Oktober 2020
Autor:in des Beitrags
Daniel
Principle Consultant
Business Consultant
Veröffentlicht am
13.10.2020 von Daniel
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Es besteht DOCH Handlungsbedarf

Wissenswertes zum Schrems II Urteil

und was Sie in Ihrer M365 Umgebung jetzt beachten müssen

Der EuGH hat am 16. Juli 2020 (Urteil in der Sache C-311/18) festgestellt, dass das „Privacy-Shield-Abkommen“ zwischen der EU und den USA ungültig ist. Seitdem wird viel diskutiert, welche Dienste betroffen sind und wie richtig gehandelt werden muss. Wir geben Ihnen eine Übersicht, über den aktuellen Stand.

 

Eines ist sicher, es besteht Handlungsbedarf, denn es gibt keine Übergangsfrist. Und es sind dabei nicht nur große Firmen und Dienste wie Facebook betroffen – Sondern es betrifft jeden, der Microsoft 365 (vormals Office 365) im Standard einsetzt.

Hintergrund zum Schrems II Urteil und die Folgen

Inhalt des „Privacy-Shield-Abkommens“ war, dass in der EU ansässige Unternehmen personenbezogene Daten an ihre Geschäftspartner in den USA übermitteln dürfen.

In dem konkreten Fall am EuGH ging es um die Weitergabe von personenbezogenen Daten durch die Facebook Ireland Ltd an die in den USA ansässige Facebook Inc. Der EuGH hat vereinfacht festgestellt, dass das gemäß Art. 45 Datenschutz-Grundverordnung (DSGVO) vorgeschriebene Schutzniveau mit dem Privacy Shield Abkommen nicht gewährleistet wird. Darüber hinaus werden die in der Charta gemäß Art. 7, 8 und 47 manifestierten Grundrechte nicht ausreichend garantiert.

Das Gericht begründete dies in erster Linie damit, dass im Gegensatz zum Unionsrecht Zugriffsmöglichkeiten der amerikanischen Behörden auf die übermittelten Daten bestehen, die nicht dem Verhältnismäßigkeitsgrundsatz des Unionsrechts entsprechen würden. Damit bestehe für Unionsbürger kein angemessener Rechtsschutz gegen die Überwachung durch amerikanische Überwachungsprogramme. Darüber hinaus existieren keine ausreichenden Rechtsschutzmöglichkeiten für betroffene Personen Das Schutzniveau entspräche somit insgesamt nicht dem des Unionsrechts.

Mit dem Urteil sind alle Datenübertragungen in die USA, die allein auf dem „Privacy-Shield-Abkommen“ beruhen, ab sofort und ohne Übergangsfrist unzulässig. Auch Datenflüsse in andere Länder außerhalb der EU müssen auf ein angemessenes Schutzniveau überprüft werden.

Das gilt auch für Produkte wie Microsoft 365, deren Nutzung hauptsächlich auf den sogenannten „Standardvertragsklauseln“ basieren – diese sind jedoch in der jetzigen Form meist nicht mehr ausreichend. Hier ist zu prüfen, ob gegebenfalls zusätzliche Schutzmaßnahmen ergriffen werden müssen.

Von den Datenschutzbehörden in Deutschland sind derzeit noch keine kurzfristigen Lösungsangebote zu erwarten. Es herrschen aktuell nur uneinheitliche Positionen bei den einzelnen Länderbehörden, in welcher Form die Nachbesserungen erfolgen müssen, dabei gehen pragmatische Ansätze auch darauf ein, dass technische Maßnahmen als zusätzliche Schutzmaßnahmen akzeptiert werden. Trotz der uneinheitlichen rechtlichen Auffassung der Schutzmaßnahmen, haben die ersten Aufsichtsbehörden, z.B. Berlin, bereits Sanktionen in Form von Bußgeldern und Schadensersatzforderungen angekündigt, falls unzulässige Datenübertragungen fortgeführt werden.

Trotzdem durchgeführte und damit rechtswidrige Datentransfers können Bußgelder und Schadensersatzforderungen nach sich ziehen.

Als Microsoft Gold Partner wollen wir unsere Kunden und auch Sie dabei unterstützen die Microsoft 365 Dienste auch in Zukunft datenschutzkonform nutzen zu können.

Microsoft hat in seiner Stellungnahme vom 20. Juli 2020 mitgeteilt, dass „gewerbliche Kunden […] [die] Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen [können]“. Hierbei müssen wir darauf hinweisen, dass dies nur unter bestimmten Voraussetzungen gegeben ist. Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes teilt in ihrer Pressemitteilung vom 2. Oktober 2020 mit, dass Microsoft Office 365 Dienste aktuell nicht datenschutzgerecht eingesetzt werden können und hier datenschutzrechtliche Verbesserungspotenziale existieren. Im weiteren sollen Gespräche mit dem Hersteller aufgenommen werden.

