sollte man sich jedoch nicht in solchen Szenarien verrennen und eher abwägen, mit welchen Wahrscheinlichkeit einzelne Gefahren tatsächlich eintreten.

Cloud Act greift nur in Härtefällen

Zwar wirkt der amerikanische Cloud Act wie eine enorme Gefahr für den europäischen Datenschutz, aber auch hier haben wir es noch immer mit einer westlichen Demokratie und keiner absoluten Willkür-Diktatur zu tun. Es ist anzunehmen, dass selbst in den USA sorgsam abgewogen wird, welche Daten unbedingt eingesehen werden müssen, um die nationale Sicherheit zu gewährleisten.

Die betreffenden Software-Unternehmen geraten bei der Durchsetzung des Cloud Acts zudem in eine Zwickmühle, weil entweder gegen die europäische oder die US-amerikanische Gesetzgebung verstoßen werden muss. Insgesamt also keine Bedingungen, die einen leichtfertigen Umgang mit dem Datenschutz erlauben.

So pauschal lässt sich die Frage nach der besten Software für Ihr Unternehmen nicht beantworten - das kommt ganz auf Ihre persönlichen Wünsche, Ansprüche und Kenntnisse an. Ganz allgemein lässt sich aber schon sagen, dass Sie mit einer in der EU gehosteten Software weniger Aufwand haben werden, was den Datenschutz betrifft.

Mit unserer umfangreichen Software-Suchmaschine können Sie aber genau die Software finden, welche Ihren Ansprüchen entspricht und diese mit anderen Softwares vergleichen. Dabei greifen wir auf einen umfangreichen Datensatz zurück, welcher auch Informationen zum Datenschutz und zur DSGVO-Konformität enthält.

Unbedingt Rechtsberatung einholen

Natürlich können wir Ihnen in diesem kurzen Text nur einen kurzen Überblick über die wichtigsten Themen rund um die DSGVO geben. Wir raten Ihnen deshalb dringend dazu sich von einer professionellen Rechtsberatung unterstützen zu lassen, wenn Sie mit Software aus dem EU-Ausland arbeiten. Allgemein kann es nicht schaden sich mit einem Rechtsexperten zu unterhalten, bevor man die Arbeit mit sensiblen Kundendaten beginnt.