Freiheitsstatue der USA
/ Datenschutz / Cloud, DSGVO, Facebook, Privacy Shield, Standardvertragsklauseln

„Privacy-Shield“ am Ende – keine Daten mehr in die USA?

Dieser Artikel wird laufend aktualisiert und erweitert. Aufgrund des komplizierten Themas werden sich die beteiligten Fachleute erst nach und nach mit Handlungsanweisungen in die Öffentlichkeit trauen. Bitte schauen Sie daher regelmäßig vorbei. Vielen Dank. (Stand: 30.06.2021)

Rechtsanwalt Marc Oliver Giel

Der europäische Gerichtshof (EuGH) urteilte am 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II), dass das EU-US-Privacy-Shield ungültig ist. Datenübertragungen aus Europa in die USA können künftig nicht mehr hierauf gestützt werden und sind ab sofort unzulässig.

Inhaltsverzeichnis
  1. "Privacy-Shield" am Ende – keine Daten mehr in die USA?

Vorgeschichte und Inhalt des Urteils

Die Aufsichtsbehörde in Baden-Württemberg hat in seiner Orientierungshilfe vom 24.08.2020 die Fakten sehr gut verständlich zusammengefasst. Daher wird an dieser Stelle hierauf verwiesen.

Stellungnahmen der Aufsichtsbehörden

Der Bundesbeauftragte für den Datenschutz

Pressemitteilung vom 16.07.2020: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html

Am 8. Oktober 2020 veröffentlichte der Bundesbeauftragte die wesentlichen Kernaussagen des Schrems II Urteils auf seiner Internetpräsenz. Hierzu wurde auch ein Prüfschema für den Drittstaatentransfer erstellt und veröffentlicht.

European Data Protection Board (edpb) (UPDATE)

Am 23.07.2020 veröffentlichte der edpb ein FAQ-Dokument zum EuGH-Urteil. Dieses ist im Moment nur auf Englisch verfügbar.

Am 11. November 2020 veröffentlichte der edpb eine Empfehlung der ergänzenden Maßnahmen nach Schrems II.
Dieses Dokument wurde nun vom edpb am 18. Juni 2021 aktualisiert (sog. Version 2.0). Derzeit ist es nur auf englisch verfügbar.

Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK)

Die DSK hat am 28.07.2020 eine Pressemitteilung veröffentlicht, die ebenfalls sehr klare Anforderungen aufstellt:

Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden.

DSK, 28.07.2020

Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.

DSK 28.07.2020

Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

DSK 28.07.2020

Baden-Württemberg

Ein sehr gut verständliche Orientierungshilfe hat diese Aufsichtsbehörde am 24.08.2020 veröffentlicht. Dazu gibt es mittlerweile eine überarbeitete 2. Auflage, die am 8. September 2020 veröffentlicht wurde und hier abrufbar ist.

Berlin

Die erste deutlichste Stellungnahme wurde bislang von der Berliner Datenschutzbeauftragten veröffentlicht. Sie schreibt u.a. in ihrer Pressemitteilung vom 17.07.2020:

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Maja Smoltczyk (Berliner Datenschutzbeauftragte)

Hamburg

Von dieser Aufsichtsbehörde liegt eine Pressemitteilung vom 16.07.2020 vor.

Nordrhein-Westfalen

Von dieser Aufsichtsbehörde liegt eine Pressemitteilung vor.

Rheinland-Pfalz

In einem Webinar vom 10. November 2020 sprach der Landesbeauftragte Prof. Dr. Kugelmann über die Konsequenzen aus dem „Schrems-II-Urteil“. Die Ergebnisse wurden in einem Foliensatz zusammengefasst. Zudem wurde ein Übersicht mit Prüfschritten veröffentlicht, die durchzuführen sind, wenn Daten in Drittländer übermittelt werden sollen.

Von dieser Aufsichtsbehörde liegt eine Pressemitteilung mit FAQ-Liste vor und ist hier einsehbar: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/

Am 24.07.2020 teilte die Aufsichtsbehörde in einer Stellungnahme mit, dass sie künftig an Unternehmen herantreten werde und die Übermittlungen in Drittländern überprüfen wolle:

„Da dies ab sofort nicht mehr möglich ist, müssen von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden. Dazu müssen die Unternehmen aussagefähig sein.“

Insbesondere zur Übermittlung in die USA auf Basis von Standardvertragsklauseln äußert sich die Behörde wie folgt:

„Die Standardvertragsklauseln müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeutet dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich sind, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden können.“

Außerdem wird angekündigt, dass nun auch die Übermittlung in andere Drittländer genauer überprüft werden würde:

„Zugleich müssen die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt. Dies war vorher schon so und ist nunmehr erst recht dringend erforderlich, hier werden einschlägige Nachprüfungen angeraten.“

Bei den möglichen Konsequenzen nimmt die Behörde kein Blatt vor den Mund:

„Falls die Verantwortlichen dies nicht tun, wird der LfDI Rheinland-Pfalz entsprechende Maßnahmen ergreifen. Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kommen auch weitere Sanktionen in Betracht.“

Immerhin scheinen Geldbußen nur als „