Als Unternehmen sind Sie durch die fehlende Übergangsfrist, allerdings in der Pflicht sofort zu handeln und den datenschutzkonformen Transfer personenbezogener Daten in die USA zu gewährleisten. Daher gilt, nur wenn die Einstellungen in Ihrer Microsoft 365 Umgebung richtig gesetzt und die kritischen Dienste deaktiviert sind, können Sie Bußgelder oder Schadensersatzforderungen verhindern.

Um Sie bei Ihrem Handlungsbedarf sowohl technologisch als auch datenschutzkonform zu unterstützen, haben wir uns mit Rechtsanwalt Wilfried Reiners, MBA von PRW Rechtsanwälte, ausgezeichnet als „Deutschland Beste Anwälte 2020 im Bereich IT-Recht“ vom Handelsblatt, zusammengetan. Gemeinsam unterstützen wir Sie dabei ihre Software im Microsoft 365 Umfeld datenschutzkonform zu verwenden.

So unterstützen wir Sie dabei

Gemeinsam mit Ihnen erstellen wir eine Liste Ihrer Anwendungen, die Sie aus der Microsoft 365 Umgebung verwenden. Diese Aufstellung analysiert PRW Rechtsanwälte auf ihre datenschutzkonforme Anwendung und leitet für Sie daraus Umsetzungsempfehlungen ab. Gemeinsam mit Ihnen setzen wir die erarbeiteten Empfehlungen in Ihrer Umgebung um und dokumentieren diesen Prozess.

Gemeinsam sichern wir den Datenverkehr in Ihrer Microsoft 365 Umgebung, damit Sie und Ihre Mitarbeiterinnen und Mitarbeiter wieder abgesichert und produktiv arbeiten können.

Sie möchten mehr infos?

Wir sind für Sie da.

Sie möchten zu dem Thema wissen oder stehen vor einer anderen Herausforderung? Wir beraten Sie gern.

DANIEL WINTERMEIER | Principal Consultant

+49 89 71040920

daniel@provectus.de

Zum Kontaktformular

Das könnte dich auch interessieren

Blogbeitrag

NetScaler Log und Metrik Analytics Server

Wir erklären den Aufbau eines NetScaler Log und Metrik Analytics Server inklusive Monitoring und Alarmierung.
Weiterlesen
Blogbeitrag

Warum der Wechsel zu Citrix NetScaler wieder interessant werden könnte

Wir erklären, Warum der Wechsel zu Citrix NetScaler für Kunden anderer ADC-Anbieter wie F5, AVI Networks oder Kemp Technologies wieder interessant werden könnte.
Weiterlesen
Blogbeitrag

Erneute Lizenzumstellung bei Citrix: Was kommt jetzt auf die Kund*innen zu?

Um die Komplexität des Produktportfolios zu reduzieren, stellt die CSG nun drei neue Abonnementtypen vor.
Weiterlesen
Echt Ich

Echt Ich Matthias

In ECHT ICH erfahrt ihr mehr über Matthias, seinen Arbeitsalltag , seine Hobbys und seine Motivation für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Passkeys: Die Schlüssel zu einer sichereren und passwortlosen Zukunft

Die Frequenz von Phishing-Attacken steigt immer weiter. Wie sieht also die Authentifizierung der Zukunft aus?
Weiterlesen
Echt Ich

Echt Ich Svenja

In ECHT ICH erfahrt ihr mehr über Svenja, ihren Arbeitsalltag , ihre Rolle im Team und ihre Gründen für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Entra Private Access – Zero Trust für den hybriden Arbeitsplatz?

Mit Entra Private Access entwickelt Microsoft derzeit die wohl weitsichtigste Lösung für einem Hybriden Arbeitsplatz.
Weiterlesen
Blogbeitrag

Microsoft Copilot

Microsoft läutet mit dem Copiloten eine neue Ära der KI ein. Der Copilot ist mit dem neusten 23H2-Feature-Update für Windows 11 verfügbar und beinhaltet mehr als 150 neue Funktionen.
Weiterlesen
Whitepaper

Lizenzänderungen bei Citrix – Was Sie jetzt wissen müssen

In unserem kostenfreien Whitepaper bringen wir Licht ins Dunkle und erklären Ihnen, was Sie über die aktuelle Situation bei Citrix und die damit einhergehenden Änderungen wissen müssen.
Weiterlesen
Blogbeitrag

Datenschutzkonformer Einsatz von Microsoft 365 bei Sozialdatenträgern

Wir erklären, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger DSGVO-konform einsetzen möchten.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter