Datenschutz + Microsoft
Die rechtlichen Rahmenbedingungen für Cloud-Nutzer mit Blick auf den Datenschutz befinden sich zurzeit in einem starken Wandel. Nachfolgend beleuchten wir die jüngsten Ereignisse mit Blick auf die Microsoft Cloud Dienste für Unternehmen und den öffentlichen Sektor.
Der Datenschutz in der Cloud ist ein immer wiederkehrendes und wichtiges Thema unserer Kunden. Wie Sie möglicherweise mitbekommen haben, gab es im Juli dieses Jahres ein Urteil des Gerichtshofs der Europäischen Union, welcher den Datentransfer in die USA im wesentlichen inkompatibel mit der Charta der Grundrechte innerhalb der EU ansieht. Dieses so genannte «Schrems II» Urteil fusst im Wesentlichen auf zwei Feststellungen: Erstens seien die nachrichtendienstlichen Überwachungsprogramme der USA nicht strikt auf das notwendige und verhältnismässige Mass beschränkt und damit ein zu grosser Eingriff in die Grundrechte gemäss EU-Grundrechte-Charta (Art. 52). Zweitens würden die Rechtsbehelfe in den USA für Personen aus der EU nicht hinreichend wirksam sein, um eine potenzielle Verletzung der persönlichen Freiheit einzuklagen (Art. 47 EU-Grundrechte-Charta).
Schrems II: Ein Urteil mit Folgen
Gemäss dem Entscheid weiterhin möglich bleibt die Absicherung der Datenschutzanforderungen mittels so genannter Standard Contractual Clauses (SCC). Bei den SCCs handelt es sich um Sets von Standardvertragsklauseln, welche die Europäische Kommission als hinreichend zur Gewährung des EU Datenschutzniveaus zwischen einem EU/EWR Datenverarbeiter und einem Verarbeiter in einem Drittland oder der Auftragsverarbeitung von EU/EWR Daten in einem Drittland betrachtet. Gleichzeitig stellte das Gericht fest, dass die Gültigkeit der SCCs im Einzelfall auf den angemessenen Schutz für personenbezogene Daten zu prüfen sei. Sollte der angemessene Schutz nicht ausreichen, müssten die beteiligten Unternehmen zusätzliche Garantien vorsehen oder die Übermittlung von Daten aussetzen.
Aus Cloud Provider Perspektive stellt sich in der Folge die Frage, ob die SCCs ausreichenden Schutz für die Übertragung von personenbezogenen Daten – insbesondere in die USA – bieten. Die Frage kann mit Blick auf das Urteil einfach beantwortet werden: Gemäss Europäischem Gerichtshof war die Angemessenheit des Schutzes im Hinblick auf den Zugang der US-Regierung nicht ausreichend. Diese Feststellung konfrontiert Behörden, Organisationen und Unternehmen in Europa mit grosser Rechtsunsicherheit in Bezug auf Cloud Provider mit Sitz in den USA, wie zum Beispiel Microsoft, Google, Amazon oder IBM. Dass in der Folge im September auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte feststellt, dass der Datenschutz in den USA gemäss dem geltenden Bundesgesetz über den Datenschutz nicht angemessen sei, überrascht wenig.
Ergänzende Massnahmen als Lösung
Solange sich die Rechtslage in den USA nicht ändert und wir das Datenschutzniveau in Europa beibehalten möchten, verbleibt nur der Weg über zusätzliche Garantien oder – als Ultima Ratio – die Aussetzung der Übermittlung von Daten in die USA. Zu ersterem Weg, hat der Europäische Datenschutzausschuss vor wenigen Tagen Empfehlungen für ergänzende Massnahmen erlassen, um die wirksame Einhaltung des Schutzniveaus zu gewährleisten, wenn die in den SCCs enthaltenen Schutzmassnahmen nicht ausreichen. Bereits wenige Tage später hat Microsoft auf die neu erlassenen Empfehlungen reagiert und eine sofortige Anpassung der Kundenverträge mit Unternehmenskunden und Kunden aus dem öffentlichen Sektor angekündigt.
Dr. Andrea Jelinek, Vorsitzende des Europäischen Datenschutzausschusses
“The EDPB is acutely aware of the impact of the Schrems II ruling on thousands of EU businesses and the important responsibility it places on data exporters. The EDPB hopes that these recommendations can help data exporters with identifying and implementing effective supplementary measures where they are needed. Our goal is to enable lawful transfers of personal data to third countries while guaranteeing that the data transferred is afforded a level of protection essentially equivalent to that guaranteed within the EEA.” – EDPB Pressemeldung vom 11.11.2020
Konkret greift Microsoft, neben den bereits umgesetzten Massnahmen, die vorgeschlagene zusätzliche vertragliche Vereinbarung aus Absatz 112 der Empfehlungen des Europäischen Datenschutzausschusses auf und verpflichtet sich gegenüber den genannten Kunden jede Behördenanfrage zu Kundendaten anzufechten, wenn es dafür eine rechtliche Grundlage im jeweiligen Land gibt. Dabei geht Microsoft weiter, als vom Europäischen Datenschutzausschuss verlangt und beschränkt dies nicht nur auf Länder, in denen das Datenschutzniveau aus europäischer Sicht ungenügend ist, sondern weitet dies auf alle Behördenanfragen von jedem Land aus.
Als zusätzliche Massnahme zur Effektuierung dieser Vertragsbestimmung verpflichtet sich Microsoft vertraglich gegenüber seinen Unternehmenskunden und den Kunden aus dem öffentlichen Sektor dazu, im Falle einer gemäss der Europäischen Datenschutz-Grundverordnung (GDPR) unrechtmässigen Offenlegung von Kundendaten durch eine Behördenanfrage finanziell zu entschädigen. Der Vertragstext des vollständigen Addendums zum bereits geltenden Microsoft Online Services Data Protection Addendum kann online eingesehen werden.
Als Cloud Solution Provider mit Sitz in der Schweiz und Microsoft Partner für öffentliche Institutionen, KMU und Grossunternehmen ist die Gestaltung der Cloud Dienstleistungen für unsere Kunden im Rahmen der schweizerischen und europäischen rechtlichen Entwicklung seit Anbeginn von besonderer Bedeutung. In diesem Sinne stehen wir unseren Kunden gerne bei der Evaluation der technischen und organisatorischen Möglichkeiten in Bezug auf datenschutzrechtliche Anforderungen wie gewohnt zur Verfügung.