Reaktion von Microsoft auf die Empfehlungen des Europäischen Datenschutzausschusses in Folge des „Schrems II“-Urteils des EuGH
Seit der EuGH in seinem „Schrems II"-Urteil das „Privacy Shield“ zwischen der EU und den USA gekippt hat, kann eine Datenübermittlung in die USA nicht mehr hierauf gestützt werden. Wir haben hierüber bereits berichtet (siehe Blog-Beitrag "EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig").
Einzig praktikable Möglichkeit zur Absicherung der Datenübermittlung in die USA ist derzeit der Abschluss der EU-Standardvertragsklauseln mit dem Datenimporteur. Allerdings müssen hierbei zusätzlich weitere Maßnahmen ergriffen werden, um ein Datenschutzniveau, das dem innerhalb des Europäischen Wirtschaftsraums entspricht, sicherzustellen. In diesem Zusammenhang hat der Europäische Datenschutzausschuss am 11.11.2020 Empfehlungen für Transfer- und Überwachungsmaßnahmen im Rahmen des internationalen Datentransfers ausgesprochen.
Als Reaktion auf diese Empfehlungen hat Microsoft in einem Anhang zu den Standardvertragsklauseln („Additional Safeguards Addendum to Standard Contractual Clauses“ – abrufbar unter https://aka.ms/defendingyourdataterms) neue Datenschutzmaßnahmen festgelegt, die neben den bereits implementierten Maßnahmen zum Einsatz kommen sollen und nach Angaben von Microsoft die Empfehlungen des Europäischen Datenschutzausschusses sogar übersteigen:
- Microsoft verpflichtet sich dazu, jede Anfrage einer staatlichen Stelle nach Daten seiner Kunden anzufechten, wenn es dafür eine rechtliche Grundlage gibt.
- Microsoft gewährt Nutzern seiner Kunden, deren Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) von Microsoft offengelegt werden mussten, eine finanzielle Entschädigung.
Geltung nur für Unternehmenskunden und Kunden aus dem öffentlichen Sektor
Zu beachten ist, dass die neuen Maßnahmen nur für Unternehmenskunden und Kunden aus dem öffentlichen Sektor gelten sollen. Privatkunden sind demnach hiervon nicht erfasst.
Zumindest teilweise positive Rezeption durch die Aufsichtsbehörden
Zwar wird durch die neuen Datenschutzmaßnahmen von Microsoft die bei der Datenübermittlung in die USA problematische Möglichkeit des Zugriffs von amerikanischen Behörden auf personenbezogene Daten nicht verhindert. Dennoch werden sie zumindest von den bayerischen, baden-württembergischen und hessischen Aufsichtsbehörden honoriert, die die Bereitschaft von Microsoft, europäische Datenschutzstandards einzuhalten, und die dahingehende Anpassung der Verträge begrüßen.
Fazit
Da die neuen Maßnahmen von Microsoft zwar einen Schritt in die richtige Richtung darstellen, jedoch letztlich die Problematik des Drittlandtransfers nicht abschließend lösen, sind Unternehmen gut damit beraten, die sich bei der Verwendung von Microsoft-Produkten ergebenden Risiken im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) abzuwägen.
Bettina Förster
Consultant für Datenschutz
Empfehlung der Europäischen Kommission zur Aufnahme von Verhandlungen mit dem Vereinigten Königreich
Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union und der Europäischen Atomgemeinschaft (Euratom) ausgetreten. Das Austrittsabkommen ist zum 1. Februar 2020 in Kraft getreten und sieht einen Übergangszeitraum bis zum 31. Dezember 2020 vor, in dem das EU-Recht für das Vereinigte Königreich weiterhin mindestens gilt.
Am 3. Februar 2020 hat nun die Europäische Kommission den ersten Schritt zur Aufnahme von Verhandlungen mit dem Vereinigten Königreich unternommen und dem Rat eine Empfehlung vorgelegt. Darin wird auch die große Bedeutung des Datenschutzes hervorgehoben. Die Kommission betont, dass die geplante Partnerschaft angesichts der Bedeutung des Datenflusses eine Verpflichtung zu einem hohen Niveau des Schutzes personenbezogener Daten gewährleisten muss. Außerdem sei es wichtig, dass die Vorschriften der Union über den Schutz personenbezogener Daten uneingeschränkt respektiert werden – ebenso wie die Entscheidungsprozesse der Union in Bezug auf Angemessenheitsentscheidungen. Eine solche Angemessenheitsentscheidung wird erforderlich, da das Vereinigte Königreich aus datenschutzrechtlicher Sicht nach dem Übergangszeitraum zu einem Drittstaat wird. Mit dem Angemessenheitsbeschluss der EU-Kommission – sofern die Bedingungen dafür erfüllt sind – wird das Vereinigte Königreich als ein Drittland mit angemessenem Schutzniveau eingestuft.
Ein solcher Angemessenheitsbeschluss sollte auch die Zusammenarbeit und den Informationsaustausch, insbesondere im Bereich der Strafverfolgung und der justiziellen Zusammenarbeit in Strafsachen ermöglichen.
Darüber hinaus sollte die Partnerschaft nach der Empfehlung der Kommission im Zusammenhang mit der Digitalisierung des Waren- und Dienstleistungsverkehrs für den Schutz der Verbraucher im Internet sorgen, einschließlich des Schutzes vor unerbetener Direktmarketingkommunikation.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz