skip to Main Content

Neue Datenschutzmaßnahmen bei Microsoft

Reaktion von Microsoft auf die Empfehlungen des Europäischen Datenschutzausschusses in Folge des „Schrems II“-Urteils des EuGH

 

Seit der EuGH in seinem „Schrems II“-Urteil das „Privacy Shield“ zwischen der EU und den USA gekippt hat, kann eine Datenübermittlung in die USA nicht mehr hierauf gestützt werden. Wir haben hierüber bereits berichtet (siehe Blog-Beitrag „EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig„).

Einzig praktikable Möglichkeit zur Absicherung der Datenübermittlung in die USA ist derzeit der Abschluss der EU-Standardvertragsklauseln mit dem Datenimporteur. Allerdings müssen hierbei zusätzlich weitere Maßnahmen ergriffen werden, um ein Datenschutzniveau, das dem innerhalb des Europäischen Wirtschaftsraums entspricht, sicherzustellen. In diesem Zusammenhang hat der Europäische Datenschutzausschuss am 11.11.2020 Empfehlungen für Transfer- und Überwachungsmaßnahmen im Rahmen des internationalen Datentransfers ausgesprochen.

 

Als Reaktion auf diese Empfehlungen hat Microsoft in einem Anhang zu den Standardvertragsklauseln („Additional Safeguards Addendum to Standard Contractual Clauses“ – abrufbar unter https://aka.ms/defendingyourdataterms) neue Datenschutzmaßnahmen festgelegt, die neben den bereits implementierten Maßnahmen zum Einsatz kommen sollen und nach Angaben von Microsoft die Empfehlungen des Europäischen Datenschutzausschusses sogar übersteigen:

 

  • Microsoft verpflichtet sich dazu, jede Anfrage einer staatlichen Stelle nach Daten seiner Kunden anzufechten, wenn es dafür eine rechtliche Grundlage gibt.
  • Microsoft gewährt Nutzern seiner Kunden, deren Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) von Microsoft offengelegt werden mussten, eine finanzielle Entschädigung.

 

 

Geltung nur für Unternehmenskunden und Kunden aus dem öffentlichen Sektor

 

Zu beachten ist, dass die neuen Maßnahmen nur für Unternehmenskunden und Kunden aus dem öffentlichen Sektor gelten sollen. Privatkunden sind demnach hiervon nicht erfasst.

 

 

Zumindest teilweise positive Rezeption durch die Aufsichtsbehörden

 

Zwar wird durch die neuen Datenschutzmaßnahmen von Microsoft die bei der Datenübermittlung in die USA problematische Möglichkeit des Zugriffs von amerikanischen Behörden auf personenbezogene Daten nicht verhindert. Dennoch werden sie zumindest von den bayerischen, baden-württembergischen und hessischen Aufsichtsbehörden honoriert, die die Bereitschaft von Microsoft, europäische Datenschutzstandards einzuhalten, und die dahingehende Anpassung der Verträge begrüßen.

 

 

Fazit

 

Da die neuen Maßnahmen von Microsoft zwar einen Schritt in die richtige Richtung darstellen, jedoch letztlich die Problematik des Drittlandtransfers nicht abschließend lösen, sind Unternehmen gut damit beraten, die sich bei der Verwendung von Microsoft-Produkten ergebenden Risiken im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) abzuwägen.

 

 

Bettina Förster

 

Consultant für Datenschutz

Back To Top