Bereits im Juli 2023 hat die Europäische Kommission den EU-U.S. Data Privacy Framework angenommen und in Kraft gesetzt. Er ist die Nachfolge des im Jahr 2020 vom Europäischen Gerichtshof (EuGH) aufgehobenen Privacy Shield. Ein Transfer personenbezogener Daten an Unternehmen, welche die Voraussetzungen des im EU-U.S. Data Privacy Framework erfüllen, ist nun grundsätzlich wieder möglich.
Der EU-U.S. Data Privacy Framework sieht eine Selbstzertifizierung vor. Welche Unternehmen diese erfüllen können auf einer vom US-Handelsministerium eingerichteten Webseite eingesehen werden. Wenig überraschend: Microsoft ist dort gelistet (Stand 17. Januar 2024).
Durch den Angemessenheitsbeschluss entfällt formal die Pflicht zu Analyse der Rechtslage im Empfängerland (sog. Transfer Impact Assessment). Auch wird bisweilen die Auffassung vertreten, dass personenbezogene Daten nun nicht mehr durch ergänzende Maßnahmen, z. B. Verschlüsselung, in den USA vor staatlichem Zugriff besonders geschützt werden müssen.
Der EU-U.S. Data Privacy Framework ist aktuell geltendes EU‐Recht. Er soll ein Jahr nach Inkrafttreten und danach spätestens alle vier Jahre von der Europäischen Kommission auf seine Wirksamkeit überprüft und ggf. angepasst oder, sofern notwendig, aufgehoben werden. Zudem kann er durch den EuGH gerichtlich überprüft und ggf. für ungültig erklärt werden. Verliert der Angemessenheitsbeschluss seine Gültigkeit, müssten Sie die entsprechenden Übermittlungen auf ein anderes, wirksames Instrument stützen oder die Übermittlungen einstellen.
Die Diskussionen über weiterhin – zumindest theoretisch – bestehende Zugriffsmöglichkeiten durch US-Behörden dauern an und sind nicht gänzlich realitätsfern. Daher sollten Sie bereits bei einer heute geplanten Nutzung von Microsoft 365 eine Alternative mitdenken. Hier können wir durch zahlreiche Projekte eine Unterstützung leisten.
Prüfen Sie daher, ob der Datentransfer auf der Grundlage der Standarddatenschutzklauseln der Europäischen Kommission vorgenommen werden kann. Hierzu ist weiterhin ein Transfer Impact Assessment erforderlich und sie müssen ergänzende Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung) ergreifen. Insbesondere, wenn Sie z. B. die gesamte Infrastruktur mit Microsoft 365 aus der Cloud betreiben wollen, es sich nicht um temporäre Übermittlungen, z. B. im Rahmen von Forschungsprojekten oder einmalige Übermittlungen handeln soll, sollten Sie diese Möglichkeiten intensiv prüfen.
Ungeachtet einer Datenübermittlung in die USA, sollten Sie im Hinterkopf haben, dass nahezu alle Aufsichtsbehörden erhebliche Bedenken hinsichtlich Transparenz sowie Art und Umfang der durch Microsoft zu „eigenen Geschäftszwecken“ verarbeiteten Daten und dessen Einsatz von Unterauftragsverarbeitern hegen.
Wir dürfen gespannt sein, ob der EU-U.S. Data Privacy Framework eine nachhaltige Rechtsgrundlage für den Transfer von personenbezogenen Daten in die USA darstellt oder ob in absehbarer Zeit auch dieser Angemessenheitsbeschluss vom EuGH geprüft und gegebenenfalls erneut verworfen wird. Auch die Anstrengungen und Bestrebungen Microsofts zur Verbesserung des Datenschutzes müssen Sie weiterhin im Blick behalten.
Wie wusste schon Schiller: „Drum prüfe, wer sich ewig bindet, […] Der Wahn ist kurz, die Reu‘ ist lang.“ Wir stehen Ihnen bei Fragen und Herausforderungen immer gerne zur Seite. Kommen Sie gerne auf uns zu. Jetzt Kontakt aufnehmen!