Folgen des Schrems2 Urteil des EuGH für Microsoft 365

Die Folgen des Schiffbruches von Safe Harbor und der Bruch des Privacy Shield, sowie die  daraus folgenden Herausforderungen auch zu den EU Standardvertragsklauseln wirken sich dramatisch auf Nutzer von Microsoft 365 aus. In dem folgenden Blogbeitrag gehe ich auf die Herausforderungen für Enterprise Kunden ein. Ein Blogbeitrag für den klassischen privaten Kunden folgt danach.

ACHTUNG Update durch einen neuen Blogbeitrag vom 2. August 2020

Microsoft hat am 1. August 2020 neue OSTs veröffentlich: 

Neuerungen des DPA Anhanges und der OSTs und die Auswirkungen auf Microsoft 365

Update vom 9. August 2020 zu einzelnen Produkten

Microsoft 365 Apps for Enterprise, Azure Cognitive Services, Diagnosedaten und Bing Services – Sachstand August 2020

 

Microsoft 365 und Privacy Shield

Nach dem 16. Juli 2020 ist das Privacy Shield ungültig als Folge eines Vorabentscheidungsverfahrens vor dem EuGH mit dem Berichterstatter aus Deutschland Prof. von Danwitz. Microsoft veröffentlichte erstaunlicher Weise sehr schnell einen Beitrag, den ich etwas später übersetzt habe und kommentiere. In diesem Beitrag weist Julie Brill Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer darauf hin, dass für Enterprise Kunden und Education Kunden sich keine Sorgen machen brauchen, da diese Dienste  über EU Standardvertragsklauseln laufen und nicht nur über Privacy Shield.  

Diese Aussage von Julie Brill setzt zunächst einen Vertrauenstatbestand, der leider nicht lange anhält und es zweifelhaft ist, ob man sich auf diesen in Bußgeldverfahren berufen kann. Es ist offensichtlich und eindeutig, dass eben nicht alle Dienste und Services unter Privacy Shield laufen. Dazu etwas später mehr. 

Schrems2 – das Ende von Privacy Shield zwischen der EU und der USA

Übergangsfrist nach dem Ende von Privacy Shield?

Es gibt keine Übergangsfrist für die Datenübertragung, die über Privacy Shield bisher gelaufen sind. Zwar sagt die Datenschutzbehörde in UK, das man einfach weiter machen kann, dies sehen alle Landes- und die Bundesdatenschutzbehörden in der EU und im Speziellen in Deutschland nicht. Eine Übertragung ist seit 16 Juli 2020 nicht mehr möglich, es sei denn, dass die Datenübertragung über eine andere Rechtsgrundlage, wie den EU Standardvertragsklauseln. 

KEINE Übergangsfrist

Das konkrete Risiko als Folge des Urteils für M365

Da die Übertragung von personenbezogenen Daten über Privacy Shield nicht mehr möglich ist und die Übertragung in die USA aus über die EU Standardvertragsklauseln auf wackeligen Füßen steht. Nun ist Microsoft 365 im Einsatz und basiert auf diesen Rechtsgrundlagen, die eine ist nicht mehr vorhanden und die andere auf wackeligen Füßen. 

Das Risiko ist einmal klar dargestellt:

  • 4 % des weltweiten Gesamtumsatzes pro Datenschutzverstoß (z.B. Vertragsgrundlage)
  • 2 % des weltweiten Gesamtumsatzes pro Datenschutzverstoß (z.B. fehlende Reaktion, Risikobewusstsein)
  • Haftung des Geschäftsführers, des CIO und der Gesellschafter
  • Beantwortung der Fragebögen der Datenschutzbeauftragten
  • Abschalten von Microsoft 365 und damit der Datenübertragung = Ende der Arbeit in den meisten Unternehmen

Risiko: sehr hoch

Was sagen die Aufsichtsbehörden?

Schrems 2 – Was sagen die Aufsichtsbehörden?

