„Tools von US-Anbietern darf man nicht nutzen“ – dieser Satz begegnet mir immer wieder. Doch er ist falsch: Du kannst US-Tools DSGVO-konform nutzen geht durchaus. Zugegeben, seit dem Schrems-II-Urteil von 2020 herrscht große Verunsicherung, obwohl es inzwischen ein neues Abkommen gibt. Viele Unternehmen glauben, sie dürfen überhaupt keine Software mehr einsetzen, deren Anbieter in den USA sitzt. Doch diese pauschale Annahme ist schlicht falsch.
Die Wahrheit ist: Der Einsatz von US-Tools ist unter bestimmten Voraussetzungen durchaus DSGVO-konform möglich. Entscheidend ist nicht der Standort des Anbieters, sondern ob geeignete Schutzmechanismen für die Datenübermittlung existieren. Außerdem gibt es seit Juli 2023 wieder einen Angemessenheitsbeschluss zwischen der EU und den USA.
Warum US-Tools nicht grundsätzlich verboten sind
Viele verwechseln zwei unterschiedliche Dinge: den Standort des Unternehmens und den Ort der Datenverarbeitung. Ein US-Unternehmen kann durchaus Rechenzentren in Europa betreiben. Dann findet die Datenverarbeitung unter Umständen innerhalb der EU statt. In diesem Fall spielt der Firmensitz eine untergeordnete Rolle. Aber: Der Teufel liegt im Detail, Du musst genau hinschauen, ob die Daten wirklich nur in der EU verarbeitet werden.
Zudem gibt es seit dem 10. Juli 2023 mit dem EU-US Data Privacy Framework eine Neune Angemessenheitbeschluss. Das bedeutet: Wenn sich ein US-Anbieter für dieses Framework zertifiziert hat, kannst Du personenbezogene Daten wieder ohne zusätzliche Maßnahmen in die USA übermitteln.
Wichtig ist allerdings: Du musst vorher prüfen, ob Dein Anbieter tatsächlich auf der offiziellen Liste des US Department of Commerce steht. Nur dann greift der Angemessenheitsbeschluss.
Das EU-US Data Privacy Framework im Detail
Das Data Privacy Framework ist der Nachfolger des Privacy Shield, das der Europäische Gerichtshof 2020 gekippt hatte. Das neue Abkommen bringt wichtige Verbesserungen mit sich. Es schränkt den Zugriff US-amerikanischer Nachrichtendienste auf das Notwendige ein. Außerdem wurde ein neues Rechtsbehelfssystem eingeführt.
Betroffene Personen aus der EU haben nun das Recht, sich an ein unabhängiges Datenschutzgericht in den USA zu wenden. Das ist der sogenannte Data Protection Review Court. Damit gibt es erstmals einen wirksamen Rechtsbehelf gegen Überwachungsmaßnahmen.
Allerdings gibt es auch Kritik am neuen Framework. Datenschutzaktivisten wie Max Schrems haben bereits angekündigt, dass sie das Abkommen gerichtlich überprüfen lassen wollen. Und auch die derzeitige politische Lage in den USA verstärkt gewisse Zweifel. Deshalb ist es möglich, dass der Angemessenheitsbeschluss in einigen Jahren wieder kippt. Dennoch besteht momentan Rechtssicherheit für zertifizierte US-Anbieter.
Nicht zertifizierter Anbieter – was nun?
Selbst wenn ein US-Anbieter nicht unter dem Data Privacy Framework zertifiziert ist, bedeutet das nicht automatisch, dass Du das Tool nicht nutzen darfst. Es gibt weitere rechtlich zulässige Wege für Datenübermittlungen in die USA.
Eine bewährte Lösung sind Standardvertragsklauseln. Das sind von der EU-Kommission genehmigte Vertragswerke, die Du mit dem US-Anbieter abschließt. Sie verpflichten den Anbieter zu bestimmten Datenschutzstandards. Zusätzlich musst Du jedoch prüfen, ob weitere technische oder organisatorische Maßnahmen erforderlich sind.
