Risiken beim Einsatz von SaaS-Tools aus den USA

saas-tools-dsgvo-banner.jpg

In diesem Artikel erfahren Sie mehr über die Risiken und Gefahren der Nutzung von SaaS-Tools aus den USA.

Unternehmen und andere Einrichtungen in Europa setzen vermehrt auf SaaS-Tools aus dem Ausland. Geläufige Beispiele hierfür sind Tools von Unternehmen wie Google, Microsoft, SalesForce, HubSpot und Calendly.

Bei der Verarbeitung von Nutzerdaten könnte jedoch schon nahezu von "Schrödingers Datenverarbeitung" gesprochen werden, denn ob die Datenverarbeitung tatsächlich rechtmäßig erfolgt oder nicht - ist nie mit ausreichender Sicherheit gewährleistet.

Anforderungen nach der DSGVO bei ADV

An die Datenübermittlung in unsichere Drittstaaten - zu denen die USA derzeit zweifelsfrei gehören - sind vielen Anforderungen geknüpft.

Beim Beispiel GSuite bzw. Workspace von Google (E-Mails, Cloudspeicher, Kalender und mehr für Unternehmen) bedient sich Google daher sogenannter "geeigneter Garantien", Standardsvertragsklauseln, Zertifizierungen und mehr um ein entsprechendes Datenschutzniveau herzustellen.

Rechtsunsicherheiten beim Einsatz von SaaS-Tools aus den USA

Verantwortliche in Deutschland und Europa können u. a. mit Google entsprechende Datenschutzvereinbarungen schließen. Dieses Angebot sollte auch genutzt werden, denn es handelt sich bei diesen Datenverarbeitungsvorgängen auf den ersten Blick um eine Auftragsdatenverarbeitung.

Leider ist der Einsatz dieser Tools mit vielen Rechtsunsicherheiten verbunden, wobei drei Punkte deutlich hervortreten:

  1. Rechtsunsicherheit hinsichtlich der Zugriffsmöglichkeiten (von Sicherheitsbehörden)
  2. Rechtsunsicherheit hinsichtlich der Subunternehmer bei der Auftragsdatenverarbeitung
  3. Rechtsunsicherheit aufgrund bestehender Alternativen bei der Vertragserfüllung

Zugriffsmöglichkeiten der US-Sicherheitsbehörden

In den USA ist es Sicherheitsbehörden möglich jederzeit auf Daten von europäischen Nutzern und Einrichtungen zuzugreifen, sofern diese bei einem US amerikanischen Unternehmen hinterlegt sind. Die USA verfügen hier über besondere Mittel wie etwa sogenannte "National Security Letter". Dabei handelt es sich um Aufforderungen der Regierung an Unternehmen Daten herauszugeben und darüber stillschweigen zu bewahren. Für die Ausstellung solcher Aufforderungen ist kein Gerichtsbeschluss notwendig, d. h. Ermittlungsbehörden können diese Aufforderungen selbst erstellen und Unternehmen wie Google, Apple, Microsoft etc. müssen diesen Folge leisten.

Auch der Cloud Act aus den USA ermöglicht weitreichende Zugriffsmöglichkeiten der US-Behörden auf Daten bei amerikanischen Unternehmen. Vor Erlass des Cloud Acts war ein Zugriff auf solche Daten grundsätzlich nur im Rahmen eines sogenannten Rechtshilfeersuchens möglich (hierbei werden die Behörden des betreffenden Staates - in welchem die Daten gespeichert sind - um "Hilfe" ersucht). Nach Erlass des Cloud Acts ist aus Sicht der US-Behörden kein Rechtshilfeersuchen mehr notwendig und die Daten müssen herausgegeben werden. Daher müssen aus US-Sicht ausländische Behörden (wie z. B. deutsche Behörden) keine vorherige Zustimmung mehr erteilen.

Unüberschaubare Anzahl an Subunternehmern

Besonders große SaaS-Dienste wie Google GSuite/Workspace verwenden eine enorm hohe Anzahl von Subunternehmern. Eine Liste der bei Google verwendeten Subunternehmen kann unter https://workspace.google.com/intl/en/terms/subprocessors.html aufgerufen werden.

