Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

DSGVO-Gazette #25: US-Datentransfer mit Microsoft 365 - das sind die rechtlich erlaubten Optionen

Liebe Leserinnen und liebe Leser,

gerne informiere ich Sie zu dem aktuellen Stand der Datenschutzkonformität von Microsoft-Diensten in Wirtschaft und Verwaltung. Stand dieser Informationen ist der 9. Oktober 2022

Management Summary

Den drei bekannten Kritikpunkten,

  • dass Microsoft Daten in die USA beim Einsatz von Clouddiensten übermittelt,
  • dass hierfür keine Rechtsgrundlage vorhanden ist und
  • das Telemetriedaten intransparent verarbeitet werden,

haben sich Microsoft und die EU-Kommission gestellt. Für alle drei Kritikpunkte sind rechtliche Lösungen vorhanden wie das

neue Data Processing Agreement von Microsoft für den Punkt „Telemetriedaten“, EU-Standardvertragsklauseln der EU-Kommission und zusätzliche Garantien durch Microsoft für den Punkt Datenübermittlung respektive Rechtsgrundlage der Datenübermittlung. Ferner in Aussicht gestellt wurde ein neuer Angemessenheitsbeschluss der EU-Kommission als Rechtsnachfolger des Privacy Shield respektive als „doppelten Boden“ dazu die EU Data Boundary-Initiative von Microsoft. Somit wird die Rechtskonformität der Verarbeitung personenbezogener Daten durch die oben genannten Kritikpunkten nicht mehr beeinflusst werden können.

Dieses Fazit ziehen zu können, ist vor dem Hintergrund einer in der öffentlichen Meinung und den Online-Medien vorherrschenden Desinformation ohne tiefgreifendes Wissen im Datenschutzrecht nicht möglich. Auch wird die Kritik an US-amerikanischen (Cloud-)Diensten sicherlich nicht durch einen neuen Angemessenheitsbeschluss plötzlich abbrechen[0]. Die Kunst ist es, deren Koexistenz und Meinung in einer freiheitlich demokratischen Grundordnung zu akzeptieren.

Hintergrund/Historie

In den Monaten nach dem Schrems II Urteil (Rechtssache C 311/18, EuGH), welches im Wesentlichen den Angemessenheitsbeschluss der EU-Kommission als eine Rechtsgrundlage zur Übermittlung von Daten in die USA aufhob (Privacy Shield), war die Verunsicherung in Wirtschaft und Verwaltung groß, US-amerikanische Clouddienste zur Datenverarbeitung zu nutzen. Im Speziellen die Nutzung von Microsoft-Diensten wurde dabei überstrapazierend thematisiert.

Wesentliche Argumente der Kritiker des Einsatzes waren:

  1. Die Übermittlung von Daten in die USA beim Einsatz von Microsoft-Clouddiensten
  2. Eine fehlende Rechtsgrundlage zur Datenübermittlung in die USA
  3. Eine intransparente Verarbeitung von Telemetriedaten

Die Kritikpunkte I. und II. sind dabei miteinander verknüpft. Denn erst wenn eine Übermittlung stattfindet, muss eine Rechtsgrundlage vorhanden sein. Der dritte Kritikpunkt – die intransparente Verarbeitung von Telemetriedaten – wurde zeitlich gesehen bereits vor Schrems II adressiert. Aufgrund einer möglicherweise „besseren Argumentation“ mit Hilfe von Schrems II wurde dieser Kritikpunkt erst im zweiten Quartal 2022 wieder vorgetragen – möglicherweise weil die Lösung von „Schrems II“ in Sichtweite geriet. Jedoch auch diesem letzten Kritikpunkt hat sich Microsoft gestellt und eine passende Antwort geliefert.

Status Quo

Der Kritikpunkt der „intransparenten Verarbeitung von Telemetriedaten“ wurde im Jahr 2018 ausgelöst durch eine datenschutzrechtliche Bewertung des Niederländischen Ministerium für Justiz und Sicherheit. Auch wenn die Kritik der niederländischen Nachbarn mittlerweile (seit dem Jahr 2019) verstummt ist, blieb dieser Kritikpunkt weiterhin auf der Agenda der deutschen Datenschützer.

Microsoft hat (abrufbar unter https://aka.ms/dpa) am 15.09.2022 mit dem neuen Microsoft Products and Services Data Protection Addendum (DPA) eine passende Antwort veröffentlicht. Dieses neue DPA zeigt nun detailliert und transparent die Verarbeitung von Diagnosedaten aka „Telemetriedaten“ auf. In diesem überarbeiteten DPA verpflichtet sich Microsoft ebenfalls die Telemetriedaten ausschließlich zu den eindeutig beschriebenen Verarbeitungszwecken zu verarbeiten.

