In den letzten Monaten schon Jahren gab und gibt es vermehrte Diskussionen rund um den Datenschutz und datenschutzfreundlichen Einsatz von Microsoft 365 und Azure. Diese Diskussion vermehrte sich nicht nur durch das Schrems 2 Urteil am 16. Juli 2020, sondern auch durch Checklisten oder auch Äußerungen des European Data Protection Boards.
Microsoft reagiert als erstes Unternehmen auf die Pflichten des Europäischen DSB
Microsoft reagierte diesmal sehr schnell auf die Anmerkungen des European Data Protection Board (11.11.2020) beauftragten zur Übermittlung von personenbezogenen Daten in unsichere Drittländer in Folge auf das Urteil des EuGH Schrems 2 vom 16. Juli 2020.
Microsoft erweitert sein Vertragswerk im Dezember 2020 durch neue DPAs und ein neues Addendum im Anhang zu den OSts und versucht dadurch privatrechtlich bestehende Herausforderungen in den USA zu regeln und entsprechende Risiken, gerade Cloud Act/FISA702 also den Durchgriff der US Behörden auf Daten in Europa entgegen zu wirken.
Hauptgarantien
- Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;
- Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
- Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.
-> Zusammenfassung des LDSB BW
Dazu Microsoft erweitert auch:
4. Wir verschlüsseln Kundendaten sowohl während der Übertragung als auch im Ruhezustand mit einem hohen Verschlüsselungsstandards.
5. Wir gewähren keiner Regierung direkten, ungehinderten Zugang zu Kundendaten.
Diese Garantien sollen dann in den AdditionalSafeguards aufgenommen und privatrechtlich vereinbart werden.
Link: https://aka.ms/defendingyourdataterms( Entwurf Dokument)
Wann kommen die Regelungen: Dezember 2020
“Noch vor Jahresende wird die Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der Länder und des Bundes, DSK) ihre Gespräche mit Microsoft zum Office-Paket fortsetzen – die nun erzielten Fortschritte versprechen dafür „Rückenwind“.” LDSB BW
Linksammlung
https://aka.ms/defendingyourdataterms( Entwurf Dokument)
MicrosoftOnlineServicesDPAAdditional SCC(Reference Copy)(ENG)(November2020)(CR) (1)
MSAddendum-DE – Übersetzung (maschinell/ nicht Microsoft)
deutsche Zusammenfassung https://news.microsoft.com/de-de/neue-massnahmen-zum-schutz-von-daten/
Landesdatenschutz BW: https://www.baden-wuerttemberg.datenschutz.de/dsgvowirkt/
Landesdatenschutz Bayern: https://www.lda.bayern.de/media/pm/pm2020_9.pdf
Äußerungen der LDSB
Äußerungen der Landesdatenschutzbehörden zu den Neuerungen von Microsoft
Max Schrems dazu
https://twitter.com/maxschrems/status/1329802283341770752
Julie Brill Chief Privacy Officer. Microsoft Corp.
Deutsche Übersetzung
Unsere Kunden aus dem öffentlichen Sektor und Unternehmen müssen ihre Daten regelmäßig zwischen Ländern, Regionen und Kontinenten bewegen. Heute kündigen wir neue Schutzmaßnahmen für unsere Kunden aus dem öffentlichen Sektor und Unternehmen an, die ihre Daten aus der Europäischen Union transferieren müssen, einschließlich einer vertraglichen Verpflichtung, Datenanfragen von Regierungen anzufechten, und einer finanziellen Verpflichtung, um unsere Überzeugung zu zeigen. Microsoft ist das erste Unternehmen, das diese Zusagen als Reaktion auf die klaren Vorgaben der Datenschutzbehörden in der Europäischen Union von letzter Woche gemacht hat.
