Seit der Entscheidung des Europäischen Gerichtshofs “Schrems II“ und dem damit gekippten EU-US Privacy Shield hat sich eine graue Nebelwolke der Rechtsunsicherheit um die Zulässigkeit von Drittstaatentransfers entwickelt. Unternehmen und Einrichtungen in Europa wandern langsam halb blind und tastend durch die Nebelschwaden, alle auf der Suche nach einem Ausweg.
So oder so ähnlich ergeht es derzeit den Verantwortlichen in Europa, die mit Dienstleistern oder Tochterunternehmen in unsicheren Drittstaaten Daten austauschen (sog. Drittstaatentransfer). Stein des Anstoßes sind weiterhin die Gesetze in den USA, die den Ermittlungsbehörden weitreichende Zugriffsrechte auf Daten in der Cloud erlauben. Hierzu hofften alle auf klärende Positionen der Datenschutz-Fachgremien. Doch die jüngst vom Europäischen Datenschutzausschuss (EDSA) herausgegebenen Empfehlungen 01/2020 zu zusätzlichen Maßnahmen für ein angemessenes Datenschutzniveau bietet leider keinen Anlass zum Aufatmen. Denn was der EDSA unter diesen „zusätzlichen Maßnahmen“ versteht, kann in weiten Teilen nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden.
Auch Microsoft hat die Empfehlungen des EDSA gelesen und bereits erste Konsequenzen gezogen. Mit der Ergänzung seiner Datenschutzbestimmungen wähnt Microsoft sich als Pionier des Datenschutzes, indem zugunsten des Kunden und der Betroffenen vertraglich weitere Zugeständnisse gemacht werden (Pressemitteilung vom 19.11.2020). Diese neuen Ergänzungsbestimmungen sollen das angeblich völlig hinreichende Datenschutzniveau der Microsoft Cloud auf ein neues Level heben, und zwar mit diesen drei neue Garantien:
- Die Selbstverpflichtung, gegen die Herausgabe von Daten an Ermittlungsbehörden rechtlich vorzugehen.
- Die Meldung an den Kunden, sobald Microsoft zur Daten-Herausgabe aufgefordert wird.
- Die Zahlung von Schadensersatz an den Betroffenen im Fall von Schäden, verursacht durch die Herausgabe.
Allerdings hat Microsoft sich wirklich weitreichende Ausnahmeklauseln eingeräumt. Verwendete Klauseln sind mitunter so unbestimmt, dass genug Angriffsmöglichkeiten bleiben, um sich gegen Betroffene zu wehren, die diese Rechte tatsächlich durchsetzen wollen.
Doch erfüllt Microsoft nun damit für die MS-Cloud die datenschutzrechtlichen Anforderungen an ein angemessenes Datenschutzniveau und führt uns als goldener Ritter zurück auf sicheren Boden?
Nach Auffassung des EDSA jedenfalls nicht, denn nach den Empfehlungen können die vertraglichen Zusicherungen von Microsoft nicht darüber hinweghelfen, dass US-Behörden die Herausgabe von personenbezogenen Daten durch Microsoft nach US-Recht verlangen können. Microsoft könnte sprichwörtlich „den Himmel auf Erden“ verkünden. Solange dies aber nur im Vertrag gegenüber dem Kunden gilt, ist nichts gewonnen. Lediglich technische Verschlüsselungsmaßnahmen, die jedem denkbaren Zugriffsversuch von Ermittlungsbehörden auf die Cloud-Daten standhalten, können nach dem EDSA ausreichen.
Erste Aufsichtsbehörden bekennen nun Farbe
Nehmen wir mal an, Sie sind als Unternehmen vor einiger Zeit in die kostspielige Migration gen Microsoft 365 / Azure eingestiegen um die Vorteile einer digitalen und globalen Welt zu nutzen und sich im internationalen Wettbewerb zu behaupten. Was könnte die ohnehin schon dramatische Rechtslage noch erschweren? Genau, eine uneinheitliche Rechtsauffassung der deutschen Datenschutz-Aufsichtsbehörden.
Während die Aufsichtsbehörde in Berlin nach einer Stellungnahme zu MS Teams die öffentliche Auseinandersetzung mit Microsoft im Juli dieses Jahres nicht scheute, haben sich die die anderen Aufsichtsbehörden in Schweigen gehüllt. Doch dabei blieb es nicht. Die lang ersehnte Stellungnahme der Datenschutz-Konferenz (kurz DSK, ein unabhängiger Zusammenschluss der Aufsichtsbehörden) zu der Zulässigkeit der Nutzungsbedingungen für Microsoft Online Services wurde unmittelbar nach ihrer Veröffentlichung von mehreren Aufsichtsbehörden dementiert. Dabei ist es primäres Ziel der DSK, durch Abstimmung der Aufsichtsbehörden einheitliche Rechtsansichten zu finden.