Diese „Mischung“ aus Transparenz und rechtlicher Sicherheit räumt mit allen Vermutungen auf, für welche Zwecke Datenverbindungen aufgebaut und Daten übermittelt werden könnten. Ein zusätzliches, wichtiges Detail ist auch, dass Telemetriedaten/Diagnosedaten als „non-personal“[1] deklariert sind. Damit fällt die nachgelagerte, nicht-personenbezogene Verarbeitung von Daten nach Art. 2 Abs. 1 DSGVO nicht unter die EU-Datenschutz-Grundverordnung.

Dem (zweitgenannten) Kritikpunkt der fehlenden Rechtsgrundlage zur Übermittlung von Daten in die USA begegnete die EU-Kommission im Juni 2021 mit neuen EU-Standardvertragsklauseln, welche in Kombination mit sogenannten zusätzlichen Garantien und mit Hilfe einer Datenübermittlungs-Folgenabschätzung (Transfer-Impact-Assessment, TIA) rechtssicher begegnet werden kann. Diese – explizit von Landesdatenschutzbehörden (allem voran durch den LfDI in Baden-Württemberg[2]) empfohlene – TIA-Option wurde jedoch nur selten von Verantwortlichen für die Datenverarbeitung in Betracht gezogen, da sie mit einem hohen Arbeits- und Dokumentationsaufwand verbunden war.

Letztlich war allen Beteiligten (Datenschutzbehörden, EU-Kommission, Wirtschaft und Verwaltung) klar, dass nur eine Nachfolgeregelung zum Privacy Shield die letzten ernstzunehmenden Zweifel an einer Datenschutzkonformität beim Einsatz von US-Clouddiensten aus der Welt schaffen kann. Die dazu notwendigen Verhandlungen zwischen der EU-Kommission und dem US Department of Commerce, um das sogenannte EU-U.S. Data Privacy Framework abzuschließen, wurden mit der Veröffentlichung der Executive Order von US-Präsident Joe Biden öffentlichkeitswirksam zum Abschluss gebracht[3].

Microsoft jedoch ging weiter und verlässt sich nicht auf das geplante „EU-U.S. Data Privacy Framework“. Sie haben mit ihrer eigenen Initiative „EU Data Boundary“ im Jahr 2021 die vollständige Verarbeitung von Daten innerhalb der Europäischen Union[4] für das Ende des Jahres 2022 in Aussicht gestellt. Dies zahlt wiederum auf die Lösung des erstgenannten Kritikpunkts ein.

Ausblick

Nach der Executive Order arbeitet die Europäische Kommission nun gemäß Art. 45 DSGVO an einem Angemessenheitsbeschluss, welcher als Rechtsgrundlage für die Übermittlung von Daten in Drittstaaten genutzt werden kann.

Zu beachten ist jedoch, dass auch jetzt schon - ohne diesen Angemessenheitsbeschluss - mit Hilfe eines Transfer-Impact-Assessments in Verbindung mit den neuen EU-Standardvertragsklauseln und zusätzlichen Garantien eine Datenverarbeitung mit Hilfe von Microsoft-Clouddiensten rechtsicher möglich ist.

Die Einführung des EU Data Boundary kann in diesem Kontext auch rechtlich als Teil von „zusätzlichen Garantien“ gewertet werden, die das Risiko für die Rechte und Freiheiten von Betroffenen faktisch auf ein kaum noch messbares Niveau senken.

Ohne Risiko für die Rechte und Freiheiten von Betroffenen ist eine Datenverarbeitung mit Hilfe von US-Clouddiensten in Wirtschaft und Verwaltung erlaubt – zumindest auch wenn die Anforderungen der DSGVO erfüllt werden, die unabhängig von Schrems II, Microsoft und USA sowieso. Mein persönlicher Wunsch wäre es, wenn genau diese essentiellen Datenschutzaspekte zukünftig mehr in den Fokus gerückt werden. Meiner persönlichen Einschätzung nach lauern genau hier wesentlich höhere Risiken für die Rechte und Freiheiten der Betroffenen als in den aufgezeichneten Szenarien der letzten Jahren.

Viele Grüße aus der Kaiserstadt Aachen

Ingo Goblirsch

 

[0] https://www.faz.net/aktuell/wirtschaft/endlose-seifenoper-18410970.html

[1] Diese „non-personal data“ werden übrigens aus „pseudonymisierten Daten“ aggregiert. Dies zeigt einmal mehr, dass der Grundsatz der Datenminimierung an dieser Stelle beachtet wird.

[2] https://www.baden-wuerttemberg.datenschutz.de/was-jetzt-in-sachen-internationaler-datentransfer-aktualisierte-handreichung/

[3] https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045

[4] https://blogs.microsoft.com/eupolicy/2021/12/16/eu-data-boundary-for-the-microsoft-cloud-a-progress-report/

 

Ingo Goblirsch, LL.M.
Datenschutz & Informationssicherheit

Externer Datenschutzbeauftragter
EuroPriSe Certified European Privacy Expert (technical, legal) // CEPE LT

Photo by Dell on Unsplash. Thank you!