Wir haben in den vergangenen Monaten mehrfach über das Thema Microsoft und Datenschutz berichtet. Immer wieder wurde dabei auch eine sog. EU-Datengrenze genannt. Nun ist es endlich so weit mit dieser Datengrenze, zumindest, wenn man einem Blogartikel von Microsoft glauben darf. Darin kündigt der Konzern die schrittweise Einführung der EU-Datengrenze für den öffentlichen Sektor und gewerbliche Kunden in der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA) ab 1. Januar 2023 an.
Beiträge
Dass Microsoft viel Wert auf Datenschutz legt, ist bereits seit Längerem bekannt. Auch wir haben darüber mehrfach berichtet. Im vergangenen Jahr errichtete der Konzern eine EU-Datengrenze für seine Clouddienste. Alle europäischen Kunden von Azure, Dynamics und Microsoft 365 sollen sich darauf verlassen können, dass ihre Daten auch wirklich in der EU bleiben.
Neu ist, dass die DSGVO-konforme und nachweislich sichere Datenspeicherung in deutschen Rechenzentren offiziell zugesichert wird – und zwar u.a. für alle Microsoft 365 Pläne. Dazu findet man auf der Webseite, die die Pläne vergleicht, folgenden Hinweis:
Klickt man auf den Link “Mehr erfahren”, wird man auf diese Seite zu Datenschutz und Sicherheit mit Microsoft 365 weitergeleitet.
Dort ist zu lesen:
Die Sicherheit Ihrer Geschäftsdaten steht im Mittelpunkt unserer Bemühungen. Unsere Microsoft 365 Angebote entsprechen geltendem Recht, insbesondere der DSGVO. Die Geschäftsdaten von Unternehmenskunden mit Sitz in Deutschland werden in deutschen Rechenzentren gespeichert.
Unsere Verpflichtung zur Einhaltung der DSGVO
Wir haben bei unseren Cloud Angeboten die DSGVO umgesetzt und bieten hinreichend Garantien für die technischen und organisatorischen Maßnahmen, um den DSGVO-Anforderungen als Auftragsverarbeiter zu genügen. Wir gehen mit den Online Services Nutzungsbedingungen umfassende vertragliche Verpflichtungen gegenüber unseren Kunden ein. Auch die EU-Standardvertragsklauseln sind ein Teil davon. Diese Nutzungsbedingungen stellen die von der DSGVO gemäß Artikel 28 geforderte Auftragsverarbeitungsvereinbarung dar. Darin ist u.a. geregelt, dass wir Kundendaten nur zur Bereitstellung der vereinbarten Dienste und zu Zwecken, die damit vereinbar sind, verwenden. Wir verwenden Kundendaten nicht für Werbezwecke und leiten keine entsprechenden Informationen daraus ab. All diese Vereinbarungen gelten nicht nur für Kunden in der EU, sondern weltweit, da wir Datenschutz als fundamentales Menschenrecht ansehen.
Mit diesem Statement unterwirft sich Microsoft nun ganz offiziell der europäischen Datenschutz-Grundverordnung.
Wichtig ist neben der Verpflichtung zur Einhaltung der DSGVO auch die Tatsache, dass alle Clouddienste aus deutschen Rechenzentren kommen.
Microsoft beschreibt das so:
Kunden, die sich für Clouddienste von Microsoft entscheiden, erhalten hoch flexible, integrierte und sichere Lösungen zu einem attraktiven Preis. Ihre Daten sind in der Cloud gut aufgehoben und geschützt. Ihre Geschäftsdaten werden in Deutschland gespeichert – nachweislich sicher und zuverlässig.
Das Thema Datenschutz hat uns bereits mehrfach beschäftigt, weil auch Microsoft als US-Konzern zu denjenigen Anbietern gehört, die von den EU-Datenschützern mächtig unter Druck gesetzt wurden. Zuletzt sorgte das Urteil des Europäische Gerichtshofs (EuGH) von Juli 2020, in dem die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt wurde, für hohe Wellen.