Microsoft Stellungnahme zum Urteil 

Microsoft hat über die Autorin Julie Brill (Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer)noch am Tag der Verkündung des Urteils eine Stellungnahme  auf deren Blog veröffentlicht. 

In dieser Stellungnahme geht Microsoft davon aus, dass die Datenverarbeitung personenbezogener Daten für den öffentlichen und business Sektor über die EU Standardvertragsklauseln verarbeiten werden. Diese ist auch nach dem Urteil möglich. Sie geben weiterhin an, dass Microsoft bereits mit den entsprechenden Behörden spricht und alle gesetzlichen Regelungen einhält und einhalten will.

Vertrauenstatbestand / nicht alles unter EU Modelclauses und Garantien fehlen

UPDATE 29. Juli 2020

Microsoft arbeitet an einer Lösung auf Hochdruck. Dies kann noch einige Tage dauern.

 

Werkzeuge und Funktionen über Privacy Shield bei Microsoft 365

Trotz mehrfacher Anfrage wurde mir von Microsoft keine Liste aller Werkzeuge in Microsoft 365 oder auch Azure bereit gestellt. Ich wollte eine Liste mit Werkzeugen zugeordnet zu “Privacy Shield” und zu “EU Standardvertragskauseln” (SCC).  Deshalb schauen wir uns dies einmal genauer an.

Wir wissen, dass alle Produkte, die unter dem Anhang A der Microsoft Service Online Terms als Kerntools (Coretools) beschrieben werden. Der DPA Anhang und die EU Modelclauses gelten für diese Kerntools.  Damit sind alle Werkzeuge in der folgenden Liste aus den OSts aus Juli 2020 zunächst einmal nutzbar. Dies zunächst einmal, da noch die Kontrolle und Erklärung offen ist, ob Microsoft die Datenschutzregeln der EU überhaupt tatsächlich in den USA und Europa einhalten kann.

 

Werkzeuge und Services in Microsoft 365 unter EU Standardvertragsklauseln

Microsoft Dynamics 365-Kerndienste Die folgenden Dienste, die jeweils eigenständige Dienste sind oder wie jeweils in einem/einer mit der Marke Dynamic 365 versehenen Plan oder Anwendung enthalten: Dynamics 365 Customer Service Enterprise, Dynamics 365 Customer Service Professional, Dynamics 365 Customer Service Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Finance, Dynamics 365 Marketing, Dynamics 365 Project Service Automation, Commerce, Dynamics 365 Human Resources, Dynamics 365 Sales Enterprise und Dynamics 365 Sales Professional. Dynamics 365 Core Services umfassen nicht (1) Dynamics 365 Services für unterstützte Geräte oder Software, einschließlich, aber nicht beschränkt auf Dynamics 365 für Applikationen, Tablets, Telefone oder eines dieser Programme; (2) LinkedIn Sales Navigator oder (3), soweit nicht ausdrücklich in den Lizenzierungsbestimmungen für den entsprechenden Dienst definiert, alle anderen Dienste mit eigener Marke, die mit Dynamics 365 Core Services zur Verfügung gestellt oder mit diesen verbunden werden.
Office 365 Services Folgende Dienste, jeweils als eigenständiger Dienst oder als Teil eines mit der Schutzmarke Office 365 versehenen Plans oder einer Suite: Compliance Manager, Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream, Microsoft Teams (einschließlich Buchungen, Listen und Schichten), Microsoft To-Do, Office 365 Advanced Threat Protection, Office 365 Video, Office for the web, OneDrive for Business Project (außer Roadmap und Project for the web), SharePoint Online, Skype for Business Online, Sway, Whiteboard, Yammer Enterprise und, für Kaizala Pro: Organisationsgruppen des Kunden verwaltet über das Admin-Portal und Chats zwischen zwei Mitgliedern der Kundenorganisation. Zu den Office 365 Services gehören nicht Microsoft 365 Apps for Enterprise, Teile der PSTN-Dienste, die außerhalb der Kontrolle von Microsoft betrieben werden, jede Clientsoftware oder ein separat gekennzeichneter Dienst, der mit einem Plan oder einer Suite der Marke Office 365 zur Verfügung gestellt wird, wie beispielsweise ein Bing oder ein Dienst mit der Bezeichnung „für Office 365.“
Microsoft Azure Core Services API Management, App Service (API Apps, Logic Apps, Mobile Apps, Web Apps), Application Gateway, Application Insights, Automatisierung, Azure Active Directory, Azure API für FHIR, Azure Cache für Redis, Azure Container Registry (ACR), Azure Container Service, Azure Cosmos DB (ehemals DocumentDB), Azure Database für MySQL, Azure Database für PostgreSQL, Azure Databricks, Azure DevOps Services, Azure DevTest Labs, Azure DNS, Azure Information Protection (einschließlich Azure Rights Management), Azure Kubernetes Service, Azure NetApp Files, Azure Resource Manager, Azure Search, Backup, Batch, BizTalk Services, Cloud Services, Computer Vision, Content Moderator, Datenkatalog, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, Funktionen, HDInsight, Import/Export, IoT-Hub, Key Vault, Load Balancer, Log Analytics (ehemals Operational Insights), Azure Machine Learning Studio, Media Services, Microsoft Azure Portal, Multi-Factor-Authentifizierung, Notification Hubs, Power BI Embedded, QnA Maker, Zeitplaner, Sicherheitscenter, Servicebus, Service Fabric, SignalR-Dienst, Standortwiederherstellung, SQL Data Warehouse, SQL-Datenbank, SQL Server-Streckendatenbank, Speicher, StorSimple, Stream-Analyse, Textanalyse, Traffic Manager, Video-Indexer, Virtuelle Computer, Skalierungssätze für virtuelle Computer, virtuelles Netzwerk und VPN-Gateway
Microsoft Cloud App Security Der Cloud-Service-Teil von Microsoft Cloud App Security.
Microsoft Intune-Onlinedienste Der Cloud Service-Teil von Microsoft Intune, wie zum Beispiel das Add-on-Produkt für Microsoft Intune oder ein von Microsoft Intune bereitgestellter Verwaltungsdienst wie Mobile Device Management für Office 365.
Microsoft Power-Plattform-Core Services Die folgenden Dienste, die jeweils eigenständige Dienste sind oder wie jeweils in einem/einer mit der Marke Office 365 oder Microsoft Dynamics 365 versehenen Plan oder Suite enthalten: Microsoft Power BI, Microsoft Power Apps und Microsoft Power Automate. Die Microsoft Power-Plattform-Core Services enthalten keine Clientsoftware, einschließlich, aber nicht beschränkt auf Power BI Report Server, Power BI, PowerApps oder Microsoft Power Automate mobile-Anwendungen, Power BI Desktop oder Power Apps Studio.

 

Microsoft Defender Advanced Threat Protection-Dienste Die folgenden Clouddienstteile von Microsoft Defender Advanced Threat Protection: Verringerung der Angriffsfläche, Schutz der neuesten Generation, Endpunkterkennung und -reaktion, automatisierte Untersuchungs- und Korrekturfunktionen, Bedrohungs- und Schwachstellenmanagement, SmartScreen.
Microsoft Threat Protection Der Cloud-Service-Teil von Microsoft Threat Protection.

Hinweis zu der Liste

Achtung bei z.B. Office 365 Pro Plus (neu: Microsoft 365 Apps for Enterprise), dies fällt nicht unter die Coretools, dazu aber mehr. Ebenso gibt es Teile der Werkzeuge die nicht unter EU Standardvertragsklauseln (SCC) fallen. Hierzu mal ein Beispiel:

