{"id":237916,"date":"2020-11-21T07:16:00","date_gmt":"2020-11-21T06:16:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237916"},"modified":"2020-11-21T10:37:20","modified_gmt":"2020-11-21T09:37:20","slug":"microsoft-rechtsschutz-fr-datentransfer-in-die-usa","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/21\/microsoft-rechtsschutz-fr-datentransfer-in-die-usa\/","title":{"rendered":"Microsoft: Rechtsschutz f&uuml;r Datentransfer in die USA?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Recht\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" alt=\"Paragraph\" width=\"91\" height=\"88\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/11\/21\/microsofts-new-steps-for-data-protection\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Nach l\u00e4ngeren Verhandlungen mit dem Datenschutzbeauftragten von Baden-W\u00fcrttemberg will Microsoft den Schutz f\u00fcr die Daten, die in die USA \u00fcbertragen werden, f\u00fcr seine europ\u00e4ischen Kunden erh\u00f6hen. Microsoft will sich juristisch gegen Herausgabeverlangen der US-Regierung oder -Justiz zur Wehr setzen. Kleine \u00dcbersicht, um was es geht.<\/p>\n<p><!--more--><\/p>\n<h2>Die Microsoft-Cloud und der Datentransfer in die USA<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/652144f445364db1a5c8e114919247c0\" alt=\"\" width=\"1\" height=\"1\" \/>Kunden der Microsoft Cloud wissen oft nicht, wo ihre Daten wirklich gespeichert werden. Diese verbleiben zwar im Azure-Netzwerk, aber die Server, auf denen sie gespeichert werden, sind nicht immer bekannt. Microsoft hat Anfang November 2020 <a href=\"https:\/\/news.microsoft.com\/de-de\/im-daten-dschungel-wo-speichert-microsoft-eigentlich-meine-daten\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Blog-Beitrag<\/a> mit einigen Erl\u00e4uterungen zu diesem Thema ver\u00f6ffentlicht.\u00a0 Aber Kunden m\u00fcssen oft Daten zwischen verschiedenen L\u00e4ndern \u00fcbertragen &#8211; und da kann es auch sein, dass Daten von Microsoft-365-Kunden in den USA landen.<\/p>\n<p>Es gab zwar ein Datenschutzabkommen \"Privacy Shield\", welches zwischen den USA und der EU geschlossen worden war, um den Datentransfer juristisch abzusegnen. Aber genau dieses Abkommen ist im Sommer 2020 durch den Europ\u00e4ischen Gerichtshof gekippt worden (siehe <a href=\"https:\/\/borncity.com\/blog\/2020\/07\/16\/eugh-kippt-eu-us-datenschutzvereinbarung-privacy-shield\/\">EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>). Der Transfer von Benutzerdaten in die USA ist daher nicht mehr zul\u00e4ssig.<\/p>\n<h2>Microsoft will das Schutzniveau erh\u00f6hen<\/h2>\n<p>In diesem <a href=\"https:\/\/news.microsoft.com\/de-de\/neue-massnahmen-zum-schutz-von-daten\/\" target=\"_blank\" rel=\"noopener noreferrer\">News-Beitrag<\/a> k\u00fcndigt Microsoft an, dass man das erste Unternehmen sei, das auf den Empfehlungsentwurf des Europ\u00e4ischen Datenschutzausschusses mit neuen Verpflichtungen reagiert. Mit den nachfolgend angek\u00fcndigten Schritten, die \u00fcber die gesetzlichen Vorgaben und die Empfehlungen des Europ\u00e4ischen Datenschutzausschusses hinausgehen, will man das Datenschutzniveau erh\u00f6hen. Hier die angek\u00fcndigten Ma\u00dfnahmen.<\/p>\n<ul>\n<li>Erstens verpflichtet Microsoft sich,dass man <u>jede<\/u> Anfrage einer staatlichen Stelle \u2013 egal von welcher Regierung \u2013 nach Daten von Microsoft Unternehmenskunden oder Kunden aus dem \u00f6ffentlichen Sektor anfechten wird, wenn es daf\u00fcr eine rechtliche Grundlage gibt. Diese umfassende Verpflichtung geht \u00fcber die vorgeschlagenen Empfehlungen des Europ\u00e4ischen Datenschutzausschusses hinaus.