Drimalski & Partner Blog Datenschutz-News 11/2020

Datenschutz-News 11/2020

Seit dem „Schrems II“-Urteil des EuGH vom Sommer 2020 steht die „Datenschutz-Welt“ ein wenig Kopf. Die Fragen, ob jetzt noch US-Dienstleister genutzt werden dürfen und wenn ja, was muss dann beachtet werden, werden in den Medien heftig diskutiert. Diese Fragen sind selbst für Datenschutz-Anwälte ausgesprochen schwierig zu beantworten. Obwohl das Urteil des EuGH in seiner Rechtsprechung klar ist, was die Unwirksamkeit des „Privacy Shield“ angeht, so ist es aber im Hinblick auf die einschlägige Alternative der EU-Standardvertragsklauseln leider sehr vage. Gesprochen wird hier von erforderlichen Zusatzmaßnahmen, die Unternehmen oder öffentliche Stellen zu treffen haben, wenn US-Dienstleister zum Einsatz kommen.

Zusätzlich bieten wir unseren Kunden auf Anforderung eine Übersicht der von Microsoft veröffentlichten Sicherheitshinweise und -aufgaben für Microsoft 365 Umgebungen an, die unbedingt beim Einsatz von Microsoft 365 umgesetzt werden sollten. Diese sowie die Anpassung der Standardvertragsklauseln um ergänzende Schutzmaßnahmen und Garantien sind zusammen die aktuellen Empfehlungen der Aufsichtsbehörden für den Betrieb von Microsoft 365 (Office 365, Dynamics 365, Azure).

Datenübermittlungen an Microsoft: Aktuelle Mitteilungen der Behörden zur Ergänzung der Standardvertragsklauseln

Ausgangssituation: Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 allenfalls noch sehr eingeschränkt möglich (wir berichteten hierüber in unsererDatenschutz-NEWS 09/2020), obwohl zahlreiche US- Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind. Ein Grund dafür ist die aus Sicht des EuGHs völlig überzogene Massenüberwachung durch US-amerikanische Sicherheitsbehörden, wie die NSA, weswegen Daten von Europäern nur noch unter ergänzenden Schutzmaßnahmen übermittelt werden dürfen.

Der Europäische Datenschutzausschuss (EDSA) hat am 11.11.2020 erste Handlungsempfehlungen zur Ausgestaltung von solchen ergänzenden Schutzmaßnahmen abgegeben. Die notwendigen Schritte dieser EDSA-Empfehlungen werden hier im Beitrag nochmal zusammenfassend aufgezählt.

Zudem veröffentlichte die EU-Kommission einen Tag darauf am 12.11.2020 den Entwurf der neuen Standard Contractual Clauses (SCC).

Microsoft hat jetzt als einer der zentralen Anbieter global vernetzter IT-Produkte für Unternehmen als Ergänzung der Standardvertragsklauseln („Additional Safeguards Addendum to Standard Contractual Clauses“) einige Vorschläge für Garantien gemacht, die unmittelbar die Rechte von Nutzer stärken.

Microsoft selbst teilte hierzu am 20.11.2020 in dem Beitrag „Neue Maßnahmen zum Schutz Ihrer Daten“ mit:

„Diese Schutzmaßnahmen nennen wir >>Defending Your Data<<. Wir werden unverzüglich damit beginnen, sie in unsere Verträge mit Unternehmenskunden und Kunden aus dem öffentlichen Sektor aufzunehmen.“

20.11.2020 - Pressemitteilung „Microsoft ergänzt Standardvertragsklauseln“
                      [Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, HBDI]
20.11.2020 - Pressemitteilung „Stärkung der Nutzer-Rechte: Microsoft ergänzt Standardvertragsklauseln“
                      [Bayerisches Landesamt für Datenschutzaufsicht, BayLDA / Der Bayerische Landesbeauftragte für den Datenschutz]
20.11.2020 - Pressemitteilung „Microsoft passt sich europäischem Datenschutz an“
                      [Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, LfDI-BW]

Eine Bewertung dieser oben genannten Vorschläge von Microsoft wird nun von allen Entscheidungsträgern vorgenommen, so auch in den unmittelbar anstehenden Beratungen der Datenschutzkonferenz (DSK). Als Beitrag zu diesen Beratungen bewerten die Datenschutzaufsichtsbehörden der Länder Baden-Württemberg, Bayern und Hessen dies wie folgt:

Der HBDI, Prof. Dr. Michael Ronellenfitsch, meint dazu:

„Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der von der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“

Der Präsident des BayLDA Michael Will:

„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne zusätzliche Maßnahmen nicht mehr zulässig sind. Microsoft hat mit seiner heute vorgestellten Initiative diese Forderung des Europäischen Gerichtshofs und der für die Durchsetzung der DSGVO zuständigen Datenschutzaufsichtsbehörden in einem ersten Schritt aufgegriffen. Gerade für kleine und mittlere Unternehmen, die auf den unkomplizierten und trotzdem datenschutzkonformen Einsatz von Standardprodukten in besonderem Maße angewiesen sind, ist dies eine ermutigende Nachricht.“

Prof. Dr. Petri, der Bayerische Datenschutzbeauftragte, ergänzt:

„Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der DS-GVO erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“

In einer parallelen Pressemitteilung betont der LfDI Baden-Württemberg Dr. Stefan Brink:

„Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DSGVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Es ist gut und notwendig, dass ein Konzern wie Microsoft sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln entsprechend ändert. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzlichen Maßnahmen nicht mehr zulässig sind.“

Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über…

  • die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
  • die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten;
  • den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat.

Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde. Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen. Noch vor Jahresende wird die DSK ihre Gespräche mit Microsoft zum Office-Paket fortsetzen – die nun erzielten Fortschritte versprechen dafür „Rückenwind“.

Eine andere Sichtweise teilt hingegen Matthias Bergt (Referatsleiter bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit) mit seiner kritische Auseinandersetzung hierzu in seinem Beitrag „Zusatz zu Standardvertragsklauseln: Massenweise Nebelkerzen von Microsoft und manchen Datenschutz-Aufsichtsbehörden“vom 22.11.2020.

Die vollständige News inkl. Quellenangaben sowie weiteren Informationen zu den vorgenannten Bussgeldern können Sie als PDF hier herunterladen.

 
zurück

Anmeldung zum Infoletter

Nutzen Sie die Chance in unregelmäßigen Abständen alle wichtigen News zu den Themen IT Security, digitale Lösungen und weiteren IT-Dienstleistungen zu erhalten.