Der EuGH hat das Privacy Shield am 16. Juli 2020 für ungültig erklärt. Seitdem gibt es keine Vereinbarung mehr, die die Übertragung personenbezogener Daten europäischer Unternehmen und Bürger in die Vereinigten Staaten regelt. Jede Übertragung ist nun potenziell rechtswidrig. Ein Donnerschlag für US-Plattformen, die faktisch ein Oligopol im europäischen Internet haben. Auch für US-Lösungen für CRM (Customer Relationship Management, bzw. Verwaltung der Kundenbeziehung) ist das ein ernstes Problem, da sie die gesetzliche Unversehrtheit der Daten ihrer Kunden nicht mehr garantieren können – unabhängig davon, wo diese in SaaS gespeichert und verarbeitet werden.
Während die US- und europäischen Behörden daran arbeiten, ein Nachfolgeregime für die transkontinentalen Datentransfers auszuhandeln, hat dies bis dahin einen erheblichen Einfluss auf das Vertrauen zwischen B2B-Partnern, insbesondere bei den in CRM-Systemen gespeicherten Geschäftsdaten, deren Unternehmen in den Vereinigten Staaten von Amerika registriert sind. Die Vertragsentwicklung großer Konzerne, die explizit auf US persons abzielt, sowie die verschiedenen extraterritorialen Gesetze wie der Patriot Act sind ein Hinweis darauf, dass das rechtliche Risikobewusstsein bereits berücksichtigt wird.
Warum wurde das Privacy Shield für ungültig erklärt
Das ursprüngliche Ziel des Privacy Shield war es, einen Rechtsrahmen für die Übertragung personenbezogener Daten zwischen Europa und den Vereinigten Staaten zu definieren. Doch nach den Enthüllungen des PRISM (amerikanisches Programm zur Überwachung elektronischer Kommunikation) reichte Maximillian Schrems eine Klage ein, die zur Ungültigkeit des Privacy Shield durch den EuGH führte – mit der Begründung einer ungleichen Behandlung eines US- und eines europäischen Bürgers bei Nichteinhaltung der Verordnung. Außerdem zeigt sich, dass verschiedene US-Gesetze, wie etwa Abschnitt 702 des FISA, das Upstream-Programm oder auch die Executive Order 1233, die Massenverarbeitung von Daten und zwar ohne gezielte Ausrichtung erlauben. Das widerspricht dem im RGPD genannten Grundsatz der Verhältnismäßigkeit.
Diese Aufhebung hat eine unmittelbare Wirkung. Die Folge ist, dass europäische Unternehmen, die dieses Verfahren als Grundlage für die Speicherung und Verarbeitung personenbezogener Daten an ein in den USA ansässiges Unternehmen nutzen – zum Beispiel einen US-amerikanischen Softwareanbieter in SaaS-Umgebungen – eine Alternative finden müssen.
Welche Konsequenzen ergeben sich für SaaS-Lösungen für Customer-Relationship-Management (CRM) ?
Das CRM (Customer Relationship Management), auf Französisch GRC oder Verwaltung der Kundenbeziehung, steht nun im Mittelpunkt der Customer Experience. Die Zentralisierung der Kundendaten spielt sich jetzt in den CRM-Systemen ab – von der Akquise über die Kundenbindung bis hin zu Fakturierung sowie zum Support der Services und Geräte. Das CRM verdrängt nun die ERP (Enterprise Resource Planning) und wird zum zentralen data-Vermögenswert des Unternehmens.
Denn die CRM-Software bündelt alle Informationen aus den verschiedenen Prozessen des Unternehmens, um in Echtzeit einen 360°-Blick auf jeden Kunden zu ermöglichen. Die GRC geht über den reinen Software-Teil hinaus und umfasst Technologie, Menschen und Prozesse, die die Qualität und Art der Beziehungen zur Kundendatenbasis speisen, optimieren und analysieren.
