Nachdem der unter dem Namen Privacy Shield bekannte Angemessenheitsbeschluss für den Transfer personenbezogener Daten in die USA 2020 durch den EUGH für ungültig erklärt wurde, haben die EU-Kommission und das US-Handelsministerium im Juli 2023 mit dem Data Privacy Framework (DPF) formal wieder Rechtssicherheit geschaffen.

Für die Teilnahme am DPF können Unternehmen einen Selbst-Zertifizierungsprozess durchlaufen. Eine detaillierte Prüfung der gemachten angeben findet nicht statt. Für Unternehmen ändert sich somit gegenüber dem vom EUGH im Schrems II-Verfahren für ungültig erklärten Privacy Shield Abkommen in der Praxis nichts („However, the EU-U.S. DPF does not create new substantive obligations for participating organizations with regards to protecting EU personal data.“)

Mit seinen Cloud-Lösungen wie Microsoft 365 kann Microsoft als einer der relevantesten Akteure in diesem Kontext angesehen werden.

Die Datenschutzkonferenz (DSK) hatte Microsofts bisheriges Data Privacy Addendum (DPA) vom September 2022 immer wieder deutlich kritisiert, da mittels diesem „die notwenige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ und festgestellt, dass auf dieser Basis der datenschutzkonforme Betrieb von Microsoft 365 nicht nachgewiesen werden kann.

Die mangelnde Transparenz konnte auch durch die Anfang 2023 durch das Unternehmen vorgelegte Ergänzung bezüglich der Datenverarbeitung innerhalb der sog. „EU-Datengrenze“ nicht mitigiert werden, da auch bei Speicherung der Daten auf Microsoft-Servern innerhalb der Europäischen Union vereinzelte Datentransfers in die USA nicht ausgeschlossen sowie die Maßgaben des Cloud Act nicht hinreichend berücksichtigt werden konnten.

Das Unternehmen hat nun zum 15. November 2023 einen aktualisierten Nachtrag (DPA) zu seinem Auftragsverarbeitungsvertrag veröffentlicht, durch dem auf Basis der vorliegenden Zertifizierung des Unternehmens nach dem EU-US Privacy Framework Datentransfers nun auf das DPF gestützt werden können. Damit wird die Kritik der Datenschutz-Aufsichtsbehörden formal adressiert. In der Praxis scheint die Zertifizierung unter dem DPF jedoch mitnichten geeignet, die kritisierten Transparenzmängel zu entkräften. Die Selbst-Zertifizierung des Unternehmens nach den Maßstäben des DPF umfasst lediglich Datentransfers zwischen der EU und den USA. Nicht von der Vereinbarung erfasst sind hingegen die in Frage stehenden weiteren Datenverarbeitungen zu eigenen Zwecken des Auftragsverarbeiters (Microsoft).

Quellen:

Dieser Artikel wurde von mir ggf. in etwas abgewandelter Form ebenfalls im Rahmen des „Juristischen Internetprojekt Saarbrücken“ der Rechtswissenschaftlichen Fakultät der Universität des Saarlandes bereitgestellt und auf der JIPS-Website veröffentlicht.

Sprechen wir miteinander!

Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.

Der Autor

Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.

Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.