Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


4.12.2020

LfDI B-W: „Microsoft passt sich europäischem Datenschutz an“  

Nach Ansicht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI B-W) ist Microsoft auf einem guten Weg, sich – gemessen am europäischen Datenschutzrecht – datenschutzrechtskonform zu verhalten. Diese Bewertung des LfDI B-W bezieht sich auf einen von Microsoft veröffentlichen Anhang zu den Standardvertragsklauseln, auf deren Basis personenbezogene Daten in die USA und andere Drittländer übermitteln werden sollen.

In einer Pressemitteilung vom 20.11.2020 bewertet der LfDI B-W die von Microsoft zusätzlich vorgesehenen Garantien sehr positiv, da sie unmittelbar die Nutzerrechte stärken. Hierbei verweist der LfDI B-W auf seine entsprechenden Empfehlungen zum internationalen Datentransfer (dazu s. Datenschutz-News vom 28.8.2020).

Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über

  • den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat,
  • die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben, und
  • die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.

Damit sei, so die gemeinsame Bewertung des LfDI B-W und weiterer deutscher Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst. Eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde. Microsoft bewege sich aber in die richtige Richtung, indem wesentliche Verbesserungen für die Rechte betroffenen Personen in die Vertragsklauseln aufgenommen wurden.

Hintergrund

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16.7.2020 (Az. C-311/18) können personenbezogene Daten nicht mehr auf der Grundlage des EU-US-Privacy Shield („Privacy Shield“) in die USA übermittelt werden (Datenschutz-News v. 17.7.2020).

Daher bedarf es einer Alternative, die jedoch derzeit schwierig zu finden ist. Die naheliegendste Lösung, auf Standarddatenschutzklauseln zurückzugreifen, erfordert nach dem Urteil des EuGH zusätzliche Maßnahmen. Wie diese konkret aussehen können, ist derzeit unklar. Fest steht, dass eine lediglich vertragliche Zusatzregelung nicht ausreichen kann, weil sie die Behörden und sonstigen staatlichen Organe der USA gerade nicht binden. Schließlich gelten die zusätzlichen Anforderungen an den Einsatz von Standarddatenschutzklauseln für jedes Drittland, sofern kein Angemessenheitsbeschluss der EU-Kommission vorliegt (s. dazu Datenschutz-News v. 17.7.2020).

Es obliegt dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können die Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien.

Fazit und Ausblick

Noch vor Jahresende wird die Datenschutzkonferenz, also der Zusammenschluss der unabhängigen deutschen Datenschutzbehörden des Bundes und der Länder, ihre Gespräche mit Microsoft zum Office-Paket fortsetzen. Ob hierbei wirklich „Durchbrüche“ zu erwarten sind, wie sie sich einige deutsche Datenschutzaufsichtsbehörden vorstellen, bleibt fraglich. Das gilt umso mehr, als die Aufsicht - im Ergebnis nicht unzutreffend - auf dem Standpunkt steht, dass mit zusätzlichen Vereinbarungen bzw. Vertragsklauseln die Frage der rechtmäßigen Datenübermittlung in die USA nicht „generell“ gelöst werden könne. Allerdings haben die deutschen Aufsichtsbehörden bislang auch keine Lösung der Problematik aufgezeigt. Die Empfehlung, auf Anbieter in den USA zu verzichten, kann jedenfalls nicht als ernsthafte Lösung gesehen werden, wenn man die fehlenden Alternativen an vergleichbaren Anbietern entsprechender Dienstleistungen in Betracht zieht. Daher kann ich weder die Bewertung noch die optimistische Grundstimmung des LfDI B-W teilen.

Sollten Sie Fragen zur Verarbeitung personenbezogener Daten mit Microsoft-Produkten, zur Datenübermittlung in die USA oder zu sonstigen datenschutzrechtlichen Themen haben oder dabei Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht