Microsoft und die Datenschutzdiskussion

Nutzung US-amerikanischer Bürosoftware nach Schrems II

Vor allem deutsche, aber auch europäische Unternehmen sind stark exportorientiert. Mit dem internationalen Handelsvolumen gehen auch immer weiter steigende Cross-Border-Datenflüsse einher. Innerhalb des europäischen Binnenmarkts gelten durch die DS-GVO klare Regelungen und ein hohes Datenschutzniveau für den hiesigen Datenverkehr. Beim Handel mit Drittstaaten wie den USA, dem wichtigste Handelspartner der EU, bestehen jedoch datenschutzrechtliche Unsicherheiten.

Das EuGH-Urteil vom 16. Juli 2020 „Schrems II“

Der EuGH hat mit Schrems-II das bisherige EU-US-Privacy-Shield-Abkommen gekippt. Das Abkommen kann somit die Datenübermittlungen in die USA nicht mehr rechtfertigen. Dies lieg laut EuGH maßgeblich an der überzogenen Massenüberwachung durch US-amerikanische Sicherheitsbehörden wie der NSA. Beim Einsatz internationaler Software drohen deswegen nun datenschutzrechtliche Schwierigkeiten. Auf den ersten Blick können US-amerikanische Softwareanbieter seither Verstöße gegen die DS-GVO nur noch auf zwei Arten verhindern. Entweder durch eine Verlagerung der Datenverarbeitung in die EU oder durch die Implementierung zusätzlicher Sicherheitsmaßnahmen, um einen übermäßigen Zugriff amerikanischer Behörden auszuschließen.

Microsoft, Clouds und datenschutzrechtliche Unklarheiten

Der Konzern Microsoft verarbeitet nach eigenen Angaben die Daten von Europäer*innen bei der Nutzung von so bekannten Diensten wie Microsoft 365 ausschließlich in der EU. Dennoch werden der Dienst und das dabei bestehende Risiko für den Datenschutz kontrovers diskutiert. So ist die Datenschutzkonferenz von Bund und Ländern in Deutschland (DSK) beim Thema Microsoft 365 noch zu keinem einheitlichen Entschluss gekommen, wie es um den zulässigen Einsatz US-amerikanischer Software steht. Schließlich bietet auch eine europäische Datenverarbeitung keinen hinreichenden Schutz vor dem sogenannten Cloud-Act. Dieser verpflichtet Anbieter*innen von Kommunikations- und Cloud-Angeboten dazu, Anfragen amerikanischer Behörden Folge zu erfüllen, unabhängig davon, wo die Daten gehostet werden. Laut des Europäischen Datenschutzausschusses (EDSA) sei deswegen insbesondere eine clientseitige, technische Verschlüsselung bei der Diensterbringung wichtig. Die möglichen Lösungen sind jedoch nicht schnell und praktikabel umsetzbar. US-amerikanische Angebote wie die Cloud „OneDrive“ können aber nicht einfach verboten werden. Vielmehr sind sie aktuell regelmäßig Marktstandart und es fehlt häufig an wettbewerbsfähigen Alternativen aus der EU.

Zulässige Anwendung von Microsoft 365 – DATAKONTEXT beantwortet Fragen

Wirksamer Datenschutz muss auch international ansetzen. In der Online-Schulung „GDD-Forum: Microsoft und die Datenschutzdiskussion“ lernen Sie die bestehenden Werkzeuge richtig einzuordnen und Fallstricke bei der operativen Umsetzung zu umgehen. Prof. Dr. Rainer W. Gerling, Honorarprofessor für IT-Sicherheit an der Hochschule München stellvertretender GDD-Vorsitzender, die Leitung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), vertreten durch Michael Will und Andreas Sachs sowie Dr. Johann Bizer, Vorstandsvorsitzender bei Dataport, führen Sie ein in die datenschutzrechtliche Problematik von Microsoft Office, Windows 10 und Cloud Diensten. Die rechtlichen Fragen der Nutzung von Microsoft 365 werden vorgestellt und im Licht des Schrems-II-Urteils beleuchtet. Im Anschluss wird Ihnen Fatih Ataoglu, Head of Data Privacy and Data Security von Microsoft Germany darlegen, was Microsoft zur Verbesserung des Datenschutzes bereits getan hat und in der Zukunft weiterhin plant. Top-Experten vermitteln Ihnen, was man durch technisch-organisatorische Maßnahmen und geeignete Konfiguration als Unternehmen tun kann, um die Sicherheit und den Datenschutz bei Microsoft 365 zu erhöhen.

Weitere Informationen finden Sie hier.

Foto: tippapatt – Stock.adobe.com