“Zwar wird durch die Garan­tien die Trans­fer­pro­ble­ma­tik in die USA nicht gene­rell gelöst, die Ver­trags­klau­seln stel­len jedoch eine »wesent­li­che Ver­bes­se­run­gen für die Rech­te der Euro­päi­schen Bür­ge­rin­nen und Bür­ger« dar ” – Mat­thi­as Herkert

Kei­ne Daten­über­tra­gung in unsi­che­re außer­eu­ro­päi­sche Län­der ohne zusätz­li­che Maßnahmen 

Der inter­na­tio­na­le Trans­fer per­so­nen­be­zo­ge­ner Daten aus Euro­pa in Dritt­län­der wie etwa die USA, die aus Sicht der Kom­mis­si­on kein gleich­wer­ti­ges Schutz­ni­veau mit dem in der EU gel­ten­den Daten­schutz gewähr­leis­ten, ist nur zuläs­sig, wenn der Ver­ant­wort­li­che bezie­hungs­wei­se der Daten­ex­por­teur zusätz­li­che Maß­nah­men ergreift, durch wel­che die For­de­run­gen des euro­päi­schen Daten­schut­zes hin­rei­chend erfüllt werden.

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat in die­sem Kon­text am 11. Novem­ber 2020 ein Posi­ti­ons­pa­pier mit Maß­nah­men vor­ge­legt, mit deren Hil­fe ein ent­spre­chen­des Schutz­ni­veau erreicht wer­den kann und Hin­wei­se gege­ben, in wel­chen Fall­grup­pen dies gege­be­nen­falls nicht mög­lich ist (hier geht es zum Papier auf der Home­page des EDAS). Inzwi­schen hat unter ande­rem das Baye­ri­sche Lan­des­amt für Daten­schutz aus­drück­lich dar­auf hin­ge­wie­sen, dass die im Papier der EDSA gemach­ten Aus­füh­run­gen die der­zei­ti­ge Posi­ti­on der Daten­schutz­auf­sichts­be­hör­den im Euro­päi­schen Daten­schutz­aus­schuss wie­der­gä­ben und von den Auf­sichts­be­hör­den im Rah­men ihrer Tätig­keit grund­sätz­lich zu Grun­de gelegt wür­den (hier geht es zum Hin­weis des LDA Bay­ern auf des­sen Home­page).

Ange­bot von Garan­tien zur Stär­kung der Nut­zer­rech­te liegt vor

Als einer der ers­ten US-Datenverarbeiter hat Micro­soft inzwi­schen Vor­schlä­ge zu Garan­tien vor­ge­legt, die zu einer Stär­kung der Rech­te der Betrof­fe­nen füh­ren sollen.

Kon­kret soll Betrof­fe­nen, die durch eine unrecht­mä­ßi­ge Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten einen mate­ri­el­len oder imma­te­ri­el­len Scha­den erlit­ten haben, ein Anspruch auf Scha­den­er­satz zuste­hen. Wei­ter ver­pflich­tet sich Micro­soft zur Infor­ma­ti­on der Betrof­fe­nen, wenn sie durch eine staat­li­che Anord­nung Daten an US-Sicherheitsbehörden her­aus­ge­ben müs­sen und ver­pflich­tet sich dazu, den Rechts­weg zu beschrei­ten und die US-Gerichte anzu­ru­fen, um die behörd­li­che Anord­nung zur Her­aus­ga­be der Daten anzufechten.

Auf­sichts­be­hör­den sehen im Garan­tie­an­ge­bot von Micro­soft eine wesent­li­che Verbesserung

In einer ers­ten Reak­ti­on bezeich­net der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­si­cher­heit in Baden-Württemberg das Garan­tie­an­ge­bot von Micro­soft als eine begrü­ßens­wer­te Bewe­gung in die rich­ti­ge Rich­tung. Zwar sei hier­durch die Trans­fer­pro­ble­ma­tik in die USA nicht gene­rell gelöst, die Ver­trags­klau­seln stel­len jedoch eine »wesent­li­che Ver­bes­se­run­gen für die Rech­te der Euro­päi­schen Bür­ge­rin­nen und Bür­ger« dar (hier geht es zur Mit­tei­lung des LDI BaWü auf deren Home­page). Das Ange­bot von Mikro­soft als zen­tra­ler Anbie­ter glo­bal ver­netz­ter IT-Produkte für Unter­neh­men sei »ein deut­li­ches Signal an ande­re Anbie­ter, die­sem Bei­spiel zu folgen«.

Fazit

Die bereits vor­lie­gen­den, im Tenor über­ein­stim­mend posi­ti­ven Bewer­tun­gen der Daten­schutz­be­auf­trag­ten der Län­der Baden-Württemberg, Bay­ern und Hes­sen zu den Vor­schlä­gen von Micro­soft beto­nen den guten Wil­len auf bei­den Sei­ten. Den Auf­sichts­be­hör­den ist spür­bar bewusst, dass die Nut­zung von Microsoft-Clouddiensten für vie­le Unter­neh­men und Ein­rich­tun­gen inzwi­schen kaum weg­zu­den­ken ist. Not­wen­di­ge Rück­mi­gra­tio­nen wür­den für die betrof­fe­nen Unter­neh­men zu erheb­li­chen finan­zi­el­len und orga­ni­sa­to­ri­schen Her­aus­for­de­run­gen füh­ren. Auf der ande­ren Sei­te will auch Micro­soft unter dem Ein­druck des Urteils des Euro­päi­schen Gerichts­hofs zu Schrems II vom Juli 2020 erkenn­bar sei­ne Markt­durch­drin­gung in Euro­pa fes­ti­gen, was ohne eine Anpas­sung an die hohen Stan­dards auf den EU-Märkten zukünf­tig nicht mög­lich sein wird.

Die noch im lau­fen­den Jahr anste­hen­den Gesprä­che der Daten­schutz­kon­fe­renz (DSK, Kon­fe­renz der Daten­schutz­be­auf­trag­ten der Län­der und des Bun­des) und Micro­soft zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beim Ein­satz der Office 365-Diesnste auf der Platt­form der Microsoft-Cloud (wir haben in unse­rem Blog-Artikel »Bewer­tung der Daten­schutz­kon­fe­renz zu Office365 und noch immer kei­ne Gewiss­heit für die Pra­xis« hier­zu berich­tet) dürf­ten mit den Wor­ten des Lan­des­be­auf­trag­te für Daten­schutz in Baden Würt­tem­berg  in jedem Fall »Rücken­wind« bekommen.