Schon vergangenes Jahr gab sich Microsoft selbstbewusst, was die Konformität der Microsoft-Clouddienste mit den europäischen Datenschutzregeln betrifft. Man beteuerte stets, alle diese Regeln zu erfüllen. Nun geht der Konzern doch noch einen Schritt weiter und errichtet eine EU-Datengrenze für seine Clouddienste. Alle europäischen Kunden von Azure, Dynamics und Microsoft 365 sollen sich darauf verlassen können, dass ihre Daten auch wirklich in der EU bleiben. Bis Ende 2022 soll der Plan in die Tat umgesetzt sein.
Vor wenigen Wochen veröffentlichte man dieses Statement:
Wir haben heute ein wichtiges Versprechen für unsere Kunden in Europa gegeben. Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. In anderen Worten: Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen. Diese Zusage gilt für alle zentralen Cloud-Dienste von Microsoft – Azure, Microsoft 365 und Dynamics 365. Mit dieser Maßnahme gehen wir über unsere bestehenden Zusagen bei der Datenspeicherung hinaus. Wir sprechen von einer „EU Data Boundary for the Microsoft Cloud“, einer EU-Datengrenze für unsere Cloud-Lösungen.
Während der Umsetzung dieses ehrgeizigen Plans möchte man eng mit Kunden und Datenschützern zusammenarbeiten. So will man verhindern, dass es danach erneut Beschwerden gibt.
Microsoft habe bereits mit den technischen Vorbereitungen begonnen, damit die zentralen Cloud-Services so schnell, wie möglich sämtliche personenbezogenen Daten der Unternehmenskunden und Kunden der öffentlichen Hand nur noch in der EU speichern und verarbeiten können, wenn diese wünschen. Diese Änderungen umfassen alle personenbezogenen Daten in Diagnosedaten sowie in Daten, die von unseren Services automatisch generiert werden. Eingeschlossen sind auch personenbezogene Daten, die wir zur Bereitstellung von technischem Support verwenden.
Um die EU-Datengrenze für die Microsoft-Cloud aufzubauen, werde Microsoft der Meldung nach nochmals erhebliche Investitionen in eine europäische Rechenzentrums-Infrastruktur tätigen. Dazu werden neben bereits vorhandenen Rechenzentren weitere aufgebaut. Am Ende wird es Rechenzentren in diesen 13 EU-Ländern geben: Deutschland, Österreich, Frankreich, Dänemark, Griechenland, Irland, Italien, die Niederlande, Norwegen, Polen, Spanien, Schweden und die Schweiz.
Das gesamte Statement können Sie hier lesen.
Das Urteil des Europäische Gerichtshofs (EuGH) von Juli 2020 (Rechtssache C-311/18), in dem die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt wurde, hat große Wellen geschlagen. Sehr viele Nutzer fragen sich seitdem, ob sie Produkte von amerikanischen Herstellern wie z.B. Microsoft bedenkenlos weiternutzen können.
Wir hatten in unserem Blog im September 2020 einige Lösungsmöglichkeiten vorgestellt.
Weil Fragen rund um Datenschutz auch immer wieder in unseren Schulungen und Seminaren zu Microsoft-Produkten wie Teams und Microsoft 365 gestellt werden, möchten wir an dieser Stelle noch einmal auf die Maßnahmen eingehen, die der Konzern im Nachgang zu dem EuGH-Urteil und zu den Handlungsempfehlungen des Europäischen Datenschutzausschusses (EDSA) vom 11. November 2020 ergriffen hat.
Der EDSA stellte in seinen Handlungsempfehlungen nicht nur zusätzliche technische und organisatorische Maßnahmen vor, sondern auch mögliche vertragliche Vereinbarungen. Die möglichen Maßnahmen reichen von wirksamen Verschlüsselungen über eine vertragliche Verstärkung der Betroffenenrechte bis hin zu konzerninternen Richtlinien und der Aufstellung von Spezialistenteams, welche mögliche Behördenzugriffe auf dem Rechtsweg verhindern sollen. Dies hat Microsoft mit einer vertraglichen Verpflichtung umgesetzt.
Bereits im November 2020 kündigte das Unternehmen in einer offiziellen Verlautbarung “neue Schutzmaßnahmen für Kunden an, die ihre Daten aus der Europäischen Union transferieren müssen”. Diese Schutzmaßnahmen beinhalten die vertragliche Verpflichtung, Anfragen von staatlichen Stellen nach Kundendaten anzufechten, sowie eine finanzielle Verpflichtung, um deren Überzeugung in dieser Sache zu unterstreichen. Microsoft war damit das erste Unternehmen, das mit diesen Verpflichtungen auf die EDSA-Handlungsempfehlungen reagiert hatte.
Konkret erklärt das US-Unternehmen (Zitat):
- Erstens verpflichten wir uns, dass wir jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten unserer Unternehmenskunden oder unserer Kunden aus dem öffentlichen Sektor anfechten werden, wenn es dafür eine rechtliche Grundlage gibt. Diese umfassende Verpflichtung geht über die vorgeschlagenen Empfehlungen des Europäischen Datenschutzausschusses hinaus.
- Zweitens werden wir die Nutzer*innen unserer Kunden finanziell entschädigen, wenn wir ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen müssen. Diese Verpflichtung geht ebenfalls über die Empfehlungen des Europäischen Datenschutzausschusses hinaus. Damit zeigen wir unsere Zuversicht, dass wir die Daten unserer Unternehmenskunden und unserer Kunden aus dem öffentlichen Sektor schützen können und sie keiner unangemessenen Offenlegung aussetzen werden.
Die gesamte Presseerklärung können Sie hier nachlesen.
Kurze Zeit später kündigte Microsoft unter dem Begriff „Information Protection“ eine Sammlung an Datenschutzlösungen an, die einen sicheren Umgang mit sensiblen Informationen und die Einhaltung von Compliance-Anforderungen unterstützen.
Ein wichtiger Bereich bei den Datenschutzfunktionen ist die Klassifizierung und Auszeichnung (Labeling) von Dokumenten. Hierzu gehören auch Sensitivity Labels (deutsch Vertraulichkeitsbezeichnungen).
Mit Vertraulichkeitsbezeichnungen können Sie die Daten Ihrer Organisation klassifizieren und schützen und gleichzeitig sicherstellen, dass Produktivität und Zusammenarbeit der Benutzer nicht beeinträchtigt werden.
Dazu legen die Administratoren Ihrer Organisation eine Klassifizierungstaxonomie für unterschiedliche Vertraulichkeitsstufen von Inhalten an. Dazu eigenen sich allgemeine Namen oder Ausdrücke, die für Ihre Benutzer leicht verständlich sind. Wenn Sie noch nicht über eine festgelegte Taxonomie verfügen, können Sie mit Bezeichnungen wie “Privat”, “Öffentlich”, “Allgemein”, “Vertraulich” und “Hoch vertraulich” beginnen.
Eine detaillierte Einführung in das Thema Vertraulichkeitsbezeichnungen würde an dieser Stelle zu weit führen.
Wir empfehlen hierzu die Internetseite https://docs.microsoft.com/de-de/microsoft-365/compliance/sensitivity-labels?view=o365-worldwide
Erste Schritte mit Vertraulichkeitsbezeichnungen finden Sie unter https://docs.microsoft.com/de-de/microsoft-365/compliance/get-started-with-sensitivity-labels?view=o365-worldwide
Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinie finden Sie unter https://docs.microsoft.com/de-de/microsoft-365/compliance/create-sensitivity-labels?view=o365-worldwide
Wenn die Vertraulichkeitsbezeichnungen zentral eingerichtet sind, können Anwender in Ihrer Organisation für jedes Dokument die Vertraulichkeitsstufe gemäß Ihrer Taxonomie festlegen. Dies gilt auch für E-Mails in Outlook.