<\/li>\n<li>Zweitens will Microsoft Nutzer seiner Kunden finanziell entsch\u00e4digen, wenn Microsoft deren Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen m\u00fcssen. Diese Verpflichtung geht ebenfalls \u00fcber die Empfehlungen des Europ\u00e4ischen Datenschutzausschusses hinaus.<\/li>\n<\/ul>\n<p>Damit will Microsoft seine Zuversicht zeigen, dass man die Daten seiner Unternehmenskunden und seiner Kunden aus dem \u00f6ffentlichen Sektor sch\u00fctzen kann und dass diese Daten keiner unangemessenen Offenlegung aussetzen werden. In der Ank\u00fcndigung schreibt Microsoft, dass man keiner staatlichen Stelle direkten, ungehinderten Zugang zu den Daten seiner Kunden gew\u00e4hre. Falls eine Regierung Kundendaten von Microsoft verlangt, muss sie den geltenden rechtlichen Verfahren folgen. Microsoft will den Forderungen nur dann nachkommen, wenn das Unternehmen eindeutig dazu gezwungen wird. Microsofts erster Schritt besteht immer in dem Versuch, solche Anfragen an unsere Kunden weiterzuleiten oder sie dar\u00fcber zu informieren. Wenn Microsoft \u00fcberzeugt ist, dass diese Anfragen nicht legal sind, werden diese routinem\u00e4\u00dfig abgelehnt oder angefochten.<\/p>\n<h2>Eine kurze Bewertung<\/h2>\n<p>F\u00fcr mich liest sich das alles wie ein Feigenblatt 'wir wollen ja, aber ob wir d\u00fcrfen, entscheiden andere'. Die Kollegen von Golem haben beim Datenschutzbeauftragen Baden-W\u00fcrttembergs, Stefan Brink, nachgefragt. Laut <a href=\"https:\/\/www.golem.de\/news\/standardvertragsklauseln-microsoft-schlaegt-neue-regeln-zur-datenverabeitung-vor-2011-152286.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> sieht Brink die juristischen Fragen zum Schrems-II-Urteil zufriedenstellend gekl\u00e4rt. Offen blieben jedoch technische Fragen (der Datentransfer findet ja weiter statt). Brink gibt gegen\u00fcber Golem an, dass man Microsofts Vorschl\u00e4ge noch in der Datenschutzkonferenz von Bund und L\u00e4ndern bewerten werde. Dort erwartet der Datensch\u00fctzer eine kontroverse Diskussion, denn die Gier der US-Geheimdienste und der US-Administration ist ja ungebremst.<\/p>\n<p>Der Landesbeauftragte f\u00fcr Datenschutz von Baden-W\u00fcrttembergs, Stefan Brink, hat zum Thema eine Pressemitteilung mit dem Titel <a href=\"https:\/\/www.baden-wuerttemberg.datenschutz.de\/dsgvowirkt\/\" target=\"_blank\" rel=\"noopener noreferrer\">#DSGVOwirkt: Microsoft passt sich europ\u00e4ischem Datenschutz an<\/a> ver\u00f6ffentlicht. Ich stelle diese nachfolgend einfach mal zur Lekt\u00fcre ein.<\/p>\n<blockquote><p>Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europ\u00e4ischen Gerichtshofs zu Schrems II vom Juli 2020 nur noch sehr eingeschr\u00e4nkt m\u00f6glich, obwohl zahlreiche US- Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind.<\/p>\n<p>Ein Grund daf\u00fcr ist die aus Sicht des EuGHs v\u00f6llig \u00fcberzogene Massen\u00fcberwachung durch US-amerikanische Sicherheitsbeh\u00f6rden, wie die NSA, weswegen Daten von Europ\u00e4ern nur noch unter erg\u00e4nzenden Schutzma\u00dfnahmen in die USA \u00fcbermittelt werden d\u00fcrfen. Der Europ\u00e4ische Datenschutzausschuss hat in der vergangenen Woche erste Handlungsempfehlungen zur Ausgestaltung von Schutzma\u00dfnahmen abgegeben und zu einer Konsultation eingeladen.<\/p>\n<p>Alle Beteiligten und Entscheidungstr\u00e4ger im internationalen Datentransfer sind aufgerufen, rechtlich haltbare L\u00f6sungen auf der Basis geeigneter Schutzma\u00dfnahmen zu finden, die den Belangen des europ\u00e4ischen Datenschutzes hinreichend Rechnung tragen.