Risikobewertung bei US-Software

Risikobewertung bei US-Software:
Die unterschätzte Managementaufgabe

Ausgangslage: US-Software in Deutschland – Alltag mit Fallstricken.

Cloud-Dienste von US-Anbietern, wie Microsoft, Google oder Amazon Web Services (AWS) sind in der IT-Landschaft deutscher Organisationen zahlreich platziert. M365, Teams, SharePoint, Azure & Co. sind im Unternehmens-, wie auch im Behördenumfeld, zum Quasi-Standard geworden.

Die Vorteile liegen auf der Hand: Skalierbarkeit, Verfügbarkeit, integrierte Workflows und eine gute Benutzerfreundlichkeit.

Natürlich existieren Alternativen zu M365. So kann z. B. die Open Source Software LibreOffice ohne US-Anbindung genutzt werden. Hier geht es aber um die Betrachtung der technischen Realität und diese ist in vielen Organisationen mit einer US- Anbindung (z. B. Microsoft Produkten) vernetzt. Hier ist inzwischen erhöhte Vorsicht geboten, denn die Nutzung US-amerikanischer Softwareprodukte kann erhebliche rechtliche und sicherheitstechnische Herausforderungen mit sich bringen.
Vielen Entscheidern ist nicht bewusst, dass der Einsatz solcher Lösungen ohne eine fundierte Risikobewertung (technische Analyse und rechtliche Bewertung) erhebliche Konsequenzen haben kann – bis hin zur persönlichen Haftung.

Rechtlicher Rahmen: DSGVO (Datenschutz-Grundverordnung), Schrems II, Trump Executive Orders.

Spätestens seit dem sogenannten "Schrems II"-Urteil des Europäischen Gerichtshofs (EuGH) im Jahr 2020 ist klar: Datenübermittlungen in die USA oder Datenzugriff aus den USA bedürfen einer sorgfältigen rechtlichen und technischen Prüfung. Selbst, wenn Unternehmen oder Behörden mit Microsoft & Co. Standardvertragsklauseln (SCC - Standard Contractual Clauses) vereinbaren oder sich auf das EU-US Data Privacy Framework berufen, reicht das allein nicht aus. Der EuGH verlangt vom datenschutzrechtlichen Verantwortlichen eine aktive Bewertung der Risiken – und gegebenenfalls die Implementierung technischer oder organisatorischer Schutzmaßnahmen.

Am 20. Januar 2025 hat Donald Trump erneut das Amt des Präsidenten der Vereinigen Staaten von Amerika übernommen. Trump steht für eine „America First“-Politik, die multilaterale Abkommen regelmäßig infrage stellt oder aufkündigt. Es ist nicht ausgeschlossen, dass ein von Trump geführtes Justiz- oder Handelsministerium das EU-US Data Privacy Framework erneut schwächt, ignoriert oder beendet. Die EU könnte ebenfalls eine Aufkündigung des Abkommens erwägen. Unter Trump ist eine aggressivere (härtere) Auslegung z. B. des Cloud Acts oder von FISA (Foreign Intelligence Surveillance Act) 702 nicht auszuschließen. Die US-Regierung könnte z. B. US-IT-Anbieter und deren Töchter noch stärker verpflichten, Daten auch aus europäischen Rechenzentren herauszugeben – selbst bei verschlüsselter Speicherung. Mit Blick auf den zunehmenden transatlantischen Druck entsteht ein reales Risiko, dass Datenzugriffe durch US-Behörden erfolgen könnten – ob mit oder ohne Wissen der Datenberechtigten. US-Softwarelösungen könnten – ohne dass die Hersteller das wollen oder akzeptieren – auch zur „Waffe“ in bereits existierenden Handelskonflikten werden – bis hin zu Nutzungseinschränkungen, Lizenzverboten oder Datenexport-Stopps.

Dies führt zur Frage: Was ist zu tun? Wie soll diesen potenziellen oder tatsächlichen Risiken begegnet werden?
Die Antwort ist: Durchführung einer angemessenen IT-Risikoanalyse.

Verantwortung und Haftung – wer muss handeln?

Die Pflicht zur Risikobewertung liegt nicht, wie schon zu lesen war, bei den US-Anbietern, sondern bei demjenigen, der die Software einsetzt. Konkret:

• in Unternehmen: bei der Geschäftsführung oder dem Vorstand;
• in Behörden: bei der Amts- oder Dezernatsleitung.

Diese Verantwortung ist nicht delegierbar. Zwar kann die operative Umsetzung an die IT-Abteilung, den Datenschutzbeauftragten und vertrauensvollen Beratern übertragen werden, doch die Gesamtverantwortung für die Risikoabwägung verbleibt beim obersten Entscheidungsträger. Wird diese Pflicht missachtet, drohen im Ernstfall Bußgelder, Reputationsschäden oder zivilrechtliche Konsequenzen und Wegfall von Versicherungsschutz, wie z. B. der D&O (Directors-and-Officers-) Versicherung. Niemand aus dem Bereich der Entscheiderebene wird im Schadensfall glaubhaft erklären können, dass diese Situation nicht vorhersehbar gewesen sei.