Microsoft Search

Suche innerhalb Microsoft 365 -> EU Standardvertragsklauseln
Suche innerhalb von Bing -> Privacy Shield

https://docs.microsoft.com/de-de/microsoftsearch/security-for-search

Verträge und Gültigkeit der obigen Liste

Weiterhin müsst ihr genau darauf achten, von wann eurer Vertrag ist, denn zunächst gelten nur die OSts und der DPA, die zum Zeitpunkt des Vertragsschlusses ausgehändigt wurden. Damit kann es auch sein, dass kein DPA Anhang gilt. Nur für neue Werkzeuge wie Microsoft Teams List gelten die OSts aus Juni mit dem DPA aus Juni. Ihr müsst aktiv zu Microsoft oder eurem Lizenzhändler gehen und die neuen OSts und DPA Anhang schließen wollen. Die Liste oben ist die aktuelleste Liste aus Juli 2020 und muss nicht eure Liste darstellen. Schaut bitte in eure Vertragsunterlagen. 

 

Werkzeuge und Services unter Privacy Shield (Auszug)

  • Diagnosedaten
  • Giphy und tenor (keine MS Werkzeuge, jedoch in Teams und Yammer eingebaut)
  • optional und verbundene Dienste 
  • Bing Dienste
    • Translator
    • Search
    • Maps
  • Azure Cognitive Services (die meisten Services)
  • Edge Browser

Update des DPA Anhang

Dieser Anhang ist zunächst nur in englischer Sprache verfügbar und hat den Stand 21. Juli 2020. Ihr könnt diesen unter dem folgenden Link runterladen:  https://aka.ms/DPA

Sehr schade ist, dass nicht wie bei den OSts auch die alten DPA Anhänge immer verfügbar sind. Ich hoffe es wird nachgebessert. Eine ausführliche Beschreibung der Änderungen im DPA Anhang zum 21. Juli 2020 findet ihr auf meinem Blog.

Allgemeine Datenschutzerklärung von Microsoft

Microsoft führt neben den Microsoft Online Service Terms in vielen Diensten die allgemeinen Datenschutzerklärungen ein, um personenbezogene Daten zu verarbeiten. Hierzu zählen zum Beispiel Bing Dienste, Microsoft Translator, Microsoft Swift Key. 

Link: Stand Juni 2020 https://privacy.microsoft.com/de-de/privacystatement

Ergebnis: nicht mehr gültig für die Verarbeitung von personenbezogenen Daten, da es nur über das Privacy Shield Abkommen lief -> Risiko 

 

Beispiele

Im folgenden sind einige Beispiele zusammengestellt worden:

Office 365 Pro Plus / Microsoft 365 Apps for Business

Office 365 Pro Plus / Microsoft 365 Apps for Business läuft laut der Microsoft Service Online Terms (Anhang A) nicht unter den OSts, sowie auch nicht unter den DPA (aka.ms/DPA). 

Zu den Office 365 Services gehören nicht Microsoft 365 Apps for Enterprise, Teile der PSTN-Dienste, die außerhalb der Kontrolle von Microsoft betrieben werden, jede Clientsoftware oder ein separat gekennzeichneter Dienst, der mit einem Plan oder einer Suite der Marke Office 365 zur Verfügung gestellt wird, wie beispielsweise ein Bing oder ein Dienst mit der Bezeichnung „für Office 365.

https://www.microsoft.com/en-us/licensing/product-licensing/products

Diagnosedaten

Die Verarbeitung von Diagnosedaten fällt auch bisher unter Privacy Shield und die allgemeinen Datenschutzerklärung. Da man diese nicht komplett abstellen kann, ist hier zum Beispiel ein Problem zu sehen. Wenn man sehr streng in der Anwendung des Urteils folgt, muss Microsoft 365 abgeschaltet werden. Dies jedenfalls in den Punkten in denen man die Diagnosedaten nicht deaktivieren kann. (Windows 10 Enterprise -> Deaktivierung möglich.)

Cognitive Services 

Bei den Cognitive Service muss jeweils pro Dienst genau verifiziert werden, welcher Dienst unter Privacy Shield fällt und damit müssen diese zunächst abgestellt werden muss. Dies ist genau zu prüfen. Ein Beispiel sind die Speech to Text Dienste, die  leider unter Privacy Shield fallen.

