Nach dem Urteil des Europäischen Gerichtshofs (EuGH) zu Schrems II vom Juli 2020 ist der in-ternationale Datentransfer aus Europa in die USA nur noch eingeschränkt möglich, obwohl zahlreiche US-Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind. Ein Grund dafür ist die aus Sicht des EuGH völlig überzogene Massenüberwachung durch US-amerikanische Sicherheitsbehörden, weswegen Daten von Europäern nur noch unter ergänzenden Schutzmaßnahmen in die USA übermittelt werden dürfen.
Der Europäische Datenschutzausschuss hat erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen abgegeben und zu einer Konsultation eingeladen. Microsoft hat daraufhin als einer der zentralen Anbieter global vernetzter IT-Produkte für Unternehmen einige Vorschläge für Garantien gemacht, welche die Nutzerrechte unmittelbar stärken.
Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über
- den Anspruch auf Schadensersatz für die betroffenen Personen, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten haben
- die Information der betroffenen Personen, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben
- die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.
Damit ist zwar die Transferproblematik in die USA nicht generell gelöst, denn eine Ergänzung der Standardvertragsklauseln kann nicht dazu führen, dass der vom EuGH als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden wird. Aber dass sich Microsoft als einer der größten, weltweit agierenden Konzerne (mit einer erheblichen Marktmacht in Europa) nun in die richtige Richtung bewegt und wesentliche Verbesserungen für die Rechte der Europäischen Bürger in seine Vertragsklauseln aufnimmt, ist ein wichtiger Schritt und deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.
Alle Beteiligten und Entscheidungsträger im internationalen Datentransfer sind aufgerufen, rechtlich haltbare Lösungen auf der Basis geeigneter Schutzmaßnahmen zu finden, die den Belangen des europäischen Datenschutzes hinreichend Rechnung tragen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg S. Brink bewertet die Anpassung von Microsoft positiv: „Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbes. die DSGVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Wir haben im September Unternehmen Empfehlungen zum internationalen Datentransfer gegeben, auch Microsoft. Es ist gut und notwendig, dass das Unternehmen sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln entsprechend ändert. Der Europäischen Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzliche Maßnahmen nicht mehr zulässig sind.“
Die Datenschutzkonferenz wird die Gespräche mit Microsoft zum Office-Paket fortsetzen – die erzielten Fortschritte versprechen dafür Rückenwind.
Quelle: LfDI Baden-Württemberg, Stuttgart
Link: https://www.baden-wuerttemberg.datenschutz.de/dsgvowirkt/
20.11.2020