Jeden Tag bewegen unsere Kunden Daten durch ihre globalen Netzwerke, um ihre Kunden zu bedienen, mit Lieferanten oder Partnern zusammenzuarbeiten und die Gehaltsabrechnung für ihre weltweite Belegschaft zu verwalten. Diese grenzüberschreitenden Datentransfers waren in jüngster Zeit Gegenstand von Rechtsstreitigkeiten und regulatorischen Maßnahmen, einschließlich eines Urteils des Europäischen Gerichtshofs für die Europäische Union Anfang dieses Jahres und eines Empfehlungsentwurfs des European Data Protection Board (EDPB) von letzter Woche darüber, wie Unternehmen diesem Urteil nachkommen können.
Mit der heutigen Ankündigung gehen wir als erstes Unternehmen dazu über, auf die Vorgaben des EDPB mit neuen Verpflichtungen zu reagieren, die die Stärke unserer Überzeugung demonstrieren, die Daten unserer Kunden zu verteidigen. Microsoft hat bereits unter Beweis gestellt, dass wir die Daten unserer Kunden stark schützen, unsere Praktiken transparent sind und wir die Daten unserer Kunden verteidigen. Wir glauben, dass die neuen Schritte, die wir heute ankündigen, über das Gesetz und die Empfehlungsentwürfe des EDPB hinausgehen, und wir hoffen, dass diese zusätzlichen Schritte unseren Kunden zusätzliches Vertrauen in ihre Daten geben.
Erstens verpflichten wir uns, dass wir jede Anfrage von Regierungen nach Kundendaten des öffentlichen Sektors oder von Unternehmen – egal von welcher Regierung – anfechten werden, wenn es dafür eine rechtmäßige Grundlage gibt. Diese starke Verpflichtung geht über die vorgeschlagenen Empfehlungen des EDPB hinaus.
Zweitens werden wir die Nutzer dieser Kunden finanziell entschädigen, wenn wir ihre Daten in Reaktion auf eine Regierungsanfrage unter Verletzung der Allgemeinen Datenschutzverordnung (GDPR) der EU offen legen. Diese Verpflichtung geht ebenfalls über die Empfehlungen des EDPB hinaus. Sie zeigt, dass Microsoft zuversichtlich ist, dass wir die Daten unserer Kunden des öffentlichen Sektors und der Unternehmen schützen und sie keiner unangemessenen Offenlegung aussetzen werden.
Wir nennen diese Schutzmaßnahmen “Defending Your Data” (Verteidigung Ihrer Daten), und wir werden unverzüglich damit beginnen, sie in unsere Verträge mit Kunden des öffentlichen Sektors und mit Unternehmenskunden aufzunehmen.
Defending Your Data stellt eine wesentliche Ergänzung zu unseren grundlegenden Versprechen zum Schutz der Privatsphäre dar und baut auf den starken Schutzmaßnahmen auf, die wir unseren Kunden bereits anbieten.
Wir verwenden starke Verschlüsselung: Wir verschlüsseln Kundendaten sowohl während der Übertragung als auch im Ruhezustand mit einem hohen Verschlüsselungsstandard. Die Verschlüsselung ist ein kritischer Punkt im Entwurf der EDPB-Empfehlungen. Wir stellen keiner Regierung unsere Verschlüsselungsschlüssel oder eine andere Möglichkeit zur Verfügung, unsere Verschlüsselung zu brechen.
Wir setzen uns für die Rechte unserer Kunden ein: Wir gewähren keiner Regierung direkten, ungehinderten Zugang zu Kundendaten. Wenn eine Regierung Kundendaten von uns verlangt, muss sie den geltenden rechtlichen Verfahren folgen. Wir werden Forderungen nur dann nachkommen, wenn wir eindeutig dazu gezwungen sind. Unser erster Schritt ist immer der Versuch, solche Bestellungen an Kunden weiterzuleiten oder sie zu informieren, und wir lehnen Bestellungen routinemäßig ab oder fechten sie an, wenn wir glauben, dass sie nicht legal sind.
Wir sind transparent: Wir veröffentlichen seit vielen Jahren Informationen über staatliche Forderungen nach Kundendaten. Wir haben die US-Regierung wegen der Möglichkeit verklagt, mehr Daten über die Aufträge zur nationalen Sicherheit, die wir auf der Suche nach Kundendaten erhalten, offenzulegen, und haben einen Vergleich geschlossen, der uns dies ermöglicht. Infolgedessen legen wir zweimal jährlich zusätzlich zu unserem regulären Law Enforcement Request Report detailliertere Informationen über diese nationalen Sicherheitsaufträge in allen unseren Geschäftsbereichen (Verbraucher, Unternehmen und öffentlicher Sektor) offen.
Wir können auf eine Erfolgsgeschichte juristischer Erfolge zurückblicken. Wir haben mehr Erfahrung als jedes andere Unternehmen, das vor Gericht geht, um die Grenzen staatlicher Überwachungsanordnungen festzulegen, und wir haben sogar einen Fall vor den Obersten Gerichtshof der Vereinigten Staaten gebracht. Unsere Bemühungen haben den Kunden mehr Transparenz und einen stärkeren Schutz geboten. Keine Verpflichtung, Zugangsbescheide anzufechten, kann den Sieg sichern, aber wir haben ein gutes Gefühl angesichts unserer bisherigen Erfolgsbilanz.
Ein Teil der öffentlichen Diskussion über die Auswirkungen der Datenanforderungen der US-Regierung konzentriert sich auf Unternehmen mit Sitz in den USA. Aber es ist klar, dass die US-Gesetze über den Zugang der Regierung zu Daten für Unternehmen gelten, die in den USA geschäftlich tätig sind, auch wenn sie ihren Hauptsitz in Europa oder anderswo haben.
Der Datenschutz ist für uns bei Microsoft ein Kernwert, weil wir glauben, dass Menschen Technologie nur dann nutzen werden, wenn sie ihr vertrauen können. Aus diesem Grund waren wir der erste Cloud-Anbieter, der mit den europäischen Datenschutzbehörden bei der Genehmigung der europäischen Modellklauseln zusammengearbeitet hat, der erste, der neue technische Standards für den Cloud-Datenschutz eingeführt hat, und begeisterte Befürworter der GDPR, seit diese erstmals 2012 vorgeschlagen wurde. Wir haben die Kernrechte des GDPR auf Verbraucher auf der ganzen Welt ausgeweitet, und wir haben die Kernrechte des kalifornischen Consumer Privacy Act für alle unsere Verbraucher in den Vereinigten Staaten respektiert. Darüber hinaus haben wir die Initiative Tech Fit for Europe ins Leben gerufen, um digitale Lösungen auf der Grundlage europäischer Werte und Regeln zu entwickeln.
Wir hoffen, dass die Schritte, die wir heute angekündigt haben, unseren Kunden aus Unternehmen und dem öffentlichen Sektor zeigen, dass wir bei der Verteidigung ihrer Daten und der Daten ihrer Nutzer über das Gesetz hinausgehen werden.
Hier können Sie mehr über unser Engagement für den Datenschutz lesen
Deutsche Übersetzung des Addendum
ACHTUNG
maschinelle Übersetzung
keine Microsoft Übersetzung
Zusätzliche Schutzmaßnahmen Ergänzung zu Standardvertragsklauseln
Durch diesen zusätzlichen Schutzzusatz zu Standardvertragsklauseln (dieser “Zusatz”” bietet Microsoft Corp. (“Microsoft“) dem Kunden zusätzliche Garantien und zusätzliche Wiedergutmachung für die betroffenen Personen, auf die sich die personenbezogenen Daten des Kunden beziehen.
Dieser Zusatz ergänzt und ist Teil der Standardvertragsklauseln in Anlage 2 des Microsoft Online Services Data Protection Addendum (die “Standardvertragsklauseln“), ist Teil, aber nicht in Variation oder Änderung der Standardvertragsklauseln.
Herausforderungen an Bestellungen. Zusätzlich zu Ziffer 5(d)(i) der Standardvertragsklauseln erhält Microsoft für den Fall, dass Microsoft von Dritten einen Auftrag zur erzwungenen Offenlegung personenbezogener Daten erhält, die im Rahmen der Standardvertragsklauseln übertragen wurden,
alle angemessenen Anstrengungen zu unternehmen, um den Dritten umzuleiten, um Daten direkt vom Kunden anzufordern; unverzüglich den Kunden zu benachrichtigen, es sei denn, dies ist nach dem für den ersuchenden Dritten geltenden Recht verboten, und, falls es der Benachrichtigung des Kunden untersagt wird, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht zu erlangen, auf das Verbot zu verzichten, um so schnell wie möglich so viele Informationen an den Kunden zu übermitteln; Und
alle rechtmäßigen Anstrengungen zu unternehmen, um die Anordnung zur Offenlegung auf der Grundlage etwaiger Rechtsmängel nach dem Recht der ersuchenden Partei oder etwaiger relevanter Konflikte mit dem Recht der Europäischen Union oder dem anwendbaren Recht der Mitgliedstaaten anzufechten.
Für die Zwecke dieses Abschnitts umfassen die rechtmäßigen Bemühungen keine Handlungen, die zu zivil- oder strafrechtlichen Sanktionen führen würden, wie z. B. die Missachtung des Gerichts nach den Gesetzen der jeweiligen Gerichtsbarkeit.
- Entschädigung der betroffenen Personen. Vorbehaltlich der Abschnitte 3 und 4 stellt Microsoft eine betroffene Person für Schäden frei, die durch die Offenlegung personenbezogener Daten der betroffenen Person durch Microsoft verursacht wurden, die gemäß den Standardvertragsklauseln als Reaktion auf eine Anordnung einer Nicht-EU/EWR-Regierungsstelle oder Strafverfolgungsbehörde (eine “relevante Offenlegung”) übermittelt wurden. Relevant Disclosure ungeachtet des Vorstehenden ist Microsoft nicht verpflichtet, die betroffene Person gemäß diesem Abschnitt 2 freizustellen, soweit die betroffene Person bereits eine Entschädigung für denselben Schaden erhalten hat, sei es von Microsoft oder auf andere Weise.
- Bedingungen der Entschädigung. Die Entschädigung nach Abschnitt 2 ist an die Bedingung geknüpft, dass die betroffene Person zur begründeten Zufriedenheit von Microsoft feststellt, dass:
- a) Microsoft, das an einer relevanten Offenlegung beteiligt ist;
- b) die relevante Offenlegung die Grundlage für ein offizielles Vorgehen der Nicht-EU/EWR-Regierungsstelle oder Strafverfolgungsbehörde gegen die betroffene Person war; Und
(c) die relevante Offenlegung der betroffenen Person unmittelbar einen materiellen oder immateriellen Schaden zugefügt hat.
Die betroffene Person trägt die Beweislast in Bezug auf die Bedingungen a) jedoch c).
Ungeachtet des Vorstehenden ist Microsoft nicht verpflichtet, die betroffene Person gemäß Abschnitt 2 freizustellen, wenn Microsoft feststellt, dass die relevante Offenlegung nicht gegen seine Verpflichtungen aus Kapitel V der DSGVO verstoßen hat.
- Schadensumfang. Die Entschädigung nach Abschnitt 2 ist auf materielle und immaterielle Schäden gemäß DSGVO beschränkt und schließt Folgeschäden und alle sonstigen Schäden aus, die nicht aus der Verletzung der DSGVO durch Microsoft resultieren.
- Ausübung der Rechte. Rechte, die betroffenen Personen im Rahmen dieses Zusatzes gewährt werden, können von der betroffenen Person gegen Microsoft unabhängig von einer Einschränkung in den Klauseln 3 oder 6 der Standardvertragsklauseln durchgesetzt werden. Die betroffene Person kann einen Anspruch nach diesem Zusatz nur auf individueller Basis geltend machen und nicht Teil einer Sammel-, Sammel-, Gruppen- oder Vertretungsklage sein. Die Rechte, die den betroffenen Personen gemäß diesem Nachtrag gewährt werden, sind für die betroffene Person personenbezogen und dürfen nicht abgetreten werden.
