„Niemand möchte sein Unternehmen und seine Kunden in Gefahr bringen, oder?“
Nahezu jeder kann dank der zahlreichen Tools und Einstellungsmöglichkeiten ein hervorragender Vertriebs- und Marketingdirektor werden. Aber viele Unternehmen machen die Erfahrung mit Marketinglösungen, die rechtliche und Compliance-Probleme verursachen und damit sowohl ihr Unternehmen als auch ihre Kunden in Gefahr bringen.
Stellen Sie sich vor, wie Sie Ihr Unternehmen ohne rechtliche und kommerzielle Risiken ausbauen könnten – und wie dies sogar in einer neuen Welt, in der Ausschreibungen diese Risiken inzwischen berücksichtigen, zu einem Wettbewerbsvorteil werden könnte.
Digitale Souveränität, rechtliche und kommerzielle Risiken: Worum geht es dabei?
Kurz gesagt: Die Vereinigten Staaten haben ein umfangreiches Regelwerk extraterritorialer Gesetze geschaffen, um Korruption auf internationaler Ebene zu bekämpfen und Unternehmen zu verfolgen, die die im Rahmen ihrer Außenpolitik verhängten Embargos nicht einhalten.
Das wichtigste Gesetz im Zusammenhang mit Korruption ist der Foreign Corruption Protection Act (FCPA) von 1977. Embargos werden von der Office of Foreign Assets Control (OFAC), einer Behörde des US-Finanzministeriums, kontrolliert.
Sie gelten für Länder oder Einzelpersonen bzw. für bestimmte Arten von Ausrüstung – auf Grundlage von Sondergesetzen bzw. -verordnungen wie der International Traffic in Arms Regulation (ITAR) und der Export Administration Regulation (EAR).
„Allein die Nutzung des Dollars, einer US-Software oder die Beschäftigung eines US-Bürgers verpflichtet Sie dazu, das US-Recht einzuhalten.“
1998 hat der US-Richter die Definition der Verknüpfung eines ausländischen Akteurs mit den USA (nexus) als rechtliche Grundlage für Strafverfolgungen ausgeweitet. Während die Nutzung des Dollars der häufigste nexus ist, umfassen die Kriterien inzwischen auch die Beschäftigung eines US-Bürgers oder dessen Anwesenheit bei einem Treffen sowie den Transit einer E-Mail über einen in den USA ansässigen Server. Schon die Verwendung einer US-Software könnte als nexus anerkannt werden.
2016 haben die Europäische Union und die Schweizerische Eidgenossenschaft den Privacy Shield ausgehandelt, um eine rechtliche Vereinbarung zu haben, die den Transfer von Daten europäischer Unternehmen und Bürger in die Vereinigten Staaten regelt.
Der Gerichtshof der Europäischen Union (EuGH) hat den Privacy Shield im Juli 2020 für nichtig erklärt wegen erwiesener Nichtkonformität der Vereinigten Staaten von Amerika. Eine Entscheidung mit weitreichenden Folgen für Unternehmen und europäische Institutionen, die Software „Made in USA“ verwenden.
Jeder Datenübergang ist nun potenziell illegal. Ein Donnerhall für US-Plattformen und Anbieter von US-Software!
Der EuGH hat festgestellt, dass „das US-Gesetz im Widerspruch zu den grundlegenden europäischen Rechten steht (…) und kein Recht auf einen wirksamen Rechtsbehelf auf Zugang zu einem unparteiischen Gericht gewährleistet“.
Die Daten der Nutzer amerikanischer Plattformen werden in die Vereinigten Staaten übermittelt, um dort von ihnen selbst gespeichert, verarbeitet und analysiert zu werden, und US-Behörden wie die NSA haben de facto und rechtlich darauf Zugriff. Die Verortung der Speicherung (z. B. in einem europäischen Land) löst nichts, da das US-Recht die extraterritoriale Geltung sämtlicher Daten ermöglicht, sobald der Dienst von einer US-amerikanischen Gesellschaft betrieben wird.
„Womit die Rechtsabteilungen gehörig ins Zittern geraten, wenn die Vertriebs- und Marketingteams US-SaaS-Entscheidungen treffen!“
Da US-Unternehmen und sogar ihre auf unseren Territorien gehosteten Niederlassungen dem Patriot Act unterliegen, bevor sie auf den europäischen DSGVO reagieren müssen, besteht für unsere Unternehmen die Herausforderung in einer ständigen Überwachung der Kundendaten, der Verträge und der Angebote. Ganz abgesehen davon, dass sie dadurch auch rechtlich in Gefahr geraten, denn sie können sowohl von US-Behörden aufgefordert werden, um Druck auszuüben (erinnern Sie sich an den Fall Alstom) als auch von europäischen Kunden, die selbst nicht exponiert sein möchten. Womit die Rechtsabteilungen gehörig ins Zittern geraten, wenn die Vertriebs- und Marketingteams US-SaaS-Entscheidungen treffen!