Bei dieser enorm hohen Anzahl an Subunternehmern - verteilt über die ganze Welt - kommen bereits erste berechtigte Zweifel auf, ob alle Subunternehmen und ggf. dessen Subunternehmen umfangreich geprüft werden oder lediglich in Papierform zu bestimmten Vorgehensweisen vertraglich verpflichtet wurden.

An dieser Stelle sollte unter keinen Umständen vergessen werden, dass der Verantwortliche stets der für die Datenverarbeitung verantwortliche bleibt. Das ist für den Fall einer Auftragsdatenverarbeitung auch konkret durch Art. 24 DSGVO geregelt worden. Sinn und Zweck der Einführung dieser zusätzlichen Regelung ist es, die Verantwortung und Haftung für jedwede Verarbeitung personenbezogener Daten demjenigen zuzuordnen, der diese Verarbeitungsvorgänge selbst vornimmst oder vornehmen lässt (vgl. ErwGr. 74 der DSGVO).

Ein weiteres Problem ergibt sich auch aus der Ausgestaltung der Auftragsdatenverarbeitung mit derart großen Unternehmen und umfangreichen Tools. Sofern nämlich große Unternehmen wie z. B. Microsoft oder SalesForce selbständig die Zwecke und Mittel der Verarbeitung bestimmen, liegt gem. Art. 28 Abs. 10 DSGVO keine Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit vor. In Folge dessen kann es dazu kommen, dass es an der Einwilligung der Betroffenen zur Datenübermittlung an einen zusätzlichen Verantwortlichen mangelt und alle Verarbeitungstätigkeiten faktisch nicht erlaubt sind.

In der Praxis müsste nun geprüft werden, ob die Verträge mit solchen Unternehmen genauestens beschreiben welche Leistungen erbracht werden und wie die Daten verarbeitet werden. Fehlt es an solchen Bestimmungen kann davon ausgegangen werden, dass wie oben beschrieben die Entscheidung über die Zwecke und Mittel der Verarbeitung nicht mehr beim ursprünglichen Verantwortlichen liegt. Dies fürht zu zahlreichen Problemen und Verstößen gegen Vorschriften der DSGVO.

Bestehende Alternativen bei der Vertragserfüllung

Weiter besteht eine nicht übersehbare Rechtsunsicherheit, da innerhalb Europas Alternativen zu vielen dieser Tools bestehen. Auch haben die Betroffenen in den meisten Fällen keine Einwilligung zur Übermittlung von personenbezogenen Daten in Staaten wie die USA erteilt. In diesen Fällen wird die Verarbeitung jedoch von den Verantwortlichen auf den Zweck der Vertragserfüllung gestützt.

Es ist jedoch offenkundig dass die Verarbeitung in den USA als solches - in den meisten Fällen - nicht zur Vertragserfüllung notwendig ist. Denn die zur Vertragserfüllung notwendigen Verarbeitungsvorgänge könnten auch innerhalb eines Unternehmens abgebildet werden bzw. zumindest innerhalb Europas.

Hieraus ergibt sich zwangsläufig, dass die Verarbeitung der Daten von Betroffenen in den USA nicht "einfach" auf den Zweck der Vertragserfüllung gestützt werden kann und es an einer Einwilligung der Betroffenen fehlt, was wiederum erhebliche Risiken für die Verantwortlichen birgt.

Eine sichere alternative zu SaaS Lösungen ist Einsatz von Open-Source-Software. Glasskube ermöglicht es Ihnen, Open-Source-Software automatisiert in Ihrem Rechenzentrum oder Ihrer Cloud zu installieren und zu betreiben, und so Daten sicher und DSGVO- konform zu verarbeiten.

Starten Sie jetzt in weniger als 10 Minuten

Glasskube installiert, betreibt und updatet Open-Source Software automatisiert in Ihrer Cloud ohne IT Aufwand.

Testen Sie Glasskube kostenlos

Erlangen Sie Ihre digitale Souveränität zurück und automatisieren Sie Informationssicherheit und Datenschutz.