Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 nur noch sehr eingeschränkt möglich, obwohl zahlreiche US- Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind.
Ein Grund dafür ist die aus Sicht des EuGHs völlig überzogene Massenüberwachung durch US-amerikanische Sicherheitsbehörden, wie die NSA, weswegen Daten von Europäern nur noch unter ergänzenden Schutzmaßnahmen in die USA übermittelt werden dürfen. Der Europäische Datenschutzausschuss hat in der vergangenen Woche erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen abgegeben und zu einer Konsultation eingeladen.
Alle Beteiligten und Entscheidungsträger im internationalen Datentransfer sind aufgerufen, rechtlich haltbare Lösungen auf der Basis geeigneter Schutzmaßnahmen zu finden, die den Belangen des europäischen Datenschutzes hinreichend Rechnung tragen.
Microsoft hat jetzt als einer der zentralen Anbieter global vernetzter IT-Produkte für Unternehmen einige Vorschläge für Garantien gemacht, die unmittelbar die Nutzerrechte stärken.
Eine Bewertung dieser Vorschläge wird nun von allen Entscheidungsträgern vorgenommen, so auch in den unmittelbar anstehenden Beratungen der Datenschutzkonferenz.
Als Beitrag zu diesen Beratungen bewerten die Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen diese Anpassung von Microsoft in ihren jeweiligen Stellungnahmen.
LfDI Stefan Brink: „Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DS-GVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Wir haben im September Unternehmen Empfehlungen zum internationalen Datentransfer gegeben, auch Microsoft. Es ist gut und notwendig, dass das Unternehmen sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln entsprechend ändert. Der Europäischen Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzliche Maßnahmen nicht mehr zulässig sind.“
Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über
- den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;
- die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
- die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.
Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.
Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.
Noch vor Jahresende wird die Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der Länder und des Bundes, DSK) ihre Gespräche mit Microsoft zum Office-Paket fortsetzen – die nun erzielten Fortschritte versprechen dafür „Rückenwind“.
Quelle: Baden Würtemberg Datenschutz
Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de