Nachdem der unter dem Namen Privacy Shield bekannte Angemessenheitsbeschluss für den Transfer personenbezogener Daten in den USA 2020 durch den EuGH für ungültig erklärt wurde, haben die EU-Kommission und das US-Handelsministerium im Juli 2023 mit dem Data Privacy Framework (DPF) formal wieder Rechtssicherheit geschaffen.
Für die Teilnahme am DPF können Unternehmen einen Selbst-Zertifizierungsprozess durchlaufen. Eine detaillierte Prüfung der gemachten angeben findet nicht statt. Für Unternehmen ändert sich somit gegenüber dem vom EuGH im Schrems II-Verfahren für ungültig erklärten Privacy Shield Abkommen in der Praxis nichts („However, the EU-U.S. DPF does not create new substantive obligations for participating organizations with regards to protecting EU personal data.“).
Mit seinen Cloud-Lösungen wie Microsoft 365 kann Microsoft als einer der relevantesten Akteure in diesem Kontext angesehen werden.
Die Datenschutzkonferenz (DSK) hatte Microsofts bisheriges Data Privacy Addendum (DPA) vom September 2022 immer wieder deutlich kritisiert, da mittels diesem „die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden“ und festgestellt, dass auf dieser Basis der datenschutzkonforme Betrieb von Microsoft 365 nicht nachgewiesen werden kann.
Die mangelnde Transparenz konnte auch durch die Anfang 2023 durch das Unternehmen vorgelegte Ergänzung bezüglich der Datenverarbeitung innerhalb der sog. „EU-Datengrenze“ nicht beseitigt werden, da auch bei Speicherung der Daten auf Microsoft-Servern innerhalb der Europäischen Union vereinzelte Datentransfers in die USA nicht ausgeschlossen sowie die Maßgaben des Cloud Act nicht hinreichend berücksichtigt werden konnten.
Das Unternehmen hat nun zum 15. November 2023 einen aktualisierten Nachtrag (DPA) zu seinem Auftragsverarbeitungsvertrag veröffentlicht, durch dem auf Basis der vorliegenden Zertifizierung des Unternehmens nach dem EU-US Privacy Framework Datentransfers nun auf das DPF gestützt werden können. Damit wird die Kritik der Datenschutz-Aufsichtsbehörden formal adressiert. In der Praxis scheint die Zertifizierung unter dem DPF jedoch mitnichten geeignet, die kritisierten Transparenzmängel zu entkräften. Die Selbst-Zertifizierung des Unternehmens nach den Maßstäben des DPF umfasst lediglich Datentransfers zwischen der EU und den USA. Nicht von der Vereinbarung erfasst sind hingegen die in Frage stehenden weiteren Datenverarbeitungen zu eigenen Zwecken des Auftragsverarbeiters (Microsoft).
Frühere Beiträge des JIPS zum Data Privacy Framework: https://www.jura.uni-saarland.de/?s=Data+Privacy+Framework
Quellen:
- Nachricht bei Heise: https://www.heise.de/news/
Datenschutzergaenzung- Microsoft-implementiert-den- EU-USA-Datenschutzrahmen- 9532627.html - Microsoft DPA: https://www.microsoft.com/
licensing/docs/view/Microsoft- Products-and-Services-Data- Protection-Addendum-DPA - Data Privacy Framework: https://www.
dataprivacyframework.gov/ - FAQ zum DPF bzgl. Änderungen für privatwirtschaftliche Unternehmen: https://www.
dataprivacyframework.gov/s/ article/FAQs-EU-U-S-Data- Privacy-Framework-EU-U-S-DPF- dpf) - Bewertung der „Microsoft-Onlinedienste“ durch die DSK: https://www.bfdi.bund.de/
SharedDocs/Downloads/DE/DSK/ DSKBeschluessePositionspapiere /104DSK-Festlegung-Microsoft- Onlinedienste.html - Cloud Act: https://de.wikipedia.org/wiki/
CLOUD_Act