Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Datenübermittlung in Drittstaaten: Microsoft veröffentlicht Addendum zu den SCC – vorsichtig positive Reaktion des LfDI Baden-Württemberg

Der Kollege Stephan Hansen-Oest beschrieb die derzeitlich vorfindliche Sach- und Rechtslage in Sachen „Datenübermittlung in unsichere Drittstaaten“ in seinem letzten Newsletter sehr treffend mit „Drittlands-Frust“. Dem ist nichts hinzuzufügen. Oder wäre es eigentlich doch. Jede Menge sogar. Aber die Zeit habe ich heute nicht. Deswegen nur ganz kurz ein paar postive Nachrichten im Hinblick auf einen Einzelfall. Aber positive Nachrichten tun uns wohl alle derzeit ganz gut.

[Wir sind aber gerade dabei die ganze Drittstaaten-Transfer-Problematik etwas vertiefter für den Blog aufzubereiten!]

Microsoft veröffentlich „Additional Safeguards Addendum to Standard Contractual Clauses“

Und das sind gute Nachrichten. Warum? Weil  der EuGH in Schrems II – sehr verkürzt dargestellt – geurteilt hat, dass der Angemessenheitsbeschluss der EU-Kommission bezüglich Datenübermittlungen in die USA (bekannt als „Privacy Shield“) nichts taugt, damit als unwirksam zu betrachten ist und dass Datenübermittlungen in die USA anderweitiger Maßnahmen und Garantien bräuchten.

Welche das genau sein sollten, dazu sagte der EuGH natürlich nichts. Das ist auch nicht seine Aufgabe. Auch die jüngsten Empfehlungen des European Data Protection Boards (EDPB) zu Drittstaatentransfers helfen da leider nicht weiter. Eher im Gegenteil.

Und so ist es dann doch erfreulich, dass Microsoft von sich aus eine vom EuGH gefordete Maßnahme getroffen hat, um damit die Rechte von Betroffenen zu stärken, das: Additional Safeguards Addendum to Standard Contractual Clauses. Diese Ergänzung enthält im Kern zwei Zusicherungen :

  • Microsoft verpflichtet sich, bei Anordnungen zur Herausgabe von Daten
    • alle Maßnahmen zu ergreifen, damit der Dritte die Daten unmittelbar bei dem Kunden von Microsoft (d.h. dem Verantwortlichen der Datenverarbeitung) zu erfragen hat (1.(a) des Addendums);
    • den Kunden (d.h. den Verantwortlichen der Datenverarbeitung) unverzüglich zu benachrichtigen bzw. wenn eine solche Benachrichtigung untersagt sein sollte, alle rechtlichen Mittel einzusetzen, um das Verbot anzugreifen und den Kunden sobald als möglich zu informieren. (1.(b) des Addendums)
    • wegen Rechtsmängeln oder Konflikten mit der DSGVO oder dem geltenden Recht der Mitgliedstaaten die Herausgabeanordnungen anzufechten (1. (c) des Addendums)
  • Microsoft gewährt im Falle der Offenlegung von Daten auf Anordnung einer Regierungsstelle oder Strafverfolgungsbehörde
    • den betroffenen Personen einen Anspruch auf materiellen wie immateriellen Schadensersatz der aufgrund dieser Offenlegung entstanden ist. (2. des Addendums).

Nun ja, insbesondere wird der Schadensersatzanspruch natürlich dann wieder noch ein wenig eingeschränkt. Aber insgesamt zwei wertvolle Regelungen, die die Betroffenenrechte im Sinne des EuGH stärken.

Aufsichtsbehörden von Baden-Württemberg, Bayern und Hessen nehmen zwar vorsichtig, aber grundsätzlich positiv Stellung

Der Landesdatenschutzbeauftragte von Baden-Württemberg Dr. Stefan Brink erklärt in seiner Pressemittlung vom heutigen Tag (unter anderem) dazu:

Damit  [mit dem Addendum] sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden [BayLDA, LfDI BaWü und LfDI Hessen], zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde. Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürgerin seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.

Und weiter heißt es:

Noch vor Jahresende wird die Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der Länder und des Bundes, DSK) ihre Gespräche mit Microsoft zum Office-Paket fortsetzen –die nun erzielten Fortschritte versprechen dafür „Rückenwind“.

Summa summarum halte ich das alles für gute Nachrichten. Auch wenn wir hier zunächst einmal nur über einen Einzelfall sprechen. Aber so etwa könnte schließlich Schule machen.

Ach, ich könnte auch noch so viel mehr schreiben. Zum Beispiel, warum es eben keine Lösung ist, zu sagen „Datenübermittlung in Drittstaaten geht so nicht!“, wenn nicht zeitgleich aufgezeigt wird, wie es gehen könnte. Vor allem weil die Parole „Dann müssen die Unternehmen eben US-amerikanischen Anbieter meiden und zu europäische Anbietern wechseln“ schon oft im Leistungsvergleich realitätsfern ist und darüber hinaus auch zahlreiche deutsche oder europäische Anbieter spätestens bei Unter- oder Unterunterauftragnehmern auf Anbieter aus – zumeist – den USA zurückgreifen (müssen) oder der Anbieter mit einmal von einem US-amerikanischen Unternehmen gekauft wird und nun eine US-Mutter hat. All dies soll sogar schon Behörden passiert sein. Hab ich gehört. Okay. Nun ist aber wirklich Schluss. Ich wollte es heute ja kurz halten. Zu all dem ein anderes Mal mehr.

In diesem Sinne,

immer fröhlich weiter machen, irgendwann wird alles gut.

 

1 Response

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.