- Mitteilung über Die s), die sich ändernwird. Zusätzlich zu Ziffer 5 Buchstabe b der Standardvertragsklauseln stimmt Microsoft zu und garantiert, dass es keinen Grund zu der Annahme hat, dass die für ihn oder seine Unterverarbeiter geltenden Rechtsvorschriften, einschließlich in jedem Land, in das personenbezogene Daten entweder von sich selbst oder über einen Unterverarbeiter übertragen werden, anwendbar sind, verhindert, dass sie die vom Datenexporteur erhaltenen Anweisungen und ihre Verpflichtungen aus diesem Zusatz oder den Standardvertragsklauseln erfüllt, und dass sie im Falle einer Änderung dieser Rechtsvorschriften, die die Inanspruchnahme der Garantien und Pflichten dieses Zusatzes oder der Standardvertragsklauseln erheblich beeinträchtigen könnte, die Änderung unverzüglich dem Kunden mitteilt, sobald er davon Kenntnis hat, in diesem Fall ist der Kunde berechtigt, die Übertragung von Daten auszusetzen und/oder den Vertrag zu kündigen.
- Kündigung. Dieser Zusatz endet automatisch, wenn die Europäische Kommission, eine zuständige Aufsichtsbehörde eines Mitgliedstaats oder ein Gericht der EU oder eines zuständigen Mitgliedstaats einen anderen rechtmäßigen Übermittlungsmechanismus genehmigt, der für die unter die Standardvertragsklauseln fallenden Datenübermittlungen anwendbar wäre (und wenn dieser Mechanismus nur für einen Teil der Datenübermittlungen gilt, endet dieser Zusatz nur in Bezug auf diese Übermittlungen), und dies erfordert nicht die zusätzlichen Garantien, die in diesem Zusatz festgelegt sind.
Übersetzung EDPB
Brüssel, 11. November – Während seiner 41. Plenarsitzung verabschiedete der EDPB Empfehlungen zu Maßnahmen, die die Übertragungsinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten, sowie Empfehlungen zu den Europäischen Grundlegenden Garantien für Überwachungsmaßnahmen.
Beide Dokumente wurden im Anschluss an das “Schrems II”-Urteil des CJEU angenommen. Als Folge des Urteils vom 16. Juli sind die für die Verarbeitung Verantwortlichen, die sich auf Standardvertragsklauseln (SCC) stützen, verpflichtet, im Einzelfall und gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten im Drittland zu prüfen, ob das Recht des Drittlandes ein Schutzniveau der übermittelten personenbezogenen Daten gewährleistet, das im Wesentlichen dem im Europäischen Wirtschaftsraum (EWR) garantierten Schutzniveau entspricht. Der CJEU gestattete es den Exporteuren, ergänzende Maßnahmen zu den SCCs hinzuzufügen, um die wirksame Einhaltung dieses Schutzniveaus zu gewährleisten, wenn die in den SCCs enthaltenen Schutzmaßnahmen nicht ausreichen.
Die Empfehlungen zielen darauf ab, die für die Verarbeitung Verantwortlichen und Verarbeiter, die als Datenexporteure tätig sind, bei ihrer Pflicht zu unterstützen, geeignete zusätzliche Maßnahmen zu ermitteln und umzusetzen, wenn diese erforderlich sind, um ein im Wesentlichen gleichwertiges Schutzniveau wie die Daten zu gewährleisten, die sie in Drittländer übermitteln. Dabei strebt das EDPB eine einheitliche Anwendung des GDPR und des Urteils des Gerichtshofs im gesamten EWR an.
Der Vorsitzende des EDPB, Andrea Jelinek, sagte: “Der EDPB ist sich der Auswirkungen des Schrems-II-Urteils auf Tausende von EU-Unternehmen und der großen Verantwortung, die es den Datenexporteuren auferlegt, sehr wohl bewusst. Der EDPB hofft, dass diese Empfehlungen den Datenexporteuren dabei helfen können, wirksame ergänzende Maßnahmen zu ermitteln und umzusetzen, wo sie benötigt werden. Unser Ziel ist es, die rechtmäßige Übermittlung personenbezogener Daten in Drittländer zu ermöglichen und gleichzeitig zu gewährleisten, dass die übermittelten Daten ein Schutzniveau erhalten, das im Wesentlichen dem innerhalb des EWR garantierten Schutzniveau entspricht”.