Nachdem eine Vertraulichkeitsbezeichnung auf eine E-Mail oder ein Dokument angewendet wurde, werden alle konfigurierten Schutzeinstellungen für diese Bezeichnung auf den Inhalt erzwungen.
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil im Juli 2020 (Rechtssache C-311/18) die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. Die Richter meinten, dass dieses “Datenschutzschild” nicht (mehr) ausreicht, um personenbezogene Daten rechtskonform in die USA zu übertragen. Eine Alternative ist bislang nicht in Sicht. Das Urteil hat weitreichende Folgen für alle Unternehmen und andere Anbieter, die personenbezogene Daten aus der EU in Drittstaaten wie die USA übertragen.
Betroffen hiervon sind nicht nur die Nutzer verschiedener Social-Media-Plattformen wie Facebook, Twitter und Instagram, sondern auch Nutzer der Cloud-Anbieter wie Microsoft, Amazon und Google sowie Webseitenbetreiber, die entsprechende Daten in die USA oder ein anderes unsicheres Drittland weiterreichen. Deutsche Unternehmen finden sich plötzlich in einer rechtlich schwierigen Lage wieder und müssen nun unmittelbar tätig werden.
Was ist zu empfehlen?
Als Erstes empfehlen die Juristen und Datenschutzexperten, alle Hinweise auf das Privacy Shield aus Ihren Datenschutzerklärungen entfernen. Diese Hinweise berufen sich auf eine Vereinbarung, die für ungültig erklärt wurde.
Dann sind folgende Punkte zu prüfen:
- Klären Sie zuerst, ob Sie überhaupt personenbezogene Daten in die USA (oder ein anderes Drittland) übertragen. Diese Frage ist beispielsweise von all denjenigen zu bejahen, die eine Facebook-Seite, ein Twitter- oder Instagram-Profil oder einen YouTube-Kanal betreiben, Clouddienste wie Amazon Web Services (AWS), Dropbox, Google Cloud, Microsoft OneDrive und Office 365 nutzen oder eine Webseite bei wordpress.com betreiben.
- Falls Sie personenbezogene Daten in die USA (oder ein anderes Drittland) übertragen, lassen Sie durch einen Juristen und Datenschutzexperten klären, ob der 49 der DSGVO (Ausnahmen für bestimmte Fälle) für Ihren Fall eine Lösung darstellen kann, zumindest so lange, bis es wieder eine rechtsgültige EU-Richtlinie gibt.
- Prüfen Sie, ob bereits sog. Standardvertragsklauseln mit den einzelnen Anbietern vorliegen oder ob Sie solche individuell abschließen können.
Sollten US-Unternehmen wie Microsoft, Google oder Facebook solche Standardvertragsklauseln bereits anbieten, können Sie sich darauf berufen, dass diese konkret vereinbarten Standardvertragsklauseln noch in Kraft sind, bis ein Gericht sie für unwirksam erklärt. Sie müssen aber mit jedem einzelnen Anbieter abklären, ob er eine solche Standardvertragsklausel anbietet oder abschließt.Die Lösung über die Standardvertragsklauseln ist allerdings zum jetzigen Zeitpunkt unsicher und eher eine Übergangslösung. Denn der EuGH fordert, dass solche Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittländer dienen können, wenn das Datenschutzniveau auch tatsächlich gewahrt wird. Und das ist in jeder Hinsicht sehr fraglich.