Woraus lassen sich die Ansprüche gegen die Entscheidungsträger ableiten?
Hier eine Auswahl über mögliche gesetzliche Anspruchsgrundlagen:

a) Gesellschaftsrechtliche Sorgfaltspflichten:

• abei der GmbH: § 43 Abs. 1 und 2 GmbHG – Pflicht zur Sorgfalt wie ein ordentlicher Geschäftsmann; Haftung bei Pflichtverstoß.
• abei der AG: § 93 Abs. 1 und 2 AktG – Sorgfaltspflicht eines gewissenhaften Geschäftsleiters; persönliche Ersatzpflicht bei Pflichtverstoß.
• Wegfall der BJR (Business Judgement Rule): Die Entlastung gelingt nur bei nachweislich informierter Entscheidung. Eine fehlende Risikoanalyse kann den BJR-Schutz ausschließen.

b) Datenschutzrecht

• Art. 24 DSGVO: Verantwortliche müssen geeignete TOM (Technische und Organisatorische Maßnahmen) umsetzen und nachweisen.
• Art. 32 DSGVO: Pflicht zur Gewährleistung der Sicherheit der Verarbeitung.
• Art. 35 DSGVO: Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko zwingend erforderlich (z. B. bei Drittstaatenübermittlung in die USA).

c) Gesetz über Ordnungswidrigkeiten

• § 130 OWiG (Gesetz über Ordnungswidrigkeiten): Bußgeldpflicht bei Organisationsverschulden bzw. unzureichender Aufsicht.

Was eine gute Risikobewertung leisten muss.

Die Risikoanalyse mit rechtlicher Bewertung ist kein weiteres bürokratisches Hindernis, sondern ein strategisches Werkzeug der Entscheiderebene. Sie schafft Klarheit, Transparenz und Entscheidungsfähigkeit – sowohl in der Unternehmensführung als auch in der Verwaltung. Vor allem aber ist sie inzwischen notwendig, um Entscheidungsträger vor einer persönlichen Verantwortlichkeit zu schützen, in dem diese veranlassen, dass eine IT-Risikobewertung durchgeführt wird, die diesen Namen auch verdient.
Dabei gilt „Technik kommt vor Recht“ – denn die rechtliche Bewertung benötigt die technische Realität als Grundlage. Ohne exakte Kenntnis der IT-Infrastruktur sind juristische Einschätzungen lediglich spekulativ und zur Entscheidungsfindung nicht geeignet.
Umgekehrt gilt, eine rein technische Analyse schützt gegebenenfalls nicht vor persönlicher Haftung, wenn die rechtliche Bewertung offenbleibt. Erst die Kombination aus technischer und rechtlicher Analyse schafft die Grundlage für sorgfältige und vor allem vertretbare Beschlüsse auf Entscheiderebene.

Handlungsempfehlungen - Lösungseleganz im IT-Legal-Management mit der PRW Group

Erfahrungsgemäß ist für eine fundierte Risikobewertung ein mehrstufiger Prozess erforderlich und beinhaltet folgende Schritte:

• Technische Analyse der eingesetzten Dienste und Datenflüsse.
  Risikobewertung und Abhängigkeiten analysieren.
  Liste aller kritischen US-Dienste erstellen und Auswirkungen eines Wegfalls bewerten.
  Alternative Anbieter in der EU prüfen, z.B. europäische oder Open-Source-Lösungen in Betracht ziehen.
• Kategorisierung der betroffenen Daten.
  Datenhoheit stärken.
  Daten möglichst in der EU speichern und verarbeiten, moderne Sicherheitstechniken nutzen.
• Bewertung von Eintrittswahrscheinlichkeit und Schadensausmaß.
• Risikoklassifikation und Handlungsempfehlungen.
  Notfallpläne entwickeln.
  Szenarien und Backup-Lösungen vorbereiten.
• Rechtliche Bewertung aus Sicht der Entscheiderebene.
  Verträge und Compliance prüfen.
  Rechtliches Gutachten von PRW Rechtsanwälte mit Bewertung der rechtlichen Risiken (z. B. DSGVO, Haftung allgemein, persönliche Haftung der Entscheiderebene).
• Dokumentation der Risikoanalyse zur Vorlage bei Datenschutzbehörden, internen Revisionen, Gremien und Versicherungen.

PRW Group bietet Ihnen, gemeinsam mit Ihrer IT / Ihrem IT-Partner, eine vollumfängliche und lückenlose Beratung bei der Durchführung einer Risikobewertung (technisch und rechtlich) sowie bei der Umsetzung der erforderlichen Maßnahmen.

Sie haben Fragen zur Risikobewertung bei US-Software? Dann setzen Sie sich HIER mit uns in Verbindung.