Immer wieder erreichen uns Fragen, warum wir bei bestimmten internationalen Anbietern wie congism oder Apollo eine deutlich kritische Bewertung abgeben. Die Antwort hat nichts mit deren Funktionsumfang oder der Datenbankgröße zu tun, sondern mit einem entscheidenden Punkt: der Datenschutzkonformität.
DSGVO & Datentransfer in die USA – das Kernproblem
Sobald personenbezogene Daten und dazu gehören auch viele Firmendaten, aus der EU in die USA übertragen werden, greift die Datenschutz-Grundverordnung (DSGVO). Eine rechtlich zulässige Übermittlung ist nur möglich, wenn der US-Anbieter offiziell nach dem EU–US Data Privacy Framework (DPF) zertifiziert ist.
Das DPF ist ein Datenschutzabkommen zwischen der EU und den USA, das sicherstellt, dass bestimmte Standards eingehalten werden und EU-Bürger im Streitfall wirksamen Rechtsschutz haben. Die offizielle Liste aller zertifizierten Unternehmen ist hier einsehbar:
👉 https://www.dataprivacyframework.gov/list
„Wir halten uns an die DSGVO“ oder „Wir sind ISO-zertifiziert“ – warum das nicht reicht
Einige US-Anbieter werben damit, dass sie sich „freiwillig zur DSGVO bekennen“, über eine ISO-Zertifizierung verfügen oder mit anderen Zertifikaten werben. Auf den ersten Blick klingt das vertrauenswürdig, rechtlich belastbar ist es jedoch nicht. Ohne eine Zertifizierung nach dem EU–US Data Privacy Framework (DPF) fehlen entscheidende Grundlagen:
- Rechtliche Durchsetzbarkeit: Verstöße können nicht wirksam vor US-Gerichten eingeklagt werden.
- Behördliche Kontrolle: Europäische Aufsichtsbehörden haben keinerlei Handhabe.
- Verbindlichkeit: Selbst auferlegte Datenschutzversprechen oder Zertifizierungen können jederzeit geändert oder zurückgezogen werden.
Ein Anwalt brachte es in diesem Zusammenhang prägnant auf den Punkt: „Das ist reine Augenwischerei.“
Warum das für deutsche Unternehmen riskant ist
Wer als deutsches Unternehmen Daten von einem nicht zertifizierten US-Anbieter wie congism oder Apollo kauft und verarbeitet, trägt selbst das volle rechtliche Risiko. Die möglichen Folgen:
- Hohe Bußgelder bei DSGVO-Verstößen
- Reputationsschäden durch Datenschutzprobleme
- Intransparente Datenherkunft – oft ist unklar, ob die Daten rechtmäßig erhoben wurden
Besonders brisant: Selbst wenn der Fehler auf Seiten des US-Anbieters liegt, haftet in der Praxis das deutsche Unternehmen.
Unser Fazit
congism und Apollo erscheinen in unserem Vergleich, erhalten jedoch eine entsprechend kritische Bewertung. Grund dafür ist nicht mangelnde Funktionalität, sondern das hohe datenschutzrechtliche Risiko für europäische Unternehmen.
Unser Rat:
Überprüfen Sie vor dem Einsatz solcher Anbieter unbedingt, ob eine DPF-Zertifizierung vorliegt und ziehen Sie datenschutzkonforme Alternativen in Betracht.
Die offizielle Liste finden Sie hier:
👉 https://www.dataprivacyframework.gov/list
So schützen Sie Ihr Unternehmen vor unnötigen Risiken und vermeiden rechtliche Probleme, bevor sie entstehen.