Was Sie sonst tun können
- Bei Anbietern den Datenschutz abfragen
Einige Juristen empfehlen, den US-Unternehmen, deren Dienste Sie nutzen, diesen Fragebogenzukommen zu lassen. Damit wird überprüft, inwieweit die diese Unternehmen zumindest bestätigen, die europäischen Datenschutzanforderungen zu erfüllen. Wenn Sie irgendwann in die Verpflichtung eines Nachweises kommen, dann können Sie im Falle einer Bejahung der Fragen zumindest nachweisen, dass Sie aktiv auf die Unwirksamkeit des Privacy Shields reagiert zu haben. - Nach europäischen Servern fragen
Viele Anbieter, wie z. B. Amazon, Google oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden. Ob dennoch personenbezogene Daten über den Atlantik wandern ist ungewiss, aber zu vermuten. Diese Vorgehensweise ist zumindest etwas sicherer. - Keine US-Dienstleister einsetzen
Setzen Sie keine Dienstleister ein, die Daten in den USA verarbeiten. Das ist oft leichter gesagt als getan. Alternativen zu Facebook, Instagram & Co. gibt es nicht. Hier kann man nur ganz aussteigen. Im Bereich Newsletter- und E-Mail Marketing gibt es deutsche Anbieter. Bei der Nutzung von Office-Software wird die Sache ebenfalls schwierig.
Was sagt Microsoft?
In einer Stellungnahme von Microsoft vom 20. Juli 2020 stellt der Konzern klar: „Gewerbliche Kunden können unsere Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen. Das Urteil des EuGH nimmt ihnen nicht die Möglichkeit, heute Daten zwischen der EU und den USA über die Microsoft Cloud zu übertragen.
„Wir bieten unseren Kunden bereits seit einigen Jahren überlappende Schutzmaßnahmen für den Datentransfer in Drittstaaten an, sowohl mit dem Abschluss der Standardvertragsklauseln (Standard Contractual Clauses, SCC) als auch mit dem EU-US-Privacy-Shield. Auch wenn mit der Entscheidung des EuGH die weitere Verwendung des Privacy Shield für ungültig erklärt wurde, bleiben die SCC weiterhin gültig. Unsere gewerblichen Kunden sind bereits durch die SCC geschützt.“
Microsoft habe seine vorhandenen Standardvertragsklauseln der Artikel-29-Datenschutzgruppe der EU zur Prüfung und Genehmigung vorgelegt. Die Artikel-29-Datenschutzgruppe hat demnach festgestellt, dass die Implementierung der Bestimmungen in den Vereinbarungen von Microsoft ihre strengen Anforderungen erfüllt. Microsoft erhielt als erster Clouddienstanbieter ein Bestätigungs- und Genehmigungsschreiben seitens der Datenschutzgruppe. Die Genehmigung bezog sich auf die in den Standardvertragsklauseln 2010/87/EU dargelegten Vereinbarungen, jedoch nicht auf die Anhänge, die die Übertragung von Daten und die vom Datenimporteur implementierten Sicherheitsmaßnahmen beschreiben. Die Anhänge können von der Datenschutzbehörde separat analysiert werden.
Weitere Infos zu den Microsoft-Standardvertragsklauseln stehen unter https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-eu-model-clauses?view=o365-worldwide zur Verfügung.
Fazit
Die Ausgangslage ist einerseits klar und deutlich, anderseits auch rechtlich schwierig. Durch das Urteil des EuGH sind im Grunde fast alle US-Anbieter für deutsche und europäische Unternehmen tabu. Denn die amerikanischen Datenschutzbestimmungen sind keinesfalls ausreichend für die europäischen Behörden. Da man von heute auf morgen aber nicht erwarten kann, dass alle europäischen Unternehmen auf europäische Anbieter wechseln (die oft gar nicht gibt), sind Übergangslösungen wie zuvor beschrieben sinnvoll. Was in Zukunft passiert, weiß niemand. So sehr sich die US-Unternehmen auch anstrengen, solange die Regierung und die Behörden nicht ein grundsätzliches Umdenken einläuten, haben wir in Europa das Nachsehen.
Anmerkung: Dieser Artikel ist keine Rechtsberatung und auch nicht als solche zu verstehen. Es handelt sich um eine Zusammenstellung von Hinweisen und Ratschlägen erfahrener Juristen.