Datenschutzergänzung: Microsoft implementiert den EU-USA-Datenschutzrahmen
Microsoft vollzieht das transatlantische "Privacy Framework" zum Transfer persönlicher Daten im Auftragsverarbeitungsvertrag nach. Kontrolleure haben Bedenken.
(Bild: peterschreiber.media/Shutterstock.com)
Microsoft hat am Mittwoch wieder einmal eine überarbeitete Version seines Auftragsverarbeitungsvertrags veröffentlicht. Mit dem Datenschutznachtrag in Form des "Microsoft Products and Services Data Protection Addendum" (DPA) stellt der US-Konzern nun auch klar, dass er nach dem neuen EU-US-Datenschutzrahmen ("Privacy Framework") zertifiziert ist. Werden bei der Nutzung von Microsoft-Cloud-Produkten wie Office 365 Daten in die USA übermittelt, kann dieser Transfer jetzt auf den Angemessenheitsbeschluss der EU-Kommission für die USA vom Juli gestützt werden. Damit erklärt die Kommission, dass personenbezogene Informationen in den Vereinigten Staaten vergleichbar gut geschützt sind wie in der EU.
Mit der neuen DPA-Version könnten Übertragungen über den Atlantik "von den Datenschutzaufsichtsbehörden nicht beanstandet werden", schreibt Rechtsanwalt Stefan Hessel von der Kanzlei Reuschlaw in einem Beitrag auf dem Microsoft-Netzwerk LinkedIn. Die Zusätze seien auch für Unternehmen und öffentliche Stellen maßgeblich, die ihre Daten innerhalb der "EU-Datengrenze" von Microsoft verarbeiten ließen. Bei diesem 2021 eingeführten und mittlerweile ebenfalls im DPA berücksichtigten Verfahren geht es darum, Transfers persönlicher Informationen von Kunden aus der EU in die USA möglichst zu vermeiden. Hintergrund war das Urteil des Europäischen Gerichtshofs (EuGH), mit dem dieser mit dem Privacy Shield den Vorgänger des neuen Datenschutzrahmens kippte.
Datenschutz bleibt umstritten
Derzeit würden auch bei der Nutzung des Grenzmechanismus noch einige Daten in die USA gesendet, begründet Hessel seinen Hinweis. Unabhängig davon, ob das neue DPA die Datenschutzaufsichtsbehörden vollständig überzeuge, sollten Verantwortliche die aktuelle Version in ihrer Datenschutzdokumentation berücksichtigen. Dafür sei es ausreichend, dass Unternehmen und öffentliche Stellen intern vermerken, wenn das neue DPA angewendet werden soll.
Ob mit der Änderung datenschutzrechtlich alles in Butter ist, bleibt nicht nur angesichts von Klagen gegen das Privacy Framework umstritten. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) unterstrich vor einem Jahr noch einmal, dass Einrichtungen wie Ämter, Schulen und Unternehmen MS 365 nicht ohne Weiteres rechtskonform einsetzen könnten. Sie müssten auf jeden Fall zusätzliche Schutzvorkehrungen treffen. Der Bayerische Datenschutzbeauftragte Thomas Petri erklärte im August in einer "Ersten Hilfe" zum Privacy Framework: Der Vorwurf mangelnder Transparenz gelte weiterhin für das Office-Paket von Microsoft.
Nicht vollumfänglich offengelegt
Bayerische öffentliche Stellen erwarten hier Petri zufolge zumindest nach wie vor erhebliche Schwierigkeiten, jederzeit den Rechenschaftspflichten nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung (DSGVO) zu Grundsätzen für den Umgang mit personenbezogenen Informationen wie die Beschränkung auf das "notwendige Maß" und die Speicherbegrenzung nachkommen zu können. Denn Microsoft lege insbesondere nicht vollumfänglich offen, "welche Verarbeitungen im Einzelnen stattfinden". Dies zeigt sich gerade wieder mit der Entdeckung, dass das neue Outlook aus Office etwa Zugangsdaten auf Server des Konzerns überträgt und Mails dorthin kopiert. Sechs weitere Aufsichtsbehörden der Länder teilten die von Petri vorgebrachte Kritik im September prinzipiell mit den gemeinsam herausgegebenen Praxishinweisen für Verträge mit Microsoft.
(mki)
