Oktober 2020
Autor:in des Beitrags
Daniel
Principle Consultant
Business Consulting
Veröffentlicht am
13.10.2020 von Daniel
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Es besteht DOCH Handlungsbedarf

Wissenswertes zum Schrems II Urteil

und was Sie in Ihrer M365 Umgebung jetzt beachten müssen

Der EuGH hat am 16. Juli 2020 (Urteil in der Sache C-311/18) festgestellt, dass das „Privacy-Shield-Abkommen“ zwischen der EU und den USA ungültig ist. Seitdem wird viel diskutiert, welche Dienste betroffen sind und wie richtig gehandelt werden muss. Wir geben Ihnen eine Übersicht, über den aktuellen Stand.

 

Eines ist sicher, es besteht Handlungsbedarf, denn es gibt keine Übergangsfrist. Und es sind dabei nicht nur große Firmen und Dienste wie Facebook betroffen – Sondern es betrifft jeden, der Microsoft 365 (vormals Office 365) im Standard einsetzt.

Hintergrund zum Schrems II Urteil und die Folgen

Inhalt des „Privacy-Shield-Abkommens“ war, dass in der EU ansässige Unternehmen personenbezogene Daten an ihre Geschäftspartner in den USA übermitteln dürfen.

In dem konkreten Fall am EuGH ging es um die Weitergabe von personenbezogenen Daten durch die Facebook Ireland Ltd an die in den USA ansässige Facebook Inc. Der EuGH hat vereinfacht festgestellt, dass das gemäß Art. 45 Datenschutz-Grundverordnung (DSGVO) vorgeschriebene Schutzniveau mit dem Privacy Shield Abkommen nicht gewährleistet wird. Darüber hinaus werden die in der Charta gemäß Art. 7, 8 und 47 manifestierten Grundrechte nicht ausreichend garantiert.

Das Gericht begründete dies in erster Linie damit, dass im Gegensatz zum Unionsrecht Zugriffsmöglichkeiten der amerikanischen Behörden auf die übermittelten Daten bestehen, die nicht dem Verhältnismäßigkeitsgrundsatz des Unionsrechts entsprechen würden. Damit bestehe für Unionsbürger kein angemessener Rechtsschutz gegen die Überwachung durch amerikanische Überwachungsprogramme. Darüber hinaus existieren keine ausreichenden Rechtsschutzmöglichkeiten für betroffene Personen Das Schutzniveau entspräche somit insgesamt nicht dem des Unionsrechts.

Mit dem Urteil sind alle Datenübertragungen in die USA, die allein auf dem „Privacy-Shield-Abkommen“ beruhen, ab sofort und ohne Übergangsfrist unzulässig. Auch Datenflüsse in andere Länder außerhalb der EU müssen auf ein angemessenes Schutzniveau überprüft werden.

Das gilt auch für Produkte wie Microsoft 365, deren Nutzung hauptsächlich auf den sogenannten „Standardvertragsklauseln“ basieren – diese sind jedoch in der jetzigen Form meist nicht mehr ausreichend. Hier ist zu prüfen, ob gegebenfalls zusätzliche Schutzmaßnahmen ergriffen werden müssen.

Von den Datenschutzbehörden in Deutschland sind derzeit noch keine kurzfristigen Lösungsangebote zu erwarten. Es herrschen aktuell nur uneinheitliche Positionen bei den einzelnen Länderbehörden, in welcher Form die Nachbesserungen erfolgen müssen, dabei gehen pragmatische Ansätze auch darauf ein, dass technische Maßnahmen als zusätzliche Schutzmaßnahmen akzeptiert werden. Trotz der uneinheitlichen rechtlichen Auffassung der Schutzmaßnahmen, haben die ersten Aufsichtsbehörden, z.B. Berlin, bereits Sanktionen in Form von Bußgeldern und Schadensersatzforderungen angekündigt, falls unzulässige Datenübertragungen fortgeführt werden.

Trotzdem durchgeführte und damit rechtswidrige Datentransfers können Bußgelder und Schadensersatzforderungen nach sich ziehen.

Als Microsoft Gold Partner wollen wir unsere Kunden und auch Sie dabei unterstützen die Microsoft 365 Dienste auch in Zukunft datenschutzkonform nutzen zu können.

Microsoft hat in seiner Stellungnahme vom 20. Juli 2020 mitgeteilt, dass „gewerbliche Kunden […] [die] Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen [können]“. Hierbei müssen wir darauf hinweisen, dass dies nur unter bestimmten Voraussetzungen gegeben ist. Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes teilt in ihrer Pressemitteilung vom 2. Oktober 2020 mit, dass Microsoft Office 365 Dienste aktuell nicht datenschutzgerecht eingesetzt werden können und hier datenschutzrechtliche Verbesserungspotenziale existieren. Im weiteren sollen Gespräche mit dem Hersteller aufgenommen werden.

