Datenschutzergänzung: Microsoft setzt "EU-Datengrenze" um
Microsoft hat sein Versprechen, Daten europäischer Kunden nur auf Servern in der EU zu verarbeiten, jetzt auch im Auftragsverarbeitungsvertrag nachvollzogen.
(Bild: Volodymyr Kyrylyuk/Shutterstock.com)
Pünktlich zum neuen Jahr hat Microsoft am 1. Januar eine überarbeitete Version seines Auftragsverarbeitungsvertrags veröffentlicht. Mit dem Datenschutznachtrag in Form des "Microsoft Products and Services Data Protection Addendum" (DPA) setzt der US-Konzern das Versprechen der bereits Mitte 2021 angekündigten "EU-Datengrenze" offiziell um. Dabei geht es darum, Transfers persönlicher Informationen von Kunden aus der EU in die USA möglichst zu vermeiden, nachdem der Europäische Gerichtshof (EuGH) den Privacy Shield gekippt hatte.
"Bei Online-Diensten mit EU-Datengrenze speichert und verarbeitet Microsoft die Kundendaten innerhalb der Europäischen Union, wie in den Produktbedingungen festgelegt", lautet der entsprechende Zusatz im aktuellen Datenschutznachtrag. Wie weit so eine Formulierung trägt, ist offen. Der US-Kongress verabschiedete bereits 2018 einen "Cloud Act". Er enthält Regeln dafür, wie die Kooperation zwischen US-Strafverfolgungsbehörden und ausländischen Partnern und damit der Zugriff auf Daten ablaufen soll, die sich auf Servern außerhalb des eigenen Territoriums befinden. Für die Details sind bilaterale Abkommen vorgesehen.
Die EU-Gesetzgebungsgremien einigten sich hier im Juni prinzipiell auf eine gemeinsame Linie zur geplanten E-Evidence-Verordnung mit einschlägigen Rahmenbedingungen inklusive einiger Schutzklauseln, die auch für US-Anfragen gelten sollen. Der EuGH stellte bislang mehrfach fest, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden ermöglichen und der Datenschutzstandard in den USA daher nicht dem in der EU entspricht.
In einem Anhang zu dem Nachtrag sichert Microsoft ferner nun explizit zu, "die Rechenschaftspflichten des Kunden" nach der Datenschutz-Grundverordnung (DSGVO) zu unterstützen und die dafür nötige Produktdokumentation zur Verfügung zu stellen. Dies gelte für die gesamte Laufzeit des Abonnements des Kunden oder des entsprechenden Dienstleistungsauftrags.
Für Nachweis von Datenschutzkonformität gedacht
Nutzer sollten so leichter nachweisen können, dass sie etwa das Office-Paket Microsoft 365 datenschutzkonform einsetzen, erläutert der Rechtsanwalt Stefan Hessel von der Kanzlei Reuschlaw in einem Beitrag auf Microsofts Social-Media-Netzwerk LinkedIn. Dies ist höchst umstritten: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) unterstrich Ende November, dass Einrichtungen wie Ämter, Schulen und Unternehmen die Suite für Büroanwendungen mit Cloud-Anschluss ohne Weiteres "nicht rechtskonform einsetzen" könnten. Sie müssten auf jeden Fall zusätzliche Schutzvorkehrungen treffen.
Nicht nur Microsoft wies die Einschätzung der Kontrolleure brüsk zurück. Auch Experten wie Hessel sowie wirtschaftsnahe Datenschutzrechtler kritisierten sie scharf. Für manche Beobachter drängte sich sogar die Frage auf, "ob die DSK rechtsstaatliche Grundsätze einhält". Eine behördliche Stellungnahme, in der Microsoft 365 letztlich als rechtswidrig bewertet werde, komm einer Produktwarnung mit massiven Folgen für Unternehmen gleich. Zielführend wäre es auch gewesen, wenn die Aufsichtsbehörden "wichtige Meilensteine in puncto Drittstaatentransfer" wie den angekündigten neuen EU-US-Rahmen oder die EU-Datengrenze abgewartet hätten.
Datenschützer sehen mangelnde Transparenz
Aus Kreisen der Datenschutzbeauftragten ist dagegen zu hören, dass beide Seiten 14 mehrstündige Videokonferenzen mit Microsoft zuzüglich Vor- und Nachbereitung durchgeführt und die bisherigen Zusicherungen bis ins Detail untersucht worden seien. Microsoft habe sich dabei beharrlich geweigert, alle Verarbeitungen zu beschreiben. Dies lege nahe, dass viele davon ohne Rechtsgrundlage erfolgten.
Für personenbezogene Daten, die Microsoft als Anbieter von Telekommunikationsdiensten verarbeitet und die so nicht unter die DSGVO fallen, stellt das Unternehmen zudem mit dem taufrischen DPA klar, dass es einschlägige gesetzliche Schutzvorgaben wie hierzulande das Fernmeldegeheimnis zu beachten gedenke: "Microsoft wird alle telekommunikationsspezifischen Gesetze und Vorschriften einhalten, die für die Bereitstellung der Produkte und Dienste gelten." Dies umfasse auch eine Benachrichtigung über Sicherheitsverletzungen und Datenpannen.
Rechtsanwalt rät dennoch zur Datenschutzergänzung
Der Konzern hebt ferner hervor, dass auch die technischen und organisatorischen Schutzmaßnahmen aus den Standardvertragsklauseln (SVK) zwischen Microsofts europäischem Hauptsitz Irland und den Niederlassungen in den USA zum Einsatz kämen. Die Datenschutzergänzung gilt zudem nicht mehr nur für Kunden mit Volumenlizenzverträgen, sondern für alle mit einem bestehenden Produkt- und Dienstleistungsvertrag. Die neuen SVK der EU hatte das Unternehmen bereits bei der vorausgegangenen DPA-Änderung im September übernommen. Hessel rät Verantwortlichen, sich unabhängig davon, ob der Nachtrag die Aufsichtsbehörden überzeuge, "um einen Abschluss des neuen DPA" zu bemühen und die Klauseln in ihrer Datenschutzdokumentation zu berücksichtigen.
Wir haben den Einstieg im zweiten und dritten Absatz ergänzt und erweitert um Entscheidungen des US-Kongresses und des EuGH.
(mack)