Diese Prüfung nennt sich Transfer Impact Assessment. Dabei bewertest Du das Datenschutzniveau im Zielland und mögliche Risiken durch behördliche Zugriffe. Falls erforderlich, ergreifst Du zusätzliche Schutzmaßnahmen wie Verschlüsselung oder Pseudonymisierung.
Binding Corporate Rules sind eine weitere Möglichkeit. Sie kommen vor allem bei internationalen Konzernen zum Einsatz. Dabei handelt es sich um interne Datenschutzrichtlinien, die innerhalb einer Unternehmensgruppe gelten und von der zuständigen Aufsichtsbehörde genehmigt werden müssen.
Worauf Du bei der Auswahl von US-Tools achten solltest
Die Entscheidung für oder gegen ein US-Tool ist keine reine Ja-Nein-Frage. Vielmehr solltest Du verschiedene Faktoren berücksichtigen. Zunächst prüfst Du, ob der Anbieter auf der Liste des Data Privacy Framework steht. Falls der Anbieter nicht zertifiziert ist, schaust Du Dir die Standardvertragsklauseln an. Bietet der Anbieter diese an? Dann liest Du sie genau durch. Achte besonders auf Klauseln zu Subunternehmern und zur Datenverarbeitung in Drittländern.
Außerdem ist relevant, welche Art von Daten Du verarbeitest. Bei sensiblen Gesundheitsdaten oder Daten besonderer Kategorien gelten strengere Anforderungen als bei einfachen E-Mail-Adressen. Je sensibler die Daten, desto höher sollten die Schutzmaßnahmen sein.
Nicht zuletzt spielt die Risikobewertung eine Rolle. Frage Dich: Welche Folgen hätte ein unbefugter Zugriff durch US-Behörden? Bei einem Newsletter-Tool mit E-Mail-Adressen ist das Risiko anders zu bewerten als bei einer Personalverwaltungssoftware mit umfangreichen Mitarbeiterdaten.
So nutzt Du US-Tools dsgvo-konform – praktische Tipps
Dokumentiere Deine Entscheidungen sorgfältig. Die DSGVO verpflichtet Dich zur Rechenschaftspflicht. Das bedeutet: Du musst jederzeit nachweisen können, dass Du datenschutzkonform handelst. Halte fest, warum Du Dich für ein bestimmtes Tool entschieden hast und welche Prüfungen Du vorgenommen hast.
Prüfe regelmäßig, ob Dein US-Anbieter noch zertifiziert ist. Die Zertifizierung für das Data Privacy Framework muss jährlich erneuert werden. Fällt ein Anbieter von der Liste, musst Du handeln. Dann brauchst Du alternative Übermittlungsinstrumente oder einen Anbieterwechsel.
Informiere Deine Websitebesucher, Kunden und Mitarbeitenden transparent über die Datenübermittlung. In Deiner Datenschutzerklärung gibst Du an, welche Daten in die USA übermittelt werden und auf welcher Rechtsgrundlage. Das schafft Vertrauen und erfüllt die Informationspflichten der DSGVO.
Denke daran: Auch bei zertifizierten US-Tools benötigst Du eine Rechtsgrundlage für die Datenverarbeitung selbst. Der Angemessenheitsbeschluss regelt nur die Übermittlung. Du brauchst zusätzlich eine der sechs Rechtsgrundlagen aus Artikel 6 DSGVO. Das kann ein Vertrag, eine Einwilligung oder ein berechtigtes Interesse sein.
Achte auch immer darauf, ob Du das Tool nicht self-hosted verwenden kannst; es also in Deine eigene technische Infrastruktur einbinden kannst. Konkret: es auf Deinem eigenen Server hosten kannst. Damit ist das Problem möglicher Datenübertragungen in der Regel aus der Welt.
Europäische Alternativen als mögliche Option
Trotz der rechtlichen Möglichkeiten entscheiden sich manche Unternehmen bewusst gegen US-Tools. Sie setzen stattdessen auf europäische Alternativen. Das ist eine legitime strategische Entscheidung. Europäische Anbieter unterliegen direkt der DSGVO. Dadurch entfallen die komplexen Prüfungen bei Drittlandübermittlungen.
