EU-US Data Privacy Framework
Die Europäische Kommission hat am Montag (10.07.) einen Angemessenheitsbeschluss für das EU-US Data Privacy Framework angenommen.
Mit diesem wird anerkannt, dass ein Drittland (hier die USA) einen sicheren Datenaustausch mit der EU, vergleichbar mit der Datenschutzgrundverordnung, ermöglicht.
Das Framework ist der Nachfolger des Privacy Shield, das vom Europäischen Gerichtshof im Jahr 2020 für ungültig erklärt wurde.
In der Vergangenheit haben wir in unserem Microsoft Blog das Thema DSGVO-Konformität schon mehrmals behandelt und beispielsweise die Stellungnahme Microsofts auf das Verbot von M365 an Schulen in Baden-Württemberg thematisiert.
In einer etwas ausführlicheren Einordnung diskutierten wir zudem die Einstufung Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) und kamen zu dem Fazit, dass ein ungeprüfter und nicht ausreichend konfigurierter Einsatz von Microsoft 365 in dieser unklaren Rechtslage nicht zu empfehlen ist.
Um einen DSGVO-konformen Einsatz zu ermöglichen ist es somit unerlässlich die notwendigen Konfigurationen und Sicherungsmaßnahmen zu kennen, gemeinsam zu erörtern und umzusetzen.
Was ist neu?
Durch das neue Data Privacy Framework wird eben jene unklare Rechtslage für Unternehmen geschärft, sodass Ralf Wintergerst, Präsident des Tech-Branchenverbands Bitkom, davon spricht, dass Unternehmen
„damit grundsätzlich wieder Rechtsicherheit [erhalten], wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen“.
So bringt das neue Framework einige wichtige Neuerungen mit sich, die sowohl für europäische als auch für US-amerikanische Unternehmen von Interesse sind, die personenbezogene Daten über den Atlantik hinweg verarbeiten. Dazu gehören:
- Verbindliche Datenschutzverpflichtungen für US-Unternehmen, die dem Framework beitreten wollen, wie z.B. die Löschung von Daten, wenn sie nicht mehr benötigt werden.
- Beschränkung des Zugriffs auf EU-Daten durch US-Geheimdienste auf das Notwendige und Verhältnismäßige.
- Einrichtung eines Datenschutzüberprüfungsgerichts (Data Protection Review Court), zu dem EU-Bürger Zugang haben werden, um Beschwerden über mögliche Datenschutzverletzungen einzureichen.
- Jährliche Überprüfung des Frameworks durch die Europäische Kommission und die US-Regierung.
Gericht wird erneut prüfen
Ob die von der EU & USA vorgestellten Neuerungen wirklich neu sind und vor Gericht standhalten, wird sich in den nächsten Monaten entscheiden.
Nach Veröffentlichung des
Angemessenheitsbeschlusses wurden schnell kritische Stimmen laut, die das Data Privacy Framework als eine Kopie des zuvor gescheiterten Privacy Shield Abkommens ansehen.
Der Namensgeber des Schrems II Urteils, Max Schrems, hat ebenso
verkünden lassen, dass er das neue Abkommen vor Gericht anfechten wird.
Grundsätzlich freut es uns, dass durch das neue Data Privacy Framework wieder Bewegung in die Diskussion der Datenschutzkonformität von M365 in der EU kommt.
Doch wie soll man sich als künftiger und bestehender Microsoft 365 Kunde während dieser fortwährenden Diskussion verhalten? Generell gilt es immer von einem ungeprüften und undokumentierten Einsatz von Microsoft 365 abzusehen, da dies zu Risiken und im Zweifel zu Strafen führen kann.
Es gilt dem Thema konstruktiv zu begegnen, dem Datenschutz ausreichend Platz einzuräumen und diesen nicht auf die leichte Schulter zu nehmen. Denn bei der Zusammenarbeit mit einem Cloud Anbieter, gilt das Prinzip der geteilten Verantwortung, das wir als verantwortungsvoller Microsoft Partner gerne an
dieser Stelle erläutern.
Wenn Sie mehr über das EU-US Data Privacy Framework erfahren möchten, können Sie hier den offiziellen Angemessenheitsbeschluss der Europäischen Kommission nachlesen: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721
Haben Sie Fragen oder Anregungen zu diesem Thema? Dann kontaktieren Sie uns direkt. Wir freuen uns auf Ihre Meinung!
*Disclaimer: Dieser Text ist keine Rechtsberatung.