Nun sind Bayern, Baden-Württemberg und Hessen vorgeprescht und haben sich öffentlich positiv zu den neuen Ergänzungsbestimmungen von Microsoft positioniert. (Pressemitteilungen siehe hier, hier und hier) Zwar werde die Transferproblematik in die USA hiermit nicht generell gelöst, doch bewege sich Microsoft in die richtige Richtung.
Geradezu empört äußerte sich dagegen der Referatsleiter der Berliner Datenschutz-Aufsichtsbehörde, Matthias Bergt. Ausdrücklich privat und damit nicht im Namen der Behörde stellte er in seinem Beitrag im CR-online.de Blog fest, dass die Aufsichtsbehörden im Süden hiermit einen Freibrief an Microsoft erteilt hätten. Microsoft und die Aufsichtsbehörden würden hier eine „gigantische Masse an Nebelkerzen“ zünden.
Zwischenbilanz Microsoft Cloud
Während die Aufsichtsbehörden sich also weiterhin noch nicht oder nur uneinheitlich zeigen, werden die Nebelschwaden von „Schrems II“ weiterhin jede Klarheit in Bezug auf die Zulässigkeit der Microsoft Cloud versperren. Die Verantwortlichen müssen weiterhin Überlegungen dazu anstellen, wie Sie beim Einsatz von Microsoft Cloud-Services ein angemessenes Datenschutzniveau erreichen können.
Nach Dafürhalten des Autors sind hier aber nicht vornehmlich die Datenschutz-Aufsichtsbehörden, sondern der EU-Gesetzgeber in der Pflicht, die Kriterien für ein angemessenes Datenschutzniveau für den internationalen Datenverkehr festzulegen.
Die neuen Ergänzungsbestimmungen von Microsoft zeigen deutlich auf, dass Microsoft durchaus gewillt ist, die europäischen Datenschutzgesetze einzuhalten, gleichwohl ist das Problem des Drittstaatentransfers damit noch nicht gelöst. Daher ist auch zweifelhaft, ob es für das Datenschutzniveau zuträglich ist, wenn andere US-Dienstleister sich an Microsoft ein Beispiel nehmen sollten und vergleichbare Regelungen schaffen.
Wetterprognose
Der graue Nebel über der Microsoft-Cloud hält an und lichtet sich durch neue Vertragsklauseln von Microsoft aber stellenweise, weshalb leichter Optimismus erlaubt ist. Die Migration in die Microsoft Cloud bleibt dennoch vorerst gewittrig und kann vereinzelt zu unangenehmen Abwägungsturbulenzen führen.
17. Dezember 2020 @ 19:53
volle Zustimmung! Und es wird noch schlimmer: Neben dem CLOUD Act lauert in den USA auch der PATRIOT Act.
https://de.wikipedia.org/wiki/USA_PATRIOT_Act#Auswirkungen_auf_den_Schutz_personenbezogener_Daten_und_geistigen_Eigentums
Mit anderen Worten: Jegliche Nutzung von US-Diensten verstößt gegen die DSGVO.
((Einzige Ausnahme sind E2E verschlüsselnde Dienste mit Zero-Knowledge wie lavabit))
Das wird sich auch nicht verändern, weil die beiden Acts jegliche individuellen Verträge überschreiben.
15. Dezember 2020 @ 14:48
Eigentlich ist die Sache doch gar nicht so kompliziert: US Konzerne müssen sich entscheiden, ob sie gegen europäisches (DSGVO) oder US (CLOUD Act) Recht verstoßen, zumindest solange die EU kein „executive agreement“ mit den USA geschlossen hat das die gesamte EU als „qualifying foreign government“ deklariert, dessen Recht nicht verletzt werden darf. So ein Abkommen gibt es soweit ich weiß aus nachvollziehbaren Gründen nach wie vor nur mit Großbritannien.
Der BayLDA zumindest ist ja offenbar voll auf die „Nebelkerzen“ reingefallen:
„Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über
die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten“
Das ist natürlich eher erheiternd (oder auch nicht), angesichts der Tatsache, dass a) Microsoft Betroffene im Zweifelsfall gar nicht informieren darf (und sich selbst mit einem „Warrant Canary“ auf dünnem Eis bewegt), und b) es genau Microsoft war das letztlich erfolglos vor Gericht gezogen ist, bzw. dem wir indirekt den CLOUD Act verdanken (siehe auch https://thehill.com/policy/technology/344823-senators-introduce-new-bill-to-force-law-enforcement-to-obtain-americans).
Man spürt förmlich wie die „Berater“ großer US IT-Konzerne durchs Land ziehen. Die obersten Datenschützer tun mir ja ein bisschen Leid, ich hätte auch keine Lust böse Anrufe von ganz oben zu bekommen. Trotzdem – diesem durch Wirtschaftsinteressen getriebenen Blödsinn Einhalt zu gebieten ist (oder wäre) ihr Job.
Was hört man denn von der vielleicht integersten Datenschützbehörde, dem ULD? Ach so, richtig – SH will ja bis 2025 komplett auf Microsoft-Produkte verzichten. Aus gutem Grund.
16. Dezember 2020 @ 9:18
Sehr schöner Kommentar!