Mit dem als Schrems-II bekannten Urteil vom 16.07.2020 (Rechtssache C-311/18) erklärte der EuGH zum einen den Angemessenheitsbeschluss der Europäische Kommission für die USA (sog. EU-US Privacy Shield) für ungültig. Zum anderen stellte der Gerichtshof zusammenfassend fest, dass der Abschluss der grundsätzlich weiterhin wirksamen Standarddatenschutzklauseln ohne die Umsetzung zusätzlicher Maßnahmen kein effektives Mittel darstellt, um Datentransfers in die USA zu legitimieren. Welche konkreten Maßnahmen nun geeignet sein könnten, um in einer globalisierten und vernetzten Welt den Datenverkehr zu rechtfertigen, wurde nicht näher dargelegt.
Empfehlungen des EDSA
Mittlerweile hat der Europäische Datenschutzausschuss (EDSA), ein Gremium, das sich aus Vertretern der Datenschutz-Aufsichtsbehörden der Mitgliedstaaten zusammensetzt, abgestimmte Empfehlungen zu ergänzenden Maßnahmen für Übertragungsinstrumente veröffentlicht, in denen neben zahlreichen technischen auch organisatorische Maßnahmen, wie die Vereinbarung zusätzlicher Vertragsklauseln, vorgeschlagen werden.
Microsoft reagiert
Microsoft hat als einer der führenden internationalen Anbieter von IT-Services auf das Urteil des EuGH und die Empfehlungen des EDSA Ende 2020 reagiert und mit dem letzten Update des Data Protection Addendums (DPA) vom 9. Dezember 2020 die in den Kundenverträgen integrierten Standarddatenschutzklauseln um die Additional Safeguards Addendum to Standard Contractual Clauses ergänzt (abrufbar hier; Attachment 2, Appendix 3).
Im Wesentlichen sichert Microsoft durch die Aufnahme dieser Additional Safeguards vertraglich Folgendes zu:
- Unterrichtung des Kunden über staatliche Anfragen – unabhängig von welcher Regierung – oder deren Abwehr, soweit eine rechtmäßige Grundlage hierfür besteht.
- Eingeschränkte finanzielle Entschädigung für Betroffene, deren personenbezogene Daten aufgrund einer staatlichen Anfrage unter Verletzung der Datenschutz-Grundverordnung offengelegt wurden.
Die Zusatzvereinbarung wurde nach deren Ankündigung durch Microsoft bereits im November von einigen Aufsichtsbehörden im Ansatz positiv aufgenommen. Es hagelte teilweise aber auch Kritik, da die Klauseln in der Praxis nicht oder schwer durchsetzbar seien. Zudem führen die Regelungen ohne zusätzliche technische Maßnahmen vermutlich weiterhin nicht zu einem angemessenen Datenschutzniveau.
Es besteht Handlungsbedarf
Nach unserer Auffassung ist die Ergänzung der Standarddatenschutzklauseln um zusätzliche Garantien insgesamt dennoch begrüßenswert. Sofern Sie Microsoft-Onlinedienste nutzen (z.B. Microsoft 365) sorgen diese zusätzlichen Garantien von Microsoft zwar noch nicht dafür, dass nun gar keine Probleme mehr bestehen. Sie erhöhen aber die Rechtssicherheit. Allerdings kommen nach unserer Auffassung Bestandskunden von Microsoft nicht ohne Weiteres in den Genuss der Garantien. Denn Microsoft regelt die Verträge so, dass die aktuellen Garantien nur für Neukunden bzw. im Falle von Vertragserneuerungen (Aboverlängerungen) gelten und zeigt nicht auf, wie man in der Praxis ansonsten auf einfachem Weg diese Garantien auch als Bestandskunde bekommt. Microsoft schreibt hierzu lediglich:
“When Customer renews or purchases a new subscription to an Online Service, the then-current DPA Terms will apply and will not change during Customer’s subscription for that Online Service.“
Was Sie tun sollten
Hier besteht also Handlungsbedarf! Mit etwas Glück hilft ein Blick ins Microsoft Backend unter https://admin.microsoft.com/Adminportal/Home#/subscriptions. Denn ggf. hat sich Ihr Abo erst nach dem 9. Dezember verlängert. Dann dürften die aktuellen Klauseln für Sie gelten. Ansonsten sollten Sie bei Microsoft aktiv erfragen, welcher Prozess in Ihrem Fall vorgesehen ist, um die Gültigkeit des „Data Protection Addendums (DPA) vom 9. Dezember 2020“ auch für Sie zu vereinbaren. Sie benötigen die ausdrückliche Zusicherung, dass für Sie das Data Protection Addendum (DPA) vom 9. Dezember 2020 bzw. eine Version nach diesem Datum gilt.