Das neue Framework und die Einordnung zur Nutzung der Online-Dienste von Microsoft
Das „Trans-Atlantic Data Privacy Framework“ ist Gestern am 25 März 2022 auf dem Weg gebracht. Die Europäische Kommission und die Vereinigten Staaten haben in einer gemeinsamen Erklärung bekannt gegeben, dass sie sich grundsätzlich auf ein neues „Trans-Atlantic Data Privacy Framework“ geeinigt haben. Positiv ist, die Ankündigung zum Abkommen wurde auf höchste politische Ebene gemacht. Dies unterstreicht die Bedeutung und die Wille zur Umsetzung (siehe Links auf LinkedIn).
Das hört sich sehr gut an:
Das neue Abkommen soll den Datenaustausch zwischen der EU und den USA fördern und die Bedenken, die der Europäische Gerichtshof (EuGH) in einer „Schrems II“-Entscheidung vom Juli 2020 geäußert hatte, ausräumen.
Nochmal der reihe nach zur Einordnung
- Privacy-Shield: Die bisher häufigste Rechtsgrundlage der Datenübermittlungen in die USA, der EU-US-Privacy-Shield, wurde ja durch das Urteil im Juli 2020 unmittelbar für unwirksam erklärt und damit wurde die USA aus der Liste der sicheren Länder, gestrichen (s. sichere Nicht-EU Länder)
In dieser Liste tauchen auch solche Länder auf, wie Andorra, die Färöer-Inseln, Guernsey oder die Isle of Man, wo wir „Googlen“ müssen, um diese auszumachen😉
- CLOUD Act: Unter dem CLOUD Act können US-Behörden von Unternehmen selbst dann die Offenlegung der bei ihnen verarbeiteten Daten verlangen, wenn dies gegen die Rechtsordnung im Land der Verarbeitung verstößt. Eine Herausgabe ist nach US-Recht also selbst dann erforderlich, wenn sie gegen europäische Gesetzesvorgaben wie die EU-Datenschutz-Grundverordnung ( DSGVO ) verstößt. Anders als die DSGVO beschränkt sich der CLOUD Act nicht auf personenbezogene Daten. So droht neben der ungerechtfertigten Offenlegung personenbezogener Daten beispielsweise auch der Abfluss von Geschäftsgeheimnissen. Die rechtlichen Implikationen sind jedoch bei Betroffenheit personenbezogener Daten besonders erheblich.
- Neue EU-Standardvertragsklauseln: Am 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln veröffentlicht, die Unternehmen dabei helfen sollen, personenbezogene Daten rechtmäßig aus der EU in Nicht-EU-Länder zu übertragen, die keinen „angemessenen“ Datenschutz bieten, wie er nach EU-Recht erforderlich ist. Dazu gehören auch die USA.
Nutzung der Microsoft-Online Dienste bis dato:
Mit der neuen EU- Standardvertragsklauseln werden bei US-Transfers häufig weitere vertragliche, organisatorische und technische Maßnahmen erforderlich, etwa eine ausreichende Verschlüsselung der Daten.
Microsoft hat diese bereits in seiner DPA (Data Protection Addendum) am 15. September 2021 berücksichtig & veröffentlicht sowie weitere weitreichende Maßnahmen zum Schutz der Kundendaten eingeleitet (s. Links auf LinkedIn).
Die Grundprinzipien des „Trans-Atlantic Data Privacy Framework“
- Die personenbezogenen Daten sollen frei und sicher zwischen der EU und den teilnehmenden USA-Unternehmen ausgetauscht werden können
- Es sollen Regeln und verbindliche Garantien geschaffen werden, die den Zugriff der US-Nachrichtendienste auf personenbezogenen Daten, auf das zum Schutz der nationalen Sicherheit beschränken. Die Einführung von geeigneten Verfahren, sollen dies überwachen.
- Beschwerden von EU-Bürgern über den Zugriff auf ihrer Daten soll durch ein zweistufiges Rechtsbehelfssystem geschaffen werden. Eine gerichtliche Überprüfung soll durch ein neues „Data Protection Review Court“ gewährleistet werden.
- Für betroffene US-Unternehmen, wie z.B. Microsoft, sollen strenge Verpflichtungen geschaffen werden zur Einhaltung des „Trans-Atlantic Data Privacy Framework“ durch eine Selbstzertifizierung.
Die Reaktion von Microsoft auf das neue Framework
Die Antwort von Microsoft kam prompt und betrachtet dies als Meilenstein für den Datenschutz (s. Link unten). Microsoft teilte mit: „Wie werden das neue Framework annehmen und umsetzen. Wie dies passiert und funktionieren soll erläutert Microsoft so:
- Zunächst wird Microsoft bestätigen, dass jede Anfrage der US-Regierung nach personenbezogenen Daten dem neu angekündigten „Trans-Atlantic Data Privacy and Security Framework“ entspricht. Wenn wir, so Microsoft, der Meinung sind, dass die Forderung nicht konform ist, werden wir alle rechtmäßigen Mittel einsetzen, um sie anzufechten.
- Microsoft wird seine Kunden, im Falle eines Rechtstreits, im neuen sog. „Rechtsbehelfssystem, bzw. -prozess“ unterstützen und seine gesamte rechtliche Ressourcen hierbei den Kunden zur Seite stehen.
Wie geht es weiter?
Die Einigung soll in eine rechtliche Vereinbarung überführt werden. Eine „Executive Order“ soll auf US-Seite erlassen werden, die als Grundlage für einen neuen Angemessenheitsbeschluss der EU-Kommission dient.
Quellen & Linkssammlung: siehe Mein Artikel dazu auf LinkedIn