Diese Daten sind also ein strategischer und vertraulicher Vermögenswert des Unternehmens. Anderen Zugang zu geben, bedeutet, dass man es den Wettbewerbern erlaubt, offen und ohne Einschränkungen zu erfahren, wer die Kunden sind, welche Bedingungen und Geschäftspraktiken gelten – aber auch, welcher Mehrwert hervorgehoben wird, um Geschäfte zu gewinnen und Kunden zu binden.
Das bekannte Beispiel von Alstom Power (dem Hersteller von Nuklearbehältern für Kraftwerke und U-Boote), das von den USA wegen Bestechung in verschiedenen Geschäftsfällen verfolgt wurde, wurde durch den direkten Zugriff auf die Geschäftsdaten der Gruppe erleichtert. Die Folgen waren unter anderem die Verhaftung französischer Staatsangehöriger auf US-amerikanischem Boden – wie dem ehemaligen Präsidenten des Kesselbereichs Frédéric Piérucci –, ein Verlust der Souveränität Frankreichs durch den erzwungenen Verkauf an General Electric sowie ein direkter Verlust von Arbeitsplätzen und Know-how.
Die Dokumente, die Edward Snowden 2015 über WikiLeaks enthüllte, zeigten, dass der Wirtschaftsspionage durch amerikanische Nachrichtendienste gegenüber französischen Unternehmen nichts Ungewöhnliches ist. Selbst vor Gericht in den USA verlässt man sich sogar auf die NSA, um Informationen über die Verträge zu sammeln, die sie interessieren. „Die Extraterritorialität der US-Justiz hat es ermöglicht, mehr als 13 Milliarden US-Dollar von französischen Unternehmen abzuschöpfen – durch die von der US-Justiz verhängten Geldbußen“.
Welche CRM-Lösungen sind betroffen ?
CRM-Lösungen, die direkt von der Ungültigkeit der Privacy-Shield-Vereinbarung betroffen sind, sind SaaS-Software, die sich im Besitz von US-amerikanischen Unternehmen befinden. Unabhängig davon, ob die Daten auf Servern in Europa oder in Frankreich gespeichert und verarbeitet werden oder nicht. Der Cloud Act, der von den USA als Reaktion auf das europäische RGPD zwei Monate vor dessen Inkrafttreten verabschiedet wurde, verpflichtet seine Staatsangehörigen dazu, US-Behörden Zugang zu den auf ihren Servern außerhalb des amerikanischen Hoheitsgebiets gespeicherten Daten zu gewähren.
Das ist eine Erweiterung der bereits geltenden extraterritorialen Gesetze – eine verstärkte Version des Patriot Act (ein Antiterrorgesetz, das einer Erlaubnis zum Ausspionieren ausländischer Unternehmen ähnelt). Diese beiden Gesetze gelten für französische Unternehmen, sobald diese ihre Daten einem Dienstleister mit Ursprung in den USA anvertrauen.
Mit der Verabschiedung des Cloud Act werden US-amerikanische Betreiber und Anbieter digitaler Dienste verpflichtet, Unternehmensdaten offenzulegen, wenn US-Behörden (Polizei, Justiz und Verwaltung) sie dazu auffordern. Diese Offenlegung erfolgt, ohne die Gerichte einzuschalten, und sogar ohne die betroffenen Nutzer zu informieren. Anders gesagt: Wenn Sie sich für eine US-amerikanische CRM-Software entscheiden, entscheiden Sie implizit dafür, die Daten Ihres CRMs den US-Streitkräften zur Verfügung zu stellen, und verstoßen damit gegen Ihre Pflichten aus dem RGPD.
Die betroffenen Unternehmen und wichtigsten CRM-SaaS-Softwarelösungen am Markt sind (nicht erschöpfende Liste):
- Salesforce CRM und Marketing Cloud / Pardot
- Oracle CRM und Siebel
- Microsoft Dynamics 365
- Adobe Marketing Cloud und Marketo
- Hubspot Sales und Hubspot Marketing
- Active Campaign
- Mailchimp
- Zendesk Sell
- Freshwork CRM (Freshsales)
- Nimble
- PipelineDeals
- Nutshell CRM
Was tun, wenn Sie eine US-amerikanische CRM-SaaS-Software verwenden ?
