Avatar von rsteinhagen
  • rsteinhagen

2 Beiträge seit 12.05.2021

HubSpot & EuGH-Urteil: Werden die DSGVO-Haftungsrisiken richtig bewertet?

Vor einigen Monaten habe ich einige HubSpot-Partner angeschrieben, um sie über die Risiken beim Einsatz von HubSpot aufzuklären und auf Lösungen aufmerksam zu machen und um zu erfahren, wie sie mit diesen Herausforderungen umgehen.

https://www.linkedin.com/posts/ronny-steinhagen_dsgvo-cloudact-datenschutz-activity-6789252926742245376-1Ptw

Das hat bei einigen Agenturen und B2B-Endanwendern sehr hohe Wellen geschlagen, die teilweise falsch interpretiert wurden, sodass ich mich veranlasst sehe hier für mehr KLARHEIT zu sorgen, warum es mir grundsätzlich ging.

Mein Anliegen war und ist es betroffene Unternehmen zu sensibilisieren, dass ein Datenexport in die USA beim Einsatz von SaaS-Applikationen (wie z.B. HubSpot) allein auf Basis von EU-Standardvertragsklauseln, seit Schrems II nicht mehr zulässig ist. Die betroffenen Unternehmen müssen als Datenexporteur für die personenbezogenen Daten ein Schutzniveau vollumfänglich garantieren, das dem in der Europäischen Union entspricht.

Siehe dazu aktuellen Artikel von Security Insider „Datenschutz und Standardvertragsklauseln“.

https://www.security-insider.de/ergaenzenden-massnahmen-fuer-datenuebermittlungen-in-drittlaender-a-1021357/

Können diese das nicht gewährleisten, setzen sie sich einem unternehmerischen Risiko aus und sind mit massiven Bußgeldzahlungen konfrontiert.

Da in diesem Thema viel Verunsicherung herrscht und das EuGH-Urteil vom 07/2020 oft falsch interpretiert wird, möchte ich hier noch einmal Klarheit schaffen:

Die Datenschutzbehörden definieren eine Verschlüsselung als Garantie, bei der nur der Datenexporteur den Schlüssel hat und auch von US-Behörden nicht gebrochen werden kann. In o.g. Fallbeispielen müssten die SaaS-Anbieter im Rahmen des "Cloud Act" die Daten einer US-Ermittlungsbehörde übereignen.

Der Compliance-Beauftragter bei der IS4T GmbH hat das perfekt in einem aktuellen LinkedIn-Post zusammengefasst.

https://www.linkedin.com/pulse/kommentar-hubspot-schrems-ii-dsgvo-konform-andreas-baumgartner/

Auch der Handelsblatt-Artikel vom 26.01.2021 greift das Thema sehr treffend auf und zeigt auf, dass die oft von den Herstellern zitierten Standardvertragsklauseln ohne notwendige zusätzliche Garantien rechtswidrig sind.
https://www.handelsblatt.com/politik/deutschland/datenschuetzer-im-interview-stefan-brink-unternehmen-sind-mit-einer-massiven-bussgeldgefahr-konfrontiert/v_detail_tab_print/26851202.html?

Damit Sie als Unternehmer diese Garantien aussprechen können, bleibt Ihnen nur die Alternative HubSpot und vergleichbare SaaS-Applikationen auf Feldebene vor dem Export zu verschlüsseln, oder DSGVO-konforme Alternativlösungen zu prüfen damit o.g. Kriterien erfüllt werden können.

Und hier kommt das Unternehmen IS4IT GmbH mit dem Produkt „CENTRAYA“ (https://centraya.com/de/) ins Spiel, die eine Feldverschlüsselungstechnologie anbieten kann, die diese Kriterien erfüllt.

Die IS4IT setzt selbst HubSpot erfolgreich ein und musste aufgrund des internen Risikomanagements diesen Weg gehen, die Daten zu verschlüsseln. Mit Erfolg!

Ich freue mich auf eine rege Diskussion, denn dieses Beispiel ist exemplarisch für alle vergleichbaren SaaS-Anwendungen die auf US-Servern speichern.

Ronny Steinhagen

Bewerten
- +