<\/p>\n<p>Microsoft hat jetzt als einer der zentralen Anbieter global vernetzter IT-Produkte f\u00fcr Unternehmen einige Vorschl\u00e4ge f\u00fcr Garantien gemacht, die unmittelbar die Nutzerrechte st\u00e4rken.<\/p>\n<p>Eine Bewertung dieser Vorschl\u00e4ge wird nun von allen Entscheidungstr\u00e4gern vorgenommen, so auch in den unmittelbar anstehenden Beratungen der Datenschutzkonferenz.<\/p>\n<p>Als Beitrag zu diesen Beratungen bewerten die Datenschutzbeauftragten der L\u00e4nder Baden-W\u00fcrttemberg, Bayern und Hessen diese Anpassung von Microsoft in ihren jeweiligen Stellungnahmen.<\/p>\n<p>LfDI Stefan Brink: \u201eWenn ein datenverarbeitendes Unternehmen k\u00fcnftig auf dem europ\u00e4ischen Markt agieren will, muss es europ\u00e4ische Rechtsstandards erf\u00fcllen, insbesondere die DS-GVO einhalten. Dazu geh\u00f6rt, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbeh\u00f6rden Zugriff auf ihre Daten erlangen. Wir haben im September Unternehmen Empfehlungen zum internationalen Datentransfer gegeben, auch Microsoft. Es ist gut und notwendig, dass das Unternehmen sich nach dem europ\u00e4ischen Datenschutz richtet und seine Vertragsklauseln entsprechend \u00e4ndert. Der Europ\u00e4ischen Gerichtshof hat eindeutig entschieden, dass Datenfl\u00fcsse aus Europa in die USA ohne solche zus\u00e4tzliche Ma\u00dfnahmen nicht mehr zul\u00e4ssig sind.\"<\/p>\n<p>Die neuen Vertragsklauseln von Microsoft enthalten Regelungen \u00fcber<\/p>\n<ul>\n<li>den Anspruch auf Schadensersatz f\u00fcr die betroffene Person, deren Daten unrechtm\u00e4\u00dfig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;<\/li>\n<li>die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbeh\u00f6rden herauszugeben;<\/li>\n<li>die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die beh\u00f6rdliche Anordnung zur Herausgabe der Daten anzufechten.<\/li>\n<\/ul>\n<p>Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbeh\u00f6rden, zwar die Transferproblematik in die USA nicht generell gel\u00f6st \u2013 denn eine Erg\u00e4nzung der Standardvertragsklauseln k\u00f6nne eben nicht dazu f\u00fchren, dass der vom Europ\u00e4ischen Gerichtshof als unverh\u00e4ltnism\u00e4\u00dfig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.<\/p>\n<p>Aber dass sich Microsoft als einer der gr\u00f6\u00dften, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen f\u00fcr die Rechte der Europ\u00e4ischen B\u00fcrgerinnen und B\u00fcrger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.<\/p>\n<p>Noch vor Jahresende wird die Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der L\u00e4nder und des Bundes, DSK) ihre Gespr\u00e4che mit Microsoft zum Office-Paket fortsetzen \u2013 die nun erzielten Fortschritte versprechen daf\u00fcr \u201eR\u00fcckenwind\".<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]Nach l\u00e4ngeren Verhandlungen mit dem Datenschutzbeauftragten von Baden-W\u00fcrttemberg will Microsoft den Schutz f\u00fcr die Daten, die in die USA \u00fcbertragen werden, f\u00fcr seine europ\u00e4ischen Kunden erh\u00f6hen. Microsoft will sich juristisch gegen Herausgabeverlangen der US-Regierung oder -Justiz zur Wehr setzen. Kleine &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/21\/microsoft-rechtsschutz-fr-datentransfer-in-die-usa\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263],"tags":[1171,451,672],"class_list":["post-237916","post","type-post","status-publish","format-standard","hentry","category-cloud","tag-cloud","tag-datenschutz","tag-microsoft"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237916"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237916\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}