Das Privacy-Shield ist ein Abkommen, dass die Datenübermittlung an Unternehmen mit Sitz in den USA regelt. US-Unternehmen, die an diesem Abkommen teilnehmen, verpflichten sich zu folgenden Grundsätzen der GDPR/DSGVO (Datenschutz-Grundverordnung): Datensparsamkeit, Datenverarbeitung nur mit Zweckbindung, Beantwortung von Beschwerden innerhalb von 45 Tagen und Kooperation im Fall einer Untersuchung.
Damit konnten Dienste von US-Unternehmen auch in der EU genutzt werden und die Einhaltung der EU-Regelungen zum Datenschutz war automatisch gegeben, solange der Anbieter im Privacy-Shield zertifiziert ist. Doch dann gab es eine tiefgreifende Gesetzesänderung.
Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield-Abkommen für ungültig erklärt. Hintergrund ist nicht das Abkommen selbst, sondern ein als „Cloud-Act“ bezeichnetes US-amerikanisches Gesetz, das US-Behörden weitreichende Zugriffe auf Daten von US-Unternehmen einräumt. Für diese Zugriffe finden wiederum die Regelungen der GDPR/DSGVO keine Anwendung. Somit änderten sich auch die gesetzlichen Regelungen für Firmen innerhalb der europäischen Union, welche mit einer Datenhaltung auf US-Amerikanischen Servern arbeiten.
Grundsätzlich ist der Wegfall des Privacy-Shield-Abkommens NICHT mit einem Verbot für den Einsatz von US-Diensten bzw. Programmen von Herstellern mit Sitz in den USA gleichzusetzen. Stattdessen muss die GDPR/DGSVO-konforme Verwendung der Dienste und Anwendungen genauer geprüft werden.
Die Firma Microsoft sagt z.B., dass die angebotenen Dienste weiterhin verwendet werden können. Grundlage dafür ist, dass die geltende Implementierung der Standardvertragsklauseln seitens Microsofts die strengen Anforderungen der EU erfüllt (die Artikel-29-Datenschutzgruppe der EU hat dies bestätigt).
Microsoft speichert die Kundendaten immer in der geografischen Nähe der jeweiligen Kunden. Wird ein Kunde mit Geschäftssitz in Deutschland bei Microsoft registriert wird dementsprechend automatisch ein Speicherort in einem Rechenzentrum gewählt, welches in Deutschland lokalisiert ist. Dies gilt für die Daten der meisten Microsoft-Dienste. Ausnahmen bilden Skype for Business, Intune, Planner, Yammer, Stream, Whiteboard und Formulare. Für diese Dienste werden Daten jedoch trotzdem innerhalb der EU gespeichert. Für alle anderen Dienste (Exchange, OneDrive, SharePoint, Teams, usw.) werden Server in Deutschland genutzt.
Im Allgemeinen können die Dienste und Produkte von Microsoft auch aktuell rechtskonform verwendet werden. Dennoch sollten man die Entwicklungen zum Thema Datenschutz weiterhin aufmerksam verfolgen. Softwareprodukte und Rechtstexte ändern sich stetig, so dass sich ggf. neue Handlungsempfehlungen ergeben. Wir werden unsere Kunden dazu informieren, falls geschäftsrelevante Änderungen eintreten.
Zum Weiterlesen:
Microsoft-Stellungnahme zum Urteil des Europäischen Gerichtshofs
"Die DSGVO wird 98% der Unternehmen betreffen". Dina Richter gewährt einen Einblick in die DSGVO und gibt Aufschluss über mögliche Empfehlungen.
Die DSGVO tritt am 25. Mai 2018 nach zweijähriger Übergangsphase in Kraft. Informieren Sie sich jetzt und bereiten Sie sich mit Hilfe der QITEC vor.
Microsoft stellt Skype for Business am 31. Juli 2021 ein. Ab diesem Zeitpunkt kann nicht mehr auf den Dienst zugegriffen. Jetzt Umsteigen auf Teams.