Oktober 2020
Autor:in des Beitrags
Daniel
Principle Consultant
Business Consulting
Veröffentlicht am
13.10.2020 von Daniel
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Es besteht DOCH Handlungsbedarf

Wissenswertes zum Schrems II Urteil

und was Sie in Ihrer M365 Umgebung jetzt beachten müssen

Der EuGH hat am 16. Juli 2020 (Urteil in der Sache C-311/18) festgestellt, dass das „Privacy-Shield-Abkommen“ zwischen der EU und den USA ungültig ist. Seitdem wird viel diskutiert, welche Dienste betroffen sind und wie richtig gehandelt werden muss. Wir geben Ihnen eine Übersicht, über den aktuellen Stand.

 

Eines ist sicher, es besteht Handlungsbedarf, denn es gibt keine Übergangsfrist. Und es sind dabei nicht nur große Firmen und Dienste wie Facebook betroffen – Sondern es betrifft jeden, der Microsoft 365 (vormals Office 365) im Standard einsetzt.

Hintergrund zum Schrems II Urteil und die Folgen

Inhalt des „Privacy-Shield-Abkommens“ war, dass in der EU ansässige Unternehmen personenbezogene Daten an ihre Geschäftspartner in den USA übermitteln dürfen.

In dem konkreten Fall am EuGH ging es um die Weitergabe von personenbezogenen Daten durch die Facebook Ireland Ltd an die in den USA ansässige Facebook Inc. Der EuGH hat vereinfacht festgestellt, dass das gemäß Art. 45 Datenschutz-Grundverordnung (DSGVO) vorgeschriebene Schutzniveau mit dem Privacy Shield Abkommen nicht gewährleistet wird. Darüber hinaus werden die in der Charta gemäß Art. 7, 8 und 47 manifestierten Grundrechte nicht ausreichend garantiert.

Das Gericht begründete dies in erster Linie damit, dass im Gegensatz zum Unionsrecht Zugriffsmöglichkeiten der amerikanischen Behörden auf die übermittelten Daten bestehen, die nicht dem Verhältnismäßigkeitsgrundsatz des Unionsrechts entsprechen würden. Damit bestehe für Unionsbürger kein angemessener Rechtsschutz gegen die Überwachung durch amerikanische Überwachungsprogramme. Darüber hinaus existieren keine ausreichenden Rechtsschutzmöglichkeiten für betroffene Personen Das Schutzniveau entspräche somit insgesamt nicht dem des Unionsrechts.

Mit dem Urteil sind alle Datenübertragungen in die USA, die allein auf dem „Privacy-Shield-Abkommen“ beruhen, ab sofort und ohne Übergangsfrist unzulässig. Auch Datenflüsse in andere Länder außerhalb der EU müssen auf ein angemessenes Schutzniveau überprüft werden.

Das gilt auch für Produkte wie Microsoft 365, deren Nutzung hauptsächlich auf den sogenannten „Standardvertragsklauseln“ basieren – diese sind jedoch in der jetzigen Form meist nicht mehr ausreichend. Hier ist zu prüfen, ob gegebenfalls zusätzliche Schutzmaßnahmen ergriffen werden müssen.

Von den Datenschutzbehörden in Deutschland sind derzeit noch keine kurzfristigen Lösungsangebote zu erwarten. Es herrschen aktuell nur uneinheitliche Positionen bei den einzelnen Länderbehörden, in welcher Form die Nachbesserungen erfolgen müssen, dabei gehen pragmatische Ansätze auch darauf ein, dass technische Maßnahmen als zusätzliche Schutzmaßnahmen akzeptiert werden. Trotz der uneinheitlichen rechtlichen Auffassung der Schutzmaßnahmen, haben die ersten Aufsichtsbehörden, z.B. Berlin, bereits Sanktionen in Form von Bußgeldern und Schadensersatzforderungen angekündigt, falls unzulässige Datenübertragungen fortgeführt werden.

Trotzdem durchgeführte und damit rechtswidrige Datentransfers können Bußgelder und Schadensersatzforderungen nach sich ziehen.

Als Microsoft Gold Partner wollen wir unsere Kunden und auch Sie dabei unterstützen die Microsoft 365 Dienste auch in Zukunft datenschutzkonform nutzen zu können.

Microsoft hat in seiner Stellungnahme vom 20. Juli 2020 mitgeteilt, dass „gewerbliche Kunden […] [die] Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen [können]“. Hierbei müssen wir darauf hinweisen, dass dies nur unter bestimmten Voraussetzungen gegeben ist. Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes teilt in ihrer Pressemitteilung vom 2. Oktober 2020 mit, dass Microsoft Office 365 Dienste aktuell nicht datenschutzgerecht eingesetzt werden können und hier datenschutzrechtliche Verbesserungspotenziale existieren. Im weiteren sollen Gespräche mit dem Hersteller aufgenommen werden.

