Fast parallel zur Veröffentlichung des Positionspapieres des Europäischen Datenschutzausschusses (EDSA) mit Empfehlungen für zusätzliche Maßnahmen, die eine Erreichung des geforderten Datenschutzniveaus auch in Fällen ermöglichen, in denen Daten in außereuropäische Länder ohne hinreichendes Datenschutzniveau exportiert werden, hat Microsoft in dieser Woche erste Vorschläge für Garantien vorgelegt, die zur geforderten Stärkung der Rechte der Betroffenen führen sollen.
“Zwar wird durch die Garantien die Transferproblematik in die USA nicht generell gelöst, die Vertragsklauseln stellen jedoch eine »wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger« dar ” – Matthias Herkert
Keine Datenübertragung in unsichere außereuropäische Länder ohne zusätzliche Maßnahmen
Der internationale Transfer personenbezogener Daten aus Europa in Drittländer wie etwa die USA, die aus Sicht der Kommission kein gleichwertiges Schutzniveau mit dem in der EU geltenden Datenschutz gewährleisten, ist nur zulässig, wenn der Verantwortliche beziehungsweise der Datenexporteur zusätzliche Maßnahmen ergreift, durch welche die Forderungen des europäischen Datenschutzes hinreichend erfüllt werden.
Der Europäische Datenschutzausschuss (EDSA) hat in diesem Kontext am 11. November 2020 ein Positionspapier mit Maßnahmen vorgelegt, mit deren Hilfe ein entsprechendes Schutzniveau erreicht werden kann und Hinweise gegeben, in welchen Fallgruppen dies gegebenenfalls nicht möglich ist (hier geht es zum Papier auf der Homepage des EDAS). Inzwischen hat unter anderem das Bayerische Landesamt für Datenschutz ausdrücklich darauf hingewiesen, dass die im Papier der EDSA gemachten Ausführungen die derzeitige Position der Datenschutzaufsichtsbehörden im Europäischen Datenschutzausschuss wiedergäben und von den Aufsichtsbehörden im Rahmen ihrer Tätigkeit grundsätzlich zu Grunde gelegt würden (hier geht es zum Hinweis des LDA Bayern auf dessen Homepage).
Angebot von Garantien zur Stärkung der Nutzerrechte liegt vor
Als einer der ersten US-Datenverarbeiter hat Microsoft inzwischen Vorschläge zu Garantien vorgelegt, die zu einer Stärkung der Rechte der Betroffenen führen sollen.
Konkret soll Betroffenen, die durch eine unrechtmäßige Verarbeitung ihrer personenbezogenen Daten einen materiellen oder immateriellen Schaden erlitten haben, ein Anspruch auf Schadenersatz zustehen. Weiter verpflichtet sich Microsoft zur Information der Betroffenen, wenn sie durch eine staatliche Anordnung Daten an US-Sicherheitsbehörden herausgeben müssen und verpflichtet sich dazu, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.
Aufsichtsbehörden sehen im Garantieangebot von Microsoft eine wesentliche Verbesserung
In einer ersten Reaktion bezeichnet der Landesbeauftragte für Datenschutz und Informationssicherheit in Baden-Württemberg das Garantieangebot von Microsoft als eine begrüßenswerte Bewegung in die richtige Richtung. Zwar sei hierdurch die Transferproblematik in die USA nicht generell gelöst, die Vertragsklauseln stellen jedoch eine »wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger« dar (hier geht es zur Mitteilung des LDI BaWü auf deren Homepage). Das Angebot von Mikrosoft als zentraler Anbieter global vernetzter IT-Produkte für Unternehmen sei »ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen«.
Fazit
Die bereits vorliegenden, im Tenor übereinstimmend positiven Bewertungen der Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen zu den Vorschlägen von Microsoft betonen den guten Willen auf beiden Seiten. Den Aufsichtsbehörden ist spürbar bewusst, dass die Nutzung von Microsoft-Clouddiensten für viele Unternehmen und Einrichtungen inzwischen kaum wegzudenken ist. Notwendige Rückmigrationen würden für die betroffenen Unternehmen zu erheblichen finanziellen und organisatorischen Herausforderungen führen. Auf der anderen Seite will auch Microsoft unter dem Eindruck des Urteils des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 erkennbar seine Marktdurchdringung in Europa festigen, was ohne eine Anpassung an die hohen Standards auf den EU-Märkten zukünftig nicht möglich sein wird.
Die noch im laufenden Jahr anstehenden Gespräche der Datenschutzkonferenz (DSK, Konferenz der Datenschutzbeauftragten der Länder und des Bundes) und Microsoft zur Verarbeitung personenbezogener Daten beim Einsatz der Office 365-Diesnste auf der Plattform der Microsoft-Cloud (wir haben in unserem Blog-Artikel »Bewertung der Datenschutzkonferenz zu Office365 und noch immer keine Gewissheit für die Praxis« hierzu berichtet) dürften mit den Worten des Landesbeauftragte für Datenschutz in Baden Württemberg in jedem Fall »Rückenwind« bekommen.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]