Das „EU-U.S. Data Privacy Framework“ ” – Die Reaktion von Microsoft auf das neue Datenschutzabkommen zwischen der EU und den USA

Nach Safe Harbor und dem Privacy Shield wurde mit dem „EU-U.S. Data Privacy Framework“ ein neues Datenschutzabkommen zwischen der EU und den USA ins Leben gerufen. Es bildet die Grundlage für einen im Juni 2023 gefassten Beschluss der Europäischen Kommission, in dem das Datenschutzniveau für zertifizierte Unternehmen in den USA für angemessen erklärt wird („Angemessenheitsbeschluss“).

Der von der EU und den USA vereinbarte neue Rahmen legt einen sehr hohen Standard dafür fest, wie Regierungen versuchen sollten, auf die personenbezogenen Daten der Europäer zuzugreifen, und enthält wichtige Rechte für Einzelpersonen, um Wiedergutmachung zu erhalten, wenn auf ihre Daten unrechtmäßig zugegriffen wird.

Im Kern sind es drei Punkte, die wichtig sind:

1. Ein neues Regelwerk und verbindliche Schutzmaßnahmen sollen sicherstellen, dass ein Zugriff durch US-Nachrichtendienste nur dann erfolgt, wenn er notwendig und verhältnismäßig ist, um die nationale Sicherheit zu gewährleisten, ohne dass dadurch die Rechte und Freiheiten des Einzelnen unverhältnismäßig beeinträchtigt werden.
2. Ein neues zweistufiges Rechtsbehelfsystem soll sicherstellen, dass Beschwerden von EU-Bürgern über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden. Zur gerichtlichen Prüfung wird ein neuer und unabhängiger „Data Protection Review Court“ ins Leben gerufen.
3. US-Unternehmen, die aus der EU übermittelte Daten verarbeiten, müssen über eine gültige Zertifizierung nach dem EU-U.S. Data Privacy Framework verfügen. Dazu gehört eine Selbstzertifizierung der Unternehmen, in der sich zur Einhaltung des Abkommens gegenüber dem US-Handelsministerium verpflichten.

Die Frage stellt sich für mich, inwieweit sich das neue Abkommen auf die Verwendung von Microsoft-Produkten, insbesondere aus der Cloud durch europäische Nutzer auswirkt.

In einem eigenen Blogartikel vom 25. Mai 2022 schreib Microsoft

„Microsoft ist bestrebt, das neue Rahmenwerk anzunehmen und wird darüber hinausgehen, indem es alle in diesem Rahmenwerk für Unternehmen festgelegten Anforderungen erfüllt oder übertrifft. Wir werden dies erreichen, indem wir die Art und Weise verbessern, wie wir rechtliche Anfragen nach Kundendaten bearbeiten, und Einzelpersonen, die sich um ihre Rechte sorgen, weitere Unterstützung bieten.“

Der Konzern sieht zwei Schritte an, um das Datenschutzabkommen zu unterstützen:

„Zunächst wird Microsoft bestätigen, dass jede Anfrage der US-Regierung nach personenbezogenen Daten dem neu angekündigten Trans-Atlantic Data Privacy and Security Framework entspricht. Wenn wir glauben, dass die Forderung nicht konform ist, werden wir alle rechtmäßigen Mittel nutzen, um sie anzufechten.

Zweitens wird Microsoft den Wiedergutmachungsprozess im Rahmen der neuen Vereinbarung unterstützen, indem wir unsere gesamten rechtlichen Ressourcen einsetzen und versuchen, aktiv an der gerichtlichen Prüfung des Schadensersatzanspruchs einer Einzelperson im Zusammenhang mit den öffentlichen und kommerziellen Cloud-Diensten von Microsoft teilzunehmen.“

Microsoft wird demnach – basierend auf den rechtlichen Grundlagen – jede unrechtmäßige staatliche Forderung nach personenbezogenen Daten, die man im Namen der öffentlichen und gewerblichen Kunden speichert, anfechten und für den Fall, dass eine behördliche Anfrage und Offenlegung unrechtmäßig erfolgt ist, bei der Einforderung einer finanziellen Entschädigung helfen.

Übrigens: Wen es interessiert, der kann hier den genauen Text des EU-U.S. Data Privacy Framework nachlesen.