Als Unternehmen sind Sie durch die fehlende Übergangsfrist, allerdings in der Pflicht sofort zu handeln und den datenschutzkonformen Transfer personenbezogener Daten in die USA zu gewährleisten. Daher gilt, nur wenn die Einstellungen in Ihrer Microsoft 365 Umgebung richtig gesetzt und die kritischen Dienste deaktiviert sind, können Sie Bußgelder oder Schadensersatzforderungen verhindern.

Um Sie bei Ihrem Handlungsbedarf sowohl technologisch als auch datenschutzkonform zu unterstützen, haben wir uns mit Rechtsanwalt Wilfried Reiners, MBA von PRW Rechtsanwälte, ausgezeichnet als „Deutschland Beste Anwälte 2020 im Bereich IT-Recht“ vom Handelsblatt, zusammengetan. Gemeinsam unterstützen wir Sie dabei ihre Software im Microsoft 365 Umfeld datenschutzkonform zu verwenden.

So unterstützen wir Sie dabei

Gemeinsam mit Ihnen erstellen wir eine Liste Ihrer Anwendungen, die Sie aus der Microsoft 365 Umgebung verwenden. Diese Aufstellung analysiert PRW Rechtsanwälte auf ihre datenschutzkonforme Anwendung und leitet für Sie daraus Umsetzungsempfehlungen ab. Gemeinsam mit Ihnen setzen wir die erarbeiteten Empfehlungen in Ihrer Umgebung um und dokumentieren diesen Prozess.

Gemeinsam sichern wir den Datenverkehr in Ihrer Microsoft 365 Umgebung, damit Sie und Ihre Mitarbeiterinnen und Mitarbeiter wieder abgesichert und produktiv arbeiten können.

Sie möchten mehr infos?

Wir sind für Sie da.

Sie möchten zu dem Thema wissen oder stehen vor einer anderen Herausforderung? Wir beraten Sie gern.

DANIEL WINTERMEIER | Principal Consultant

+49 89 71040920

daniel@provectus.de

Zum Kontaktformular

Das könnte dich auch interessieren

Blogbeitrag

NetScaler WAF für Citrix Gateway und IP Reputation

Wir zeigen Ihnen zwei Features, die für viele NetScaler Deployments einen Mehrwert hinsichtlich Security bieten.
Weiterlesen
Webinar

Webinar: Neue Lizenzmodelle bei Citrix

Im Webinar informieren Sie unsere Experten über die aktuellen Lizenzänderungen bei Citrix und NetScaler.
Weiterlesen
Whitepaper

Whitepaper – KI-ready

In unserem Whitepaper erhalten Sie einen Überblick über die Herausforderungen, welche die Künstlicher Intelligenz mit sich bringt.
Weiterlesen
Blogbeitrag

Bereitstellung Elastic Stack und Anbindung der NetScaler Syslogs

In diesem Teil steht der Elastic Stack auf dem Plan – Kibana, Elasticsearch und Logstash stehen in den Startlöchern.
Weiterlesen
Blogbeitrag

Virtual Workplace Evolution

Wir sind dabei und freuen uns auf den spannenden Austausch zur Transformation von IT Workplaces.
Weiterlesen
Blogbeitrag

KI-Nutzungsrichtlinie: So nutzen Sie KI sicher und compliant

Erfahren Sie, wie Sie eine KI-Nutzungsrichtlinie erstellen können, und Ihre Daten und die Daten Ihrer Kunden zu schützen.
Weiterlesen
Blogbeitrag

Voraussetzungen für den effizienten Einsatz von KI im Unternehmen

Erhalten Sie einen Überblick über die wichtigsten Voraussetzungen, die Sie erfüllen müssen, um KI in Ihrem Unternehmen einzuführen.
Weiterlesen
Echt Ich

Echt Ich Katharina

In ECHT ICH erfahrt ihr mehr über Katharina, ihren Arbeitsalltag, ihre Hobbys und warum sie bei Provectus “ECHT Sie” sein kann.
Weiterlesen
Blogbeitrag

New Teams VDI

Mit der neuen Teams-Version hat sich nicht nur das Design geändert, sondern auch die Installationsroutine. Wir klären auf!
Weiterlesen
Blogbeitrag

KI statt Excel

Entdecken Sie die Vorteile von cloud-basierten Datenbanken und KI-gestützten Datenflüssen für die Automatisierung Ihrer Geschäftsprozesse.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter