DSGVO wirkt

Microsoft passt sich europäischen Datenschutz an und stärkt Nutzerrechte

Artikel vom 02.12.2020

Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 allenfalls noch sehr eingeschränkt möglich, obwohl zahlreiche US-Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind.

Bild von Simon Steinberger

Grund dafür ist die aus Sicht des Europäischen Gerichtshofs völlig unangebrachte Massenüberwachung der durch US-Unternehmen verarbeiteten personenbezogenen Daten durch die amerikanischen Sicherheitsbehörden, wie beispielsweise die NSA. Daten von Europäern dürfen deswegen nur noch unter ergänzenden Schutzmaßnahmen in die USA übermittelt werden. Das alte Privacy Shield Abkommen wurde für ungültig erklärt. Erste Handlungsempfehlungen bezüglich der Ausgestaltungsmöglichkeiten solcher Schutzmaßnahmen wurden daher vom Europäischen Datenschutzausschuss abgegeben.

Diesbezüglich hat der Ausschuss alle Beteiligten und Entscheidungsträger im internationalen Datentransfer dazu aufgerufen, rechtlich haltbare Lösungen auf der Basis geeigneter Schutzmaßnahmen zu finden, die den Belangen des europäischen Datenschutzes hinreichend Rechnung tragen.

Microsoft reagiert

Einer der zentralen US-Amerikanischen Anbieter global vernetzter IT-Produkte für Unternehmen ist Microsoft. Das weltweit agierende Unternehmen, das wohl jedem bekannt sein sollte, hat nun auf die Forderungen der Europäischen Datenschützer reagiert und Vorschläge für Garantien gemacht, die unmittelbar die Rechte der (europäischen) Nutzer stärken sollen.

In parallelen Pressemitteilungen erläutern die Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württembergs und Hessens, Dr. Stefan Brink und Prof. Dr. Michael Ronellenfitsch sowie Prof. Dr. Thomas Petri, der Bayerische Landesbeauftragte für den Datenschutz ihre Bewertungen der jetzt vorgestellten zusätzlichen Maßnahmen.

Neue Vertragsklauseln

Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über

  • die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
  • die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten;
  • den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat.

Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde. Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.

Stimmen aus den Ländern

Dr. Stefan Brink betont: „Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DS-GVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Es ist gut und notwendig, dass ein Konzern wie Microsoft sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln entsprechend ändert. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzlichen Maßnahmen nicht mehr zulässig sind.“

Bild von Pixaline auf Pixabay

Prof. Dr. Michael Ronellenfitsch ergänzt: „Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“

Der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Petri merkt weiterhin an: „Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der Datenschutz-Grundverordnung erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“ Noch vor Jahresende wird die Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der Länder und des Bundes, DSK) ihre Gespräche mit Microsoft zum Office-Paket fortsetzen – die nun erzielten Fortschritte versprechen dafür „Rückenwind“.