Die Empfehlungen enthalten einen Fahrplan mit den Schritten, die Datenexporteure unternehmen müssen, um herauszufinden, ob sie zusätzliche Maßnahmen ergreifen müssen, um Daten in Übereinstimmung mit dem EU-Recht in Länder außerhalb des EWR transferieren zu können, und um ihnen zu helfen, diejenigen zu identifizieren, die wirksam sein könnten. Um Datenexporteure zu unterstützen, enthalten die Empfehlungen auch eine nicht erschöpfende Liste von Beispielen für zusätzliche Maßnahmen und einige der Bedingungen, die sie benötigen würden, um wirksam zu sein.
Letztendlich sind die Datenexporteure jedoch dafür verantwortlich, die konkrete Beurteilung im Zusammenhang mit der Übermittlung, dem Recht des Drittlandes und dem Übertragungsinstrument, auf das sie sich stützen, vorzunehmen. Datenexporteure müssen mit der gebührenden Sorgfalt vorgehen und ihren Prozess gründlich dokumentieren, da sie für die Entscheidungen, die sie auf dieser Grundlage treffen, im Einklang mit dem GDPR-Prinzip der Rechenschaftspflicht zur Rechenschaft gezogen werden. Darüber hinaus sollten Datenexporteure wissen, dass es möglicherweise nicht in jedem Fall möglich ist, ausreichende ergänzende Maßnahmen durchzuführen.
Die Empfehlungen zu den zusätzlichen Maßnahmen werden einer öffentlichen Konsultation unterzogen werden. Sie werden unmittelbar nach ihrer Veröffentlichung anwendbar sein.
Darüber hinaus verabschiedete das EDPB Empfehlungen zu den Europäischen Grundlegenden Garantien für Überwachungsmaßnahmen. Die Empfehlungen zu den Europäischen Grundlegenden Garantien ergänzen die Empfehlungen zu ergänzenden Maßnahmen. Die Empfehlungen zu den Europäischen Grundlegenden Garantien liefern den Datenexporteuren Elemente, anhand derer sie feststellen können, ob der Rechtsrahmen, der den Zugang von Behörden zu Daten für Überwachungszwecke in Drittländern regelt, als ein gerechtfertigter Eingriff in die Rechte auf Privatsphäre und den Schutz personenbezogener Daten angesehen werden kann und daher nicht die Verpflichtungen des Übertragungsinstruments nach Artikel 46 GDPR berührt, auf das sich der Datenexporteur und -importeur stützt.
Der Vorsitzende fügte hinzu: “Die Auswirkungen des Schrems-II-Urteils erstrecken sich auf alle Übermittlungen in Drittländer. Daher gibt es weder schnelle Lösungen noch eine Einheitslösung für alle Transfers, da dies bedeuten würde, die große Vielfalt der Situationen zu ignorieren, mit denen Datenexporteure konfrontiert sind. Datenexporteure müssen ihre Datenverarbeitungsvorgänge und -übermittlungen bewerten und wirksame Maßnahmen unter Berücksichtigung der Rechtsordnung der Drittländer ergreifen, in die sie Daten übermitteln oder zu übermitteln beabsichtigen”.
Die EWR-Datenschutzaufsichtsbehörden werden ihre Maßnahmen im EDPB weiterhin koordinieren, um eine einheitliche Anwendung des EU-Datenschutzrechts zu gewährleisten.
Die Tagesordnung der einundvierzigsten Plenartagung finden Sie hier.
Hinweis für Redakteure:
Bitte beachten Sie, dass alle während der EDPB-Plenartagung angenommenen Dokumente den erforderlichen rechtlichen, sprachlichen und Formatierungsprüfungen unterzogen werden und nach deren Abschluss auf der EDPB-Website zur Verfügung gestellt werden.