Bedeutung des European Union-U.S. Data Privacy Framework für die Anwendung von Microsoft M365
Am 07. Oktober 2022 hat US-Präsident Joe Biden den Nachfolger des Privacy Shields, das „European Union-U.S. Data Privacy Framework“ (EU-U.S. DPF) unterzeichnet. Die Europäische Kommission hat am 10. Juli 2023 den diesbezüglichen Angemessenheitsbeschluss für das transatlantische EU-US-Datenschutzabkommen angenommen. Die EU-Kommission kommt damit zu dem Ergebnis, dass die Vereinigten Staaten nun ein angemessenes Schutzniveau, vergleichbar mit dem der Europäischen Union, für personenbezogene Daten gewährleisten. Auf der Grundlage des neuen Datenschutzabkommens können aus der EU personenbezogene Daten an US-Unternehmen übermittelt werden. Manche leiten daraus ab, dass jetzt ohne weitere Schutzmaßnahmen personenbezogene Daten in die USA übertragen werden können. Das ist falsch.
Das neue Datenschutzabkommen zwischen der EU und den USA führt zwar sogenannte „neue verbindliche Garantien“ ein, um den vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen. Dazu gehören z. B. die Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten (auf ein notwendiges und verhältnismäßiges Maß) sowie die Einrichtung eines Datenschutzprüfungsgerichts, zu dem EU-Bürger Zugang haben. Es gibt aber zwei (2) Punkte, die bei der weiteren Planung zum Einsatz vom M365 beachtet werden müssen.
1. Zwei Stufen Prüfung
Bei der Datenübermittlung in ein Drittland (2. Stufe) muss zunächst überprüft werden, ob unabhängig von den in den Art. 45 ff. DSGVO (Datenschutz-Grundverordnung) geregelten spezifischen Anforderungen an Datenübermittlungen in Drittländer auch alle übrigen Anforderungen der DSGVO (vgl. Art 5 Abs. 2 DSGVO) an die in Rede stehende Datenverarbeitung eingehalten werden (1. Stufe). Also zuerst prüfen, ob der Datenschutz insgesamt eingehalten wird (Stufe 1), erst dann kommt die Drittlandthematik (Stufe 2) zum Tragen. Dies ergibt sich schon aus der dogmatischen Anordnung der Vorschriften. Die DSGVO regelt ihren wesentlichen datenschutzrelevanten Bereich in den ersten 43 Artikeln. Dann erst kommt das Kapitel 5 mit den Regelungen zum Drittlandbezug und im Anschluss folgen weitere Verwaltungs- und Bußgeldvorschriften. Die Prüfung der Drittlandübermittlung ist somit nachrangig zur grundsätzlichen datenschutzkonformen Anwendung von M365.
2. Zweifel am Bestand des neuen Abkommens
Bei dem angeblich „neuen“ transatlantischen Datenschutzabkommen handelt es sich weitgehend leider nur um eine modifizierte Variante des bereits zuvor gescheiterten „Privacy Shield“-Abkommens. Weiterhin bleibt es bei dem bestehenden Modell, des vom EU-US Privacy Shield bekannten Zertifizierungsverfahrens. Das US-Handelsministerium führt eine Liste von US-Unternehmen, die sich gegenüber dem Ministerium selbst zertifizieren und sich zur Einhaltung der Grundsätze des Datenschutzrahmens EU – USA verpflichtet haben. Wenn ein Unternehmen nicht in der vorbenannten Liste eingetragen ist, kommt der Angemessenheitsbeschluss erst gar nicht zur Anwendung.
Zum dem hier relevanten Angemessenheitsbeschluss gibt es bereits kritische Anmerkungen von deutschen Datenschutzaufsichtsbehörden. Sie finden sich auf deren Webseiten (Bsp. Hessen).
Herr Schrems hat bereits angekündigt, auch gegen dieses Abkommen beim EuGH (Europäischer Gerichtshof) vorzugehen. Nach überwiegender Meinung von Datenschutzexperten und Expertinnen mit guten Erfolgsaussichten.
3. Fazit
Es ist damit zu rechnen, dass auch die Nachfolgeregelung zu „Safe Harbor“ und „EU-US Privacy Shield“ wie die Vorgängerabkommen gerichtlich überprüft wird und letztlich der EuGH über die Rechtmäßigkeit entscheiden wird. Der Angemessenheitsbeschluss bringt somit keine langfristige Rechtssicherheit bezüglich des transatlantischen Datenverkehrs. Genau das war aber das Ziel.
Entsprechend sollten weiterhin zusätzliche Schutzmaßnahmen (rechtlich-organisatorisch oder technischer Natur) ergriffen bzw. fortgeführt werden, um eine datenschutzkonforme Handhabung zu gewährleisten. Hierfür wurde das PRW® Compliance Set: M365 entwickelt und wird in diesem Sinne auch weiter ausgebaut. Zuletzt war die Integration von Microsoft KI-Diensten (z. B. Copilot) Gegenstand der Entwicklung.
Auch die Notwendigkeit von Datenschutz-Folgeabschätzungen (DSFA) in risikobehafteten Bereichen bleibt somit weiterhin bestehen.
01. August 2023
Wilfried Reiners, MBA
Rechtsanwalt
Ansprechpartner für die Presse:
Helmut Nollert
Sugar and spice communications GmbH
Elisabethstr. 13
80796 München
Tel. 01726100821
E-Mail: fnollert@sugarandspice.online
