Das “European Union-U.S. Data Privacy Framework“ und seine Bedeutung für Ihren Einsatz von Microsoft-Produkten

Die Verwendung von IT-Produkten wie beispielsweise Microsoft’s Office 365 birgt für jedes Unternehmen in Güstrow, der Mecklenburgischen Schweiz oder Bad Doberan ein erhebliches Datenschutzrisiko. Gemäß den Vorgaben der Datenschutz-Grundverordnung (DSGVO) ist eine Datenübermittlung in Drittländer nur dann zulässig, wenn sie den entsprechenden Anforderungen entspricht. Da cloudbasierte Plattformen wie Microsoft’s Office 365 Daten mit Servern in den USA austauschen, ist es unerlässlich, dass jedes Unternehmen und jede Einrichtung in Güstrow, der Mecklenburgischen Schweiz oder Bad Doberan die Konformität der Datenschutzbestimmungen bei der Nutzung solcher Produkte gewährleistet und nachweist.

Datenschutzrechtliche Rahmenabkommen zwischen den USA und der EU wie „Safe Harbor“ oder das so genannte „Privacy Shield“ aus dem Jahr 2020 sollten in der Vergangenheit den internationalen Datenaustausch für die Datenexporteure rechtlich absichern, wurden vom Europäischen Gerichtshof jedoch vor allem auf Grund

weitreichender Befugnisse für US-Sicherheitsbehörden, auf personenbezogene Daten zuzugreifen, für ungültig erklärt.

Seit einigen Monaten gibt es nun ein neues Datenschutz-Abkommen zwischen der EU und den USA, das so genannte “European Union-U.S. Data Privacy Framework“. Es bietet laut EU-Kommission ein ausreichendes Schutzniveau für personenbezogene Daten, die in die USA übertragen werden.

Das neue Datenschutzabkommen zwischen der EU und den USA beinhaltet sogenannte “neue verbindliche Garantien”, die unter anderem den Zugriff von US-Geheimdiensten auf aus der EU übermittelten Daten einschränken. Die EU als Verhandlungspartner für das Abkommen wollte mit diesen Garantien den Bedenken des Europäischen Gerichtshof gerecht zu werden.

Als Experten im Bereich Datenschutz können wir jedoch leider keine Entwarnung geben: Auch unter Berücksichtigung dieses neuen Abkommens bleibt der Einsatz von M365 in Ihrem Unternehmen in Güstrow, der Mecklenburgischen Schweiz oder Bad Doberan problematisch. Dies lässt sich im Wesentlichen auf die folgenden zwei Gründe zurückführen:

1. Zwei-Stufen-Prüfung

Die Problematik der Übermittlung personenbezogener Daten in ein Drittland, welche durch das gegenwärtige Abkommen datenschutzrechtlich abgesichert werden sollte, bildet den letzten Schritt eines zweistufigen Prozesses. In der Datenschutz-Grundverordnung (DSGVO) sind die Drittlandsübermittlungen thematisch nachrangig in Kapitel 5 geregelt, während die ersten 43 Artikel der DSGVO vorrangig wirksam sind. Diese Artikel sind entscheidend für den grundsätzlich datenschutzkonformen Einsatz von M365 Anwendungen. Es ist von großer Bedeutung, die Anforderungen dieser maßgeblichen Artikel zu erfüllen, um die Sicherheit und Integrität der personenbezogenen Daten zu gewährleisten.

2. Rechtlicher Bestand des neuen Abkommens ist zweifelhaft

Leider handelt es sich bei dem vermeintlich “neuen” transatlantischen Datenschutzabkommen größtenteils um eine modifizierte Version des früheren, erfolglosen “Privacy Shield”-Abkommens. Wie schon beim EU-US Privacy Shield, führt das US-Handelsministerium eine Liste von amerikanischen Unternehmen, die sich selbst gegenüber dem Ministerium als datenschutz-konform zertifizieren können. Wenn ein Unternehmen nicht auf dieser Liste steht, findet der Angemessenheitsbeschluss keine Anwendung.

Erste deutsche Datenschutzaufsichtsbehörden (z.B. Hessen) haben sich bereits kritisch zum neuen Abkommen geäußert. Und der österreichische Jurist und Datenschutzaktivist Max Schrems, der durch seine Klagen bereits das EU-US Privacy Shield zu Fall brachte, hat schon eine Klage gegen das neue Data Privacy Framework angekündigt.

Wir raten Ihrem Unternehmen in Güstrow, der Mecklenburgischen Schweiz oder Bad Doberan daher dringend, (weiterhin) die datenschutzkonforme Nutzung von Produkten wie Microsoft 365 nachzuweisen.

Bei der Einführung der dafür erforderlichen technischen und organisatoschen Datenschutzmaßnahmen sowie deren ordnungsgemäßen Protokollierung unterstützen Sie unsere erfahrenen Datenschutz-Experten im Landkreis Rostock gerne.