Als Unternehmen sind Sie durch die fehlende Übergangsfrist, allerdings in der Pflicht sofort zu handeln und den datenschutzkonformen Transfer personenbezogener Daten in die USA zu gewährleisten. Daher gilt, nur wenn die Einstellungen in Ihrer Microsoft 365 Umgebung richtig gesetzt und die kritischen Dienste deaktiviert sind, können Sie Bußgelder oder Schadensersatzforderungen verhindern.

Um Sie bei Ihrem Handlungsbedarf sowohl technologisch als auch datenschutzkonform zu unterstützen, haben wir uns mit Rechtsanwalt Wilfried Reiners, MBA von PRW Rechtsanwälte, ausgezeichnet als „Deutschland Beste Anwälte 2020 im Bereich IT-Recht“ vom Handelsblatt, zusammengetan. Gemeinsam unterstützen wir Sie dabei ihre Software im Microsoft 365 Umfeld datenschutzkonform zu verwenden.

So unterstützen wir Sie dabei

Gemeinsam mit Ihnen erstellen wir eine Liste Ihrer Anwendungen, die Sie aus der Microsoft 365 Umgebung verwenden. Diese Aufstellung analysiert PRW Rechtsanwälte auf ihre datenschutzkonforme Anwendung und leitet für Sie daraus Umsetzungsempfehlungen ab. Gemeinsam mit Ihnen setzen wir die erarbeiteten Empfehlungen in Ihrer Umgebung um und dokumentieren diesen Prozess.

Gemeinsam sichern wir den Datenverkehr in Ihrer Microsoft 365 Umgebung, damit Sie und Ihre Mitarbeiterinnen und Mitarbeiter wieder abgesichert und produktiv arbeiten können.

Sie möchten mehr infos?

Wir sind für Sie da.

Sie möchten zu dem Thema wissen oder stehen vor einer anderen Herausforderung? Wir beraten Sie gern.

DANIEL WINTERMEIER | Principal Consultant

+49 89 71040920

daniel@provectus.de

Zum Kontaktformular

Das könnte dich auch interessieren

Whitepaper

Whitepaper – Prozessautomatisierung mit der Microsoft Power Platform

Produktivität steigern durch Prozessautomatisierung. Microsoft Power Platform Lizenzen sowie Optimierungsmöglichkeiten im Überblick.
Weiterlesen
Blogbeitrag

Optimierte Azure-Kosten mit Azure Pricing Calculator und Cost Management

Der Azure Pricing Calculator gibt einen Überblick über Cloud Kosten. Durch eine Optimierungsstrategien profitieren Unternehmen effektiv.
Weiterlesen
Whitepaper

Whitepaper – Azure Cost Management

In diesem Whitepaper zeigen wir Ihnen, wie Sie mit Azure Cost Management Ihre Cloud-Kosten effektiv steuern und gleichzeitig die Vorteile der Cloud voll ausschöpfen können.
Weiterlesen
Blogbeitrag

Neue Microsoft Optimierung verbessert Teams-Erfahrung für VDI-User

Microsoft verbessert mit der neuen SlimCore-Optimierung die Leistung und Benutzererfahrung von Teams in VDI-Umgebungen. Die technischen Details erklärt unser Experte Patrick.
Weiterlesen
Blogbeitrag

Neue Sicherheitslücke bei Microsoft

Eine kürzlich entdeckte Sicherheitslücke in Microsoft ermöglichte es Nutzern ihren User Principal Name (UPN) eigenständig zu ändern. Unser Experte Julian klärt auf!
Weiterlesen
Blogbeitrag

Ein Meilenstein: Citrix Preferred Services Partner

Seit Dezember 2024 sind wir als Citrix Preferred Services Partner zertifiziert. Mit dieser Auszeichnung zählen wir zu einer exklusiven Gruppe weltweit und sind einer von nur vier Partnern in Deutschland.
Weiterlesen
Blogbeitrag

Citrix Lizenzen: User/Device-Modell oder doch Concurrent?

Was bedeuten die Definitionen im Citrix End-User Agreement? Was wird tatsächlich technisch als Lizenz ausgeliefert und was darf ich als Kunde nutzen?
Weiterlesen
Blogbeitrag

Intune Enterprise App erlaubt Compliant Device Bypass

In diesem Blogbeitrag erläutert unser Experte das Fehlerbild, zeigt auf, wie die Schwachstelle nachgestellt werden kann und gibt Empfehlungen zur Absicherung Ihrer Systeme.
Weiterlesen
Blogbeitrag

Citrix kauft DeviceTRUST und Strong Network: Was bedeutet das für Kunden?

Citrix kauft DeviceTRUST und Strong Network, um die Sicherheit seiner digitalen Workspace-Lösungen zu stärken
Weiterlesen
Echt Ich

Echt Ich Hannes

In ECHT ICH erfahrt ihr mehr über Hannes, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus „ECHT ER“ sein kann.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter