Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 allenfalls noch sehr eingeschränkt möglich, obwohl zahlreiche US- Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind. Ein Grund dafür ist die aus Sicht des EuGH völlig überzogene Massenüberwachung durch US-amerikanische Sicherheitsbehörden, wie die NSA, weswegen Daten von Europäern nur noch unter ergänzenden Schutzmaßnahmen übermittelt werden dürfen. Der Europäische Datenschutzausschuss hat in der vergangenen Woche erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen abgegeben und zu einer Konsultation eingeladen. Alle Beteiligten und Entscheidungsträger im internationalen Datentransfer sind aufgerufen, rechtlich haltbare Lösungen auf der Basis geeigneter Schutzmaßnahmen zu finden, die den Belangen des europäischen Datenschutzes hinreichend Rechnung tragen.
Microsoft hat sein Vertragswerk im Dezember 2020 durch neue DPAs und ein neues Addendum im Anhang zu den Microsoft Service Online Terms (OSTs) erweitert. Die neuen Vertragsklauseln enthalten Regelungen zu folgenden Themenkomplexen:
- Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
- Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten;
- Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;
- Verschlüsslung von Kundendaten sowohl während der Übertragung als auch im Ruhezustand mit einem hohen Verschlüsselungsstandard;
- Gewährleistung keiner Regierung direkten, ungehinderten Zugang zu Kundendaten zu geben.
Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.
Eine Bewertung dieser Vorschläge wird nun von allen Entscheidungsträgern vorgenommen, so auch in den unmittelbar anstehenden Beratungen der Datenschutzkonferenz. In parallelen Pressemitteilungen erläutern die Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württembergs und Hessens, Dr. Stefan Brink und Prof. Dr. Michael Ronellenfitsch ihre Bewertungen der jetzt vorgestellten zusätzlichen Maßnahmen.
Dr. Stefan Brink betont:
„Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DS-GVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Es ist gut und notwendig, dass ein Konzern wie Microsoft sich nachdem europäischen Datenschutz richtet und seine Vertragsklauseln entsprechend ändert. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzlichen Maßnahmen nicht mehr zulässig sind.“
Prof. Dr. Michael Ronellenfitsch ergänzt:
“Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“
Weiterführende Informationen: https://www.lda.bayern.de/media/pm/pm2020_9.pdf