Hinweis: Ihr müsst auch in Produkte wie PowerPoint schauen, da Cognitive Services und auch AI Dienste aktuell eingebaut werden. Diese Verknüpfung wird noch erweitert, ich spreche hier beispielsweise über Cortana für Microsoft 365 mit vielen Verknüpfungen in die Produktpalette. 

Gifs in Microsoft Teams

Die Gifs in Microsoft Teams werden über Giphy Inc. bereitgestellt. Laut Microsoft sind die Gifs als durchgereichtes Add-In basieren auf den Giphy Inc. Privacy Terms anzusehen. Diese Privacy Terms beschreiben deutlich, dass die Verarbeitung von personenbezogenen Daten auf Basis des nicht mehr gültigen Privacy Shield verarbeitet werden. Die Folge muss ein abstellen von Giphy Inc. bei Microsoft Teams und auch Tenor in Yammer sein.

Apps in Microsoft Teams

Bei den 3rd Party Apps ist es wichtig, diese konkret und genau im Einzelnen zu prüfen. Hierbei müssen sowohl Bots, als auch Apps und vor allem auch zuliefernde Dienstanbieter und deren Werkzeuge geprüft werden. Im Rahmen von Bots lohnt es sich auch die Verträge in Bezug auf Lizenzen nochmal genau zu lesen.

Auch die Microsoft Apps sind nicht befreit von einer Prüfung. Somit ist zum Beispiel die App “Praise” eine Applikation unter Privacy Shield und kann erstmal nicht mehr eingesetzt werden. Diese sollten sofort deaktiviert werden.

Backup und Archivierungssoftware

Weiterhin ist es wichtig nicht nur Microsoft 365 Verträge und Funktionen zu prüfen, sondern auch den Backup- und Archivierungsdienstleister und deren Software. Diese müssen entsprechend einzeln geprüft werden. Viele dieser Dienstleister kommen aus den USA oder haben ihre Zentralen in UK. So werden zum Beispiel AvePoint Dienste unter Privacy Shield angeboten und sind erstmal nicht nutzbar, bis AvePoint auf EU Standardvertragsklauseln umstellt und erklärt die Datenschutzregeln der EU auch tatsächlich einhalten zu können.

Herangehensweise

Folgende Herangehensweise hat sich als erfolgreich erwiesen:

  1. Informationen sammeln  / Anfragen an Microsoft über mehrere Ebenen mit kurzen Reaktionszeiten / Rechtsabteilung einbeziehen
  2. Informationen auswerten
  3. Beschlüsse fassen
  4. Roadmap erstellen
  5. Dienste abstellen

Folgen und mögliche Lösungen

 

1. Datentransfer einstellen

2. Datentransfer begrenzen

3. Datentransfer mit zusätzlichen Härtungsmaßnahmen ausstatten

4. Datentransfer mit neuer Rechtsgrundlage ausstatten

 

Empfehlung

Eine Empfehlung kann es nicht sein, dass man von heute auf Morgen die Arbeit und die Nutzung  von Microsoft 365 einstellt. Aber auf der anderen Seite muss man sich im Rahmen der Compliance natürlich auch rechtskonform verhalten. In Ermangelung von wirklichen gleichwertigen Alternativen zu Microsoft 365 (Alternativen siehe Blogpost Alternativen zu Microsoft 365) muss man prüfen, in wieweit man mit der Situation nun umgeht. 

Ihr solltet euch zunächst einen Überblick und das konkrete Ausmaß schaffen. Dann mit eurem Datenschutz darüber sprechen und Microsoft um eine Stellungnahme sowohl zu Privacy Shield und den Werkzeugen, als auch kurzfristig (3-4 Werktage) um eine Stellungnahme zur tatsächlichen Einhaltung der europäischen Datenschutzstandandards im Lichte von Cloud Act und weiteren us-amerikanischen Gesetzen fragen. Microsoft muss glaubhaft darlegen, dass eine Einhaltung auch tatsächlich möglich ist, um EU Modelclauses nutzen zu können. Ebenso müssen Dienste wie Office Pro Plus und auch Diagnosedaten und die AI Funktionen unter EU Modelclauses gestellt werrden. 

