20.11.2020 | IT-Recht und Datenschutz
Erst letzte Woche stellte der Europäische Datenschutzausschuss (EDSA – das Gremium der europäischen Datenschutzaufsichtsbehörden) seine Guidelines für zusätzliche Schutzmaßnahmen bei internationalem Datentransfer vor. Wie heute bekannt wurde, ist Microsoft das erste der großen US-Tech-Unternehmen, das auf diese Leitlinien reagiert und zusätzliche Schutzmaßnahmen für Unternehmenskunden sowie Kunden aus dem öffentlichen Sektor implementiert. Microsoft teilt in einer Stellungnahme mit, dass man ab sofort weitere vertragliche Verpflichtungen gegenüber den Kunden eingehen werde, die das Datenschutzniveau bei internationalem Datentransfer absichern sollen.
Konkret nimmt Microsoft folgende Ergänzungen vor: Die bestehenden, in die Kundenverträge implementierten Standarddatenschutzklauseln werden um eine Zusatzvereinbarung namens „Additional Safeguards Addendum to Standard Contractual Clauses“ ergänzt. Diese ist hier abrufbar.
Kerninhalt der Zusatzvereinbarung sind zwei vertragliche Garantien, die Microsoft erteilt:
- Zum einen verpflichtet sich Microsoft darin, gegen sämtliche Regierungsanfragen nach Kundendaten – egal von welcher Regierung – vorzugehen und diese anzufechten, sofern hierfür eine rechtliche Grundlage besteht.
- Zum anderen verpflichtet sich Microsoft, die Nutzer der Kunden – zumindest in einem eingeschränkten Umfang – finanziell zu entschädigen, wenn deren Daten in Reaktion auf eine Regierungsanfrage unter Verletzung der DSGVO offengelegt werden.
Damit greift Microsoft einige der vorgeschlagenen Schutzmaßnahmen vom EDSA sowie von anderen Datenschutzaufsichtsbehörden, wie dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW), auf.
In einer ersten Stellungnahme äußert sich der LfDI BW erfreut über die Schritte von Microsoft und sieht diese als Signal in die Branche. Gleichzeitig weißt er darauf hin, dass damit die generelle Transferproblematik in die USA nicht gelöst werde, „denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“ Eine ähnliche Bewertung durch andere Behörden lassen die oben angesprochenen Leitlinien des EDSA (Rz. 48) vermuten, in denen es heißt, dass vertragliche und organisatorische Maßnahmen allein wohl nicht ausreichen werden, um staatliche Zugriffe zu verhindern.
Laut Aussage des LfDI BW wird sich die deutsche Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der Länder und des Bundes) noch vor Ende des Jahres zusammensetzen und die Gespräche zu Microsoftprodukten fortsetzen.
Auch wenn die Wirksamkeit der von Microsoft neu getroffenen Maßnahmen abzuwarten bleibt, ist das Signal an die gesamte US-Tech-Branche und die Politik auch unserer Meinung nach eindeutig: Es müssen praxisnahe Lösungen für den internationalen Datentransfer gefunden werden. Die US-Anbieter können die Probleme und Risiken ihrer europäischen Kunden in Folge der „Schrems II“-Entscheidung des Europäischen Gerichtshofs nicht weiter ignorieren und sich auf den alleinigen Abschluss der Standarddatenschutzklauseln zurückziehen.