Ändern Sie Ihre Gewohnheiten
Sie können sich dafür entscheiden, auf die Nutzung eines Dienstes zu verzichten, der Ihre Daten außerhalb der Europäischen Union überträgt.
Sie können dann für ein europäisches Unternehmen optieren, das garantiert, dass keine Datenübertragung erfolgt. Mehrere Websites führen diese Softwarelösungen auf, insbesondere die Solainn-Datenbank für französische Softwarelösungen und MartechTribe hat die wichtigsten Marketing-Lösungen – darunter CRM- und Marketing-Automation-Software – nach europäischen Ländern gebündelt.
Hier ist eine Liste europäischer CRM-Software (ebenfalls nicht vollständig):
- Pipedrive
- Efficy
- Everwin
- Dimo Yellowbox
- Webmecanik Pipeline
- Sellsy
- Sendinblue
- NoCRM
- SimpleCRM
- Sage
- SAP Sales Cloud
Zusätzliche Klauseln hinzufügen
Sie können Musterklauseln zum Schutz von Daten hinzufügen lassen, die von der Europäischen Kommission angenommen wurden (Standard Contractual Clauses oder SCC). Ein europäisches Unternehmen, das Daten in die Vereinigten Staaten sendet, direkt oder indirekt – beispielsweise über eine CRM-Software – muss beurteilen, ob das Unternehmen, das die Daten erhält, alle erforderlichen Maßnahmen auf technischer, rechtlicher und finanzieller Ebene umgesetzt hat, um die entsprechenden Garantien zu bieten.
Jeden Vertrag bewerten
Jedes europäische Unternehmen muss daher in seinem Verzeichnis der Verarbeitungsvorgänge prüfen, ob es Übertragungen personenbezogener Daten in die Vereinigten Staaten gibt – und ob diese ausschließlich über das Privacy Shield abgedeckt waren. Wenn Sie weiterhin die Dienste dieses US-Unternehmens nutzen möchten, müssen Sie jeden Ihrer Verträge mit den Softwareanbietern bewerten, um die passenden Klauseln jeweils im Einzelfall mit dem betreffenden Unternehmen zu validieren.
Anschließend sollte man sich auf Artikel 46 des RGPD beziehen. Dieser Teil der Verordnung besagt, dass die Übertragung erfolgen kann, wenn angemessene Garantien bereitgestellt werden. Eine angemessene Garantie ist dann gegeben, wenn man die Sicherheit der Daten konkret einschätzen kann, den Zugang zu diesen Daten durch jedermann – einschließlich der Regierungsbehörden – sowie die Fähigkeit der europäischen Personen, ihre Rechte auch durchsetzen zu können. Lassen Sie in jedem Fall die allgemeinen Verkaufsbedingungen sowie die Einhaltung der Privatsphäre Ihres Softwareanbieters durch Ihren Rechtsdienst oder durch einen spezialisierten Anwalt prüfen.
Quelle https://www.salesforce.com/company/privacy/full_privacy/
Fazit
Am einfachsten ist es dennoch, bei der Auswahl für neue Softwarelösungen – CRM oder andere – zu beginnen, deren juristische Person der europäischen Gemeinschaft angehört. Die Auswahl ist vielfältig: vergleichbare Qualität, oft günstiger und mit qualitativ hochwertigem lokalem Support.
Für ältere Software ist es die Gelegenheit, sie zu modernisieren mit einer neuen, aktuelleren Lösung – CRM-Systeme befinden sich inzwischen in ihrer vierten Generation mit KI und ihrer nativen Integration mit dem Marketing Automation. Wenn Sie sie beibehalten, führen Sie die Risikobewertung anhand der AGB und der Privacy Policy durch und fügen Sie dort die SCC-Klauseln der EWR-Kommission hinzu sowie den Artikel 46 des RGPD.
