Unternehmen in Östereich greifen tagtäglich auf US-Tools und Anbieter wie Zoom, Microsoft Teams oder Mail Chimp zurück. Alexandra Vetrovsky-Brychta, Präsidentin des Dialog Marketing Verband Österreich (DMVÖ) und Geschäftsführerin des Forum Verlag Herkert in Österreich, erklärt, wie sich Unternehmen hinsichtlich der europäischen Datenschutzbestimmungen trotzdem absichern können.

Report: Welche Folgen hat das Kippen der Privacy-Shield-Regelung zwischen den USA und der EU im Vorjahr für die Nutzung von Marketing-Tools von US-Anbietern, wie etwa Mailchimp?

Alexandra Vetrovsky-Brychta: Leider eine sehr klare Folge: Es ist nun verboten personenbezogene Daten in die USA zu übermitteln, ohne entweder eine Einwilligung vom Betroffenen zu haben oder Standardvertragsklauseln in Kombination mit weiteren Maßnahmen wie Verschlüsselung oder Vertragsklauseln vereinbart zu haben. Beachtet man dies nicht wird man zum Rechtsbrecher und riskiert die hohen Strafen die die DSGVO vorsieht.

Report: Womit könnten sich Unternehmen helfen? Gibt es risikoabschwächende Maßnahmen hinsichtlich des Datenschutzes?

Vetrovsky-Brychta: Ja die gibt es. Es herrscht nun nach fast einem Jahr dringender Handlungsbedarf. Folgende Schritte müssen gemacht werden: Erstens  die Bestandsaufnahme im Verarbeitungsverzeichnis, welche Tools personenbezogene Daten in die USA übermitteln und auf das Privacy Shield gestützt waren. Zweitens Alternativen prüfen und auf europäische Alternativen wechseln, wo möglich. Und drittens: Bei den verbleibenden Tools alternative Rechtsgrundlagen schaffen, wie Einwilligung oder Standardvertragsklauseln mit Zusatzmaßnahmen.

Gerade bei den Zusatzmaßnahmen haben sich gute Möglichkeiten technologischer Natur wie zum Beispiel Verschlüsselung aufgetan. Der DMVÖ bietet seinen Mitgliedern hier gerne Unterstützung an, welche Möglichkeiten es dazu am Markt gibt.

Report: US-Anbieter wie Microsoft und AWS betonen, die Daten europäischer Kunden in Rechenzentren in Europa zu speichern - die "Hyperscaler" bietet entsprechende regionales Datenmanagement. Ist das nicht ausreichend?

Vetrovsky-Brychta: Leider geht es in dem Urteil des Europäischen Gerichtshofes nicht um die Speicherung allein, sondern um die Übermittlung der personenbezogenen Daten bzw. auch schon um die Möglichkeit einer Übermittlung. Denn das Urteil wurde auch vor dem Hintergrund des mangelnden Datenschutzniveaus und der quasi nicht vorhandenen Klagemöglichkeiten bei Missbrauch in den USA gefällt. Somit ist das Problem nicht der Speicherort, sondern der potenzielle Zugriff durch den amerikanischen Staat auf die Daten mittels des sogenannten FISA Acts, dem fast alle amerikanischen Kommunikationsunternehmen unterliegen.

Report: Auf welche Kommunikations- und Marketing-Tools setzten Sie in Ihren Unternehmen? Ist das ausschließlich europäische Software?

Vetrovsky-Brychta: Wir setzen im Forum Verlag viel auf Eigenentwicklungen, vor allem im CRM und Abomanagement, haben aber natürlich auch marktübliche Tools von US-Anbietern wie etwa Google im Einsatz, um mit unserer digitalen und datengetriebenen Kommunikation unseren Kunden eine optimale Customer Journey zu bieten und wettbewerbsfähig zu sein. Um hier DSGVO konform zu sein haben wir zusätzliche Maßnahmen technologischer und vertraglicher Natur eingeführt, um eine rechtskonforme Übermittlung der personenbezogenen Daten sicherzustellen.