Im Juli 2020 hat das EuGH mit dem sogenannten Schrems II Urteil die Datenübermittlung in Drittländer, etwa in die USA, sehr eingeschränkt, um dies gelinde auszudrücken. Die Verunsicherung ist seitdem bei Organisationen sehr groß. Wie können, wie vom EuGH gefordert, Anpassungen an den Vertragswerken mit Nicht EU/EWR Auftragsverarbeitern realisiert werden? Die im Regelfall existierende Asymmetrie der Vertragspartner, klein gegen groß, und die Unsicherheit wie die geforderten Garantien der Verarbeitung im Drittland zu gestalten sind, neben dem Recht der Betroffenen auf rechtsstaatliche Mittel im Drittland, hat zur „Schrems II-Starre“ geführt. Nun gibt es den ersten konkreten Ansatz diesem Zustand zu entkommen.
Microsoft als erstes globales US-Softwareunternehmen das o. a. Urteil in seinem Datenschutz-Vertragswerk berücksichtigt. Folgende Schutzmaßnahmen werden von Microsoft vertraglich zugesichert:
- „Wir verwenden eine starke Verschlüsselung: Wir verschlüsseln Kundendaten sowohl während der Übertragung als auch im Ruhezustand mit einem hohen Verschlüsselungsstandard. Diese Verschlüsselung ist ein zentraler Punkt im Entwurf der Empfehlungen des Europäischen Datenschutzausschusses. Wir stellen keiner Regierung unsere Verschlüsselungs-Keys oder eine andere Möglichkeit zur Verfügung, unsere Verschlüsselung zu brechen.
- Wir setzen uns für die Rechte unserer Kunden ein: Wir gewähren keiner staatlichen Stelle direkten, ungehinderten Zugang zu den Daten unserer Kunden. Falls eine Regierung Kundendaten von uns verlangt, muss sie den geltenden rechtlichen Verfahren folgen. Wir werden Forderungen nur dann nachkommen, wenn wir eindeutig dazu gezwungen sind. Unser erster Schritt besteht immer in dem Versuch, solche Anfragen an unsere Kunden weiterzuleiten oder sie darüber zu informieren. Wenn wir überzeugt sind, dass diese Anfragen nicht legal sind, lehnen wir sie routinemäßig ab oder fechten sie an.
- Wir sind transparent: Seit vielen Jahren veröffentlichen wir Informationen über staatliche Anfragen nach Kundendaten. Wir haben zudem die US-Regierung verklagt, um mehr Möglichkeiten für die Offenlegung von Anfragen zur nationalen Sicherheit zu bekommen, die wir erhalten. Dabei haben wir einen Vergleich erzielt, der uns genau das ermöglicht. Die Informationen über nationale Sicherheitsanfragen legen wir nun zweimal jährlich zusätzlich zu unserem regulären Law Enforcement Request Report in allen unseren Geschäftsbereichen (Verbraucher*innen, Unternehmen und öffentlicher Sektor) offen.
- Wir konnten bereits viele juristische Erfolge erzielen: Wir haben mehr Erfahrungen mit Gerichtsverfahren als jedes andere Unternehmen, wenn es darum geht, die Grenzen staatlicher Überwachungsanordnungen zu definieren. Einer dieser Fälle landete sogar vor dem Obersten Gerichtshof der Vereinigten Staaten. Mit dieser Arbeit können wir unseren Kunden mehr Transparenz und einen stärkeren Schutz ihrer Daten bieten. Keine Verpflichtung, Herausgabeverlangen anzufechten, kann den Sieg sichern, aber wir haben ein gutes Gefühl angesichts unserer bisherigen Erfolgsbilanz.“
Quelle: https://news.microsoft.com/de-de/neue-massnahmen-zum-schutz-von-daten/
Diese neuen Vertragserweiterungen werden von den Landesdatenschutzbeauftragten der Ländern Baden-Württemberg, Bayern (inkl. Dem BayLDA) und Hessen positiv bewertet. Ein erster Schritt zu mehr Datenschutz, Datensicherheit und Transparenz – gut geeignet um der „Schrems II-Starre“ zu entkommen und den digitalen Lockdown abzuschwächen.
Weitere Informationen:
https://www.lda.bayern.de/media/pm/pm2020_9.pdf
https://www.baden-wuerttemberg.datenschutz.de/dsgvowirkt/
https://datenschutz.hessen.de/pressemitteilungen/microsoft-erg%C3%A4nzt-standardvertragsklauseln