Welche Pflichten haben Unternehmen angesichts dieser Risiken?
Europäische Gerichte haben entschieden, dass der Schutz von Daten in den USA eingeschränkt ist. Daten, die aus der EU stammen, gelten als wenig sicher, wenn sie in die USA übermittelt werden. Europäische Unternehmen müssen daher jederzeit in der Lage sein, sicherzustellen, dass die nationalen Sicherheits- und Ermittlungsbehörden des Empfängerlands der gespeicherten Daten keinen Zugriff auf personenbezogene Daten haben.
Mit dem CLOUD Act sind sogar Daten, die in der EU gespeichert sind, für die US-Regierung zugänglich
Ganz konkret: Wenn sie US-Software verwenden, die potenziell Daten an ihre staatlichen Organisationen überträgt, müssen Unternehmen die Nachverfolgbarkeit all ihrer Daten und der Daten ihrer Kunden nachweisen, ohne dass irgendeine personenbezogene Information zugänglich ist. Das ist eine Mission unmöglich.
Die Situation ist besonders schwierig für kleine und mittlere Unternehmen (KMU), da sie normalerweise nicht über das Know-how und die Mittel verfügen, um diese Nachverfolgbarkeit sicherzustellen und das Niveau der rechtlichen und kommerziellen Risiken zu analysieren, die sie für sich selbst und ihre Kunden eingehen.
In der aktuellen Situation könnten Unternehmen in der EU auch von ihren Geschäftspartnern und US-Dienstleistern verlangen, alle verfügbaren technischen Mittel einzusetzen, um den Datenschutz zu optimieren, etwa durch die Nutzung von Ende-zu-Ende-Verschlüsselung. Aber wie kann man sicher sein?
Welche Entscheidungen für europäische Unternehmen?
Der globale Digitalmarkt ist derzeit zwischen zwei großen Akteuren polarisiert, deren Umrisse eines Wirtschaftskriegs sich abzeichnen: die Vereinigten Staaten und China. Die Aufhebung des Privacy-Shield-Mechanismus verhindert die Übermittlung von Daten in das US-Territorium in der Praxis nicht, denn es ist möglich, die Standardvertragsklauseln zu verwenden. Sie erschwert diesen Transfer jedoch und fördert indirekt die Entwicklung des europäischen Binnenmarkts, um das Entstehen rein europäischer Alternativen zu begünstigen.
„Nutzen Sie die DSGVO-Compliance, um eine europäische Software auszuwählen, mit der Sie die Daten Ihrer Kunden verwalten.“
Unternehmen müssen sich mit den Risiken auseinandersetzen, denen sie in ihrem wirtschaftlichen Handeln begegnen. Im Wesentlichen geht es dabei um das Ausplündern von Daten. Die DSGVO zeigt außerdem, dass die Europäer begonnen haben, ihre eigenen Regeln zu übernehmen. Jetzt gilt es noch, unsere europäischen Unternehmensleiter davon zu überzeugen, dass die Nutzung von US-Software zur Verwaltung von Daten unterschiedliche Risiken mit sich bringt:
- Risiko des Datenausplünderns zugunsten von Unternehmen unserer Verbündeten im Rahmen von Ausschreibungen.
- Risiko einer direkten Kontrolle der Aktivitäten und eines indirekten Drucks.
- Rechtliches und finanzielles Risiko der US-Repression im Online-Bereich.
- Sanktion durch die EU für europäische Unternehmen, die die US-Regeln einhalten.
- Ein Vertrauensverlust der Nutzer bei der Verwendung einer SaaS-Software
Entscheidungsträger, Verantwortliche für Vertrieb und Marketing, Leiter der Informationssysteme haben nun eine entscheidende Rolle bei der Auswahl ihrer Software. Sie binden damit ihre Unternehmen nun in Kenntnis der Sachlage ein. Sie müssen jetzt eine Kultur der Selbstbefähigung, der Resilienz, der Nachhaltigkeit und des Schutzes des Digitalen in ganz Europa aufbauen.
