Der EuGH hat am 16. Juli 2020 (Urteil in der Sache C-311/18) festgestellt, dass das „Privacy-Shield-Abkommen“ zwischen der EU und den USA ungültig ist. Seitdem wird viel diskutiert, welche Dienste betroffen sind und wie richtig gehandelt werden muss. Wir geben Ihnen eine Übersicht, über den aktuellen Stand.
Eines ist sicher, es besteht Handlungsbedarf, denn es gibt keine Übergangsfrist. Und es sind dabei nicht nur große Firmen und Dienste wie Facebook betroffen – Sondern es betrifft jeden, der Microsoft 365 (vormals Office 365) im Standard einsetzt.
Inhalt des „Privacy-Shield-Abkommens“ war, dass in der EU ansässige Unternehmen personenbezogene Daten an ihre Geschäftspartner in den USA übermitteln dürfen.
In dem konkreten Fall am EuGH ging es um die Weitergabe von personenbezogenen Daten durch die Facebook Ireland Ltd an die in den USA ansässige Facebook Inc. Der EuGH hat vereinfacht festgestellt, dass das gemäß Art. 45 Datenschutz-Grundverordnung (DSGVO) vorgeschriebene Schutzniveau mit dem Privacy Shield Abkommen nicht gewährleistet wird. Darüber hinaus werden die in der Charta gemäß Art. 7, 8 und 47 manifestierten Grundrechte nicht ausreichend garantiert.
Das Gericht begründete dies in erster Linie damit, dass im Gegensatz zum Unionsrecht Zugriffsmöglichkeiten der amerikanischen Behörden auf die übermittelten Daten bestehen, die nicht dem Verhältnismäßigkeitsgrundsatz des Unionsrechts entsprechen würden. Damit bestehe für Unionsbürger kein angemessener Rechtsschutz gegen die Überwachung durch amerikanische Überwachungsprogramme. Darüber hinaus existieren keine ausreichenden Rechtsschutzmöglichkeiten für betroffene Personen Das Schutzniveau entspräche somit insgesamt nicht dem des Unionsrechts.
Mit dem Urteil sind alle Datenübertragungen in die USA, die allein auf dem „Privacy-Shield-Abkommen“ beruhen, ab sofort und ohne Übergangsfrist unzulässig. Auch Datenflüsse in andere Länder außerhalb der EU müssen auf ein angemessenes Schutzniveau überprüft werden.
Das gilt auch für Produkte wie Microsoft 365, deren Nutzung hauptsächlich auf den sogenannten „Standardvertragsklauseln“ basieren – diese sind jedoch in der jetzigen Form meist nicht mehr ausreichend. Hier ist zu prüfen, ob gegebenfalls zusätzliche Schutzmaßnahmen ergriffen werden müssen.
Von den Datenschutzbehörden in Deutschland sind derzeit noch keine kurzfristigen Lösungsangebote zu erwarten. Es herrschen aktuell nur uneinheitliche Positionen bei den einzelnen Länderbehörden, in welcher Form die Nachbesserungen erfolgen müssen, dabei gehen pragmatische Ansätze auch darauf ein, dass technische Maßnahmen als zusätzliche Schutzmaßnahmen akzeptiert werden. Trotz der uneinheitlichen rechtlichen Auffassung der Schutzmaßnahmen, haben die ersten Aufsichtsbehörden, z.B. Berlin, bereits Sanktionen in Form von Bußgeldern und Schadensersatzforderungen angekündigt, falls unzulässige Datenübertragungen fortgeführt werden.
Trotzdem durchgeführte und damit rechtswidrige Datentransfers können Bußgelder und Schadensersatzforderungen nach sich ziehen.
Als Microsoft Gold Partner wollen wir unsere Kunden und auch Sie dabei unterstützen die Microsoft 365 Dienste auch in Zukunft datenschutzkonform nutzen zu können.
Microsoft hat in seiner Stellungnahme vom 20. Juli 2020 mitgeteilt, dass „gewerbliche Kunden […] [die] Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen [können]“. Hierbei müssen wir darauf hinweisen, dass dies nur unter bestimmten Voraussetzungen gegeben ist. Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes teilt in ihrer Pressemitteilung vom 2. Oktober 2020 mit, dass Microsoft Office 365 Dienste aktuell nicht datenschutzgerecht eingesetzt werden können und hier datenschutzrechtliche Verbesserungspotenziale existieren. Im weiteren sollen Gespräche mit dem Hersteller aufgenommen werden.
Als Unternehmen sind Sie durch die fehlende Übergangsfrist, allerdings in der Pflicht sofort zu handeln und den datenschutzkonformen Transfer personenbezogener Daten in die USA zu gewährleisten. Daher gilt, nur wenn die Einstellungen in Ihrer Microsoft 365 Umgebung richtig gesetzt und die kritischen Dienste deaktiviert sind, können Sie Bußgelder oder Schadensersatzforderungen verhindern.
Um Sie bei Ihrem Handlungsbedarf sowohl technologisch als auch datenschutzkonform zu unterstützen, haben wir uns mit Rechtsanwalt Wilfried Reiners, MBA von PRW Rechtsanwälte, ausgezeichnet als „Deutschland Beste Anwälte 2020 im Bereich IT-Recht“ vom Handelsblatt, zusammengetan. Gemeinsam unterstützen wir Sie dabei ihre Software im Microsoft 365 Umfeld datenschutzkonform zu verwenden.
Gemeinsam mit Ihnen erstellen wir eine Liste Ihrer Anwendungen, die Sie aus der Microsoft 365 Umgebung verwenden. Diese Aufstellung analysiert PRW Rechtsanwälte auf ihre datenschutzkonforme Anwendung und leitet für Sie daraus Umsetzungsempfehlungen ab. Gemeinsam mit Ihnen setzen wir die erarbeiteten Empfehlungen in Ihrer Umgebung um und dokumentieren diesen Prozess.
Gemeinsam sichern wir den Datenverkehr in Ihrer Microsoft 365 Umgebung, damit Sie und Ihre Mitarbeiterinnen und Mitarbeiter wieder abgesichert und produktiv arbeiten können.
Wir sind für Sie da.
Sie möchten zu dem Thema wissen oder stehen vor einer anderen Herausforderung? Wir beraten Sie gern.
DANIEL WINTERMEIER | Principal Consultant