Allerdings solltest Du auch hier genau hinschauen. Nicht jeder europäische Anbieter ist automatisch DSGVO-konform. Manche setzen selbst US-Subunternehmer ein oder nutzen Cloud-Dienste mit Servern außerhalb der EU. Deshalb ist auch hier eine sorgfältige Prüfung wichtig.
Zudem bieten europäische Lösungen nicht immer den gleichen Funktionsumfang wie etablierte US-Anbieter. Es ist eine Abwägung zwischen Datenschutz, Funktionalität, Kosten und Benutzerfreundlichkeit. Diese Entscheidung musst Du individuell für Dein Unternehmen treffen.
Europäische Alternativen zu Tools kannst Du zum Beispiel auf der Website https://european-alternatives.eu/de/alternativen-zu finden.
Das musst Du im Verarbeitungsverzeichnis festhalten
Jede Datenverarbeitung gehört ins Verarbeitungsverzeichnis – auch der Einsatz von US-Tools. Dort dokumentierst Du, welches Tool Du nutzt, welche Daten verarbeitet werden und auf welcher Rechtsgrundlage. Bei Drittlandübermittlungen ergänzt Du zusätzliche Angaben.
Nenne das verwendete Übermittlungsinstrument, also entweder den Angemessenheitsbeschluss oder Standardvertragsklauseln. Verweise auf das durchgeführte Transfer Impact Assessment. Halte fest, welche zusätzlichen Schutzmaßnahmen Du getroffen hast.
Diese Dokumentation ist wichtig für Deine Rechenschaftspflicht. Bei einer Prüfung durch die Aufsichtsbehörde kannst Du so nachweisen, dass Du die Anforderungen der DSGVO erfüllst. Mein Datenschutzradar hilft Dir dabei, all diese Informationen strukturiert zu erfassen.
Aktuelle Entwicklungen im Blick behalten
Das Datenschutzrecht entwickelt sich ständig weiter. Besonders die Rechtslage zu US-Datentransfers ist dynamisch. Der aktuelle Angemessenheitsbeschluss könnte in einigen Jahren wieder gekippt werden. Deshalb solltest Du die Entwicklungen aufmerksam verfolgen.
Die EU-Kommission überprüft den Angemessenheitsbeschluss jährlich. Der Europäische Gerichtshof könnte erneut tätig werden. Politische Änderungen in den USA, etwa durch neue Präsidenten oder Gesetzesreformen, können ebenfalls Auswirkungen haben.
Lass uns über Deine individuelle Situation sprechen
Die rechtskonforme Nutzung von US-Tools ist komplex. Pauschale Verbote helfen nicht weiter. Stattdessen brauchst Du eine individuelle Betrachtung Deiner Situation. Welche Tools setzt Du ein? Welche Daten verarbeitest Du? Wie hoch ist das Risiko?
Ich helfe Dir gern dabei, Klarheit zu schaffen. In einem unverbindlichen Erstgespräch analysieren wir Deine aktuelle Tool-Landschaft. Wir prüfen gemeinsam, ob Deine US-Tools rechtssicher eingesetzt sind. Dabei zeige ich Dir konkrete Handlungsschritte auf, die Du umsetzen kannst.
Außerdem stelle ich Dir mein Datenschutzradar vor. Diese standardisierte Lösung unterstützt Dich beim gesamten Datenschutzmanagement. Du dokumentierst nicht nur Deine Verarbeitungstätigkeiten, sondern auch Deine Drittlandtransfers. So behältst Du den Überblick und erfüllst Deine Rechenschaftspflicht.
Vereinbare jetzt Dein kostenloses Erstgespräch. Gemeinsam finden wir heraus, wie Du Deine US-Tools rechtssicher nutzen kannst – ohne unnötige Panikmache, dafür mit pragmatischen Lösungen. Schreib mir einfach eine Nachricht.