Unrealistisch sind Binding Rules (zwischen euch und Microsoft unter Genehmigung des LDSB, die oft auch an der tatsächlichen Einhaltung scheitern) und ein Angemessenheitsgeschluss der EU Kommission kommt nicht in Betracht, da noch unrealistischer. Der Knackpunkt sind und bleiben die US Gesetze und richterlichen Entscheidungen. Dementsprechend muss man sich schützen und Härtungsmaßnahmen treffen. Gerade erst hat Microsoft zum Beispiel das Double Key Verfahren angekündigt, indem ihr einen Schlüssel haltet und Microsoft den Anderen. 

Empfehlung aus praktischen Erwägungen: 2,3,4

Empfehlung streng nach Urteil: 1

 

 

Material zum Blogpost

 

Stellungnahme von Microsoft vom 16. Juli 2020

https://blogs.microsoft.com/eupolicy/2020/07/16/assuring-customers-about-cross-border-data-flows/

Übersetzung durch den Autor

“Der Gerichtshof der Europäischen Union hat heute ein Urteil in einem Fall erlassen, in dem es um die Übermittlung von Daten aus der EU ging. Wir verstehen, dass einige unserer Kunden Fragen zu den Auswirkungen dieses Urteils haben könnten.

Wir möchten klarstellen: Wenn Sie ein gewerblicher oder öffentlicher Kunde sind, können Sie die Dienste von Microsoft in Übereinstimmung mit dem europäischen Recht weiterhin nutzen. Das Urteil des Gerichtshofs ändert nichts daran, dass Sie heute Daten zwischen der EU und den USA über die Microsoft-Cloud übertragen können.

Seit Jahren bieten wir unseren Kunden überlappenden Schutz sowohl im Rahmen der Standardvertragsklauseln (SCCs) als auch im Rahmen des Privacy Shield für Datentransfers. Obwohl die heutige Entscheidung die weitere Verwendung von Privacy Shield außer Kraft gesetzt hat, bleiben die SCCs weiterhin gültig. Unsere Kunden sind bereits durch SCCs geschützt.

Die heutige Entscheidung ändert auch nicht den Datenfluss für unsere Verbraucherdienste. Wir übertragen Daten zwischen den Nutzern, zum Beispiel wenn eine Person E-Mails oder andere Online-Inhalte an eine andere Person sendet. Wir werden dies auch weiterhin in Übereinstimmung mit der heutigen Entscheidung und weiteren Leitlinien der EU-Datenschutzbehörden und des Europäischen Datenschutzrates tun.

Neben der weiteren Unterstützung von Kunden, die Daten über den Atlantik fließen lassen müssen, werden wir auch proaktiv mit der Europäischen Kommission und der US-Regierung zusammenarbeiten, um die durch die Entscheidung aufgeworfenen Fragen zu klären. Wir erkennen an, dass das Gericht einige wichtige Themen aufgeworfen hat, die von den Regierungen bei der Festlegung ihrer Politik in Bezug auf die Art und Weise, wie Daten über Grenzen hinweg bewegt werden, zu berücksichtigen sind. Wir haben uns verpflichtet, wie bereits zuvor unsere Rolle bei der Zusammenarbeit mit Regierungen und Regulierungsbehörden auf beiden Seiten des Atlantiks zu spielen, um bei der Lösung dieser Probleme zu helfen. Wir wissen auch, dass die Europäische Kommission und die US-Regierung sich sehr auf die Lösung dieser Probleme konzentrieren werden, und wir sind dankbar, dass sie sich aktiv daran beteiligen.

Wir arbeiten routinemäßig daran, unsere Schutzmaßnahmen für Kunden auf der Grundlage von Entwicklungen wie der heutigen voranzutreiben. Wir waren der erste Cloud-Anbieter, der mit den europäischen Datenschutzbehörden bei der Genehmigung der europäischen Modellklauseln zusammengearbeitet hat, wir waren die ersten, die neue technische Standards für den Cloud-Datenschutz eingeführt haben, wir haben Privacy Shield als Nachfolger von Safe Harbor begrüßt, nachdem dieser Rahmen außer Kraft gesetzt wurde, und wir haben die GDPR-Kernrechte auf unseren weltweiten Kundenstamm ausgedehnt.

Schließlich werden wir weiterhin Schritte unternehmen, um für die Rechte unserer Kunden einzutreten. Wir sind vor Gericht gegangen, um Verfügungen anzufechten, mit denen wir Zugang zu den Daten von Personen erhalten oder um unsere Fähigkeit zu schützen, Kunden über sie zu informieren, und haben einen Fall vor den Obersten Gerichtshof der USA gebracht. Unsere Anfechtungen haben zu größerem Schutz und größerer Transparenz für unsere Kunden geführt, unter anderem durch einen Vergleich, der es uns ermöglichte, Transparenzberichte über die Anzahl der US-Aufträge zur nationalen Sicherheit, die wir erhalten, offen zu legen, und neue Richtlinien innerhalb der US-Regierung einzuführen, die die Verwendung von Geheimhaltungsaufträgen einschränken.

Der Datenschutz ist ein ständiger Prozess, und die heutige Entscheidung ist nicht das letzte Wort. Unsere Kunden können sicher sein, dass wir uns dafür einsetzen, dass ihre Daten weiterhin durch unsere Dienste fließen, dass wir unsere Arbeit fortsetzen werden, um auf der Grundlage der in der heutigen Entscheidung aufgeworfenen Fragen einen besseren Schutz zu gewährleisten, und dass wir mit Regierungen und politischen Entscheidungsträgern bei der Gestaltung neuer Ansätze zusammenarbeiten werden.”

 

Art. 45
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

(1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.

(2) Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die Kommission insbesondere das Folgende:

  a) die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art – auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten – sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,
  b) die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und
  c) die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

(3) Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung, die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b des vorliegenden Artikels genannte Aufsichtsbehörde bzw. genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt wird gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.

(4) Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und bei internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen beeinträchtigen könnten.

(5) Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen – insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung – dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.

In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß dem in Artikel 93 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte.

(6) Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem gemäß Absatz 5 erlassenen Beschluss geführt hat.

(7) Übermittlungen personenbezogener Daten an das betreffende Drittland, das Gebiet oder einen oder mehrere spezifische Sektoren in diesem Drittland oder an die betreffende internationale Organisation gemäß den Artikeln 46 bis 49 werden durch einen Beschluss nach Absatz 5 des vorliegenden Artikels nicht berührt.

(8) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländer beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, für die sie durch Beschluss festgestellt hat, dass sie ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten.

(9) Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren gemäß den Absätzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.

 

Art. 46
Datenübermittlung vorbehaltlich geeigneter Garantien

(1) Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

(2) Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in

  a) einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,
  b) verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
  c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
  d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
  e) genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
  f) einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.

(3) Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in

  a) Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
  b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.

(4) Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt.

(5) Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.

Art. 47
Verbindliche interne Datenschutzvorschriften

(1) Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese

  a) rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch für ihre Beschäftigten gilt,
  b) den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und
  c) die in Absatz 2 festgelegten Anforderungen erfüllen.

(2) Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben:

  a) Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;
  b) die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;
  c) interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;
  d) die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen;
  e) die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
  f) die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;
  g) die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;
  h) die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist;
  i) die Beschwerdeverfahren;
  j) die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;
  k) die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde;
  l) die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde;
  m) die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und
  n) geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten.

(3) Die Kommission kann das Format und die Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.

 

 

 

Log des Beitrages

26. Juli 2020 – Erstellung

26. Juli 2020 – 20:00 Uhr Ergänzung Risiken

29. Juli 2020 – Update – Microsoft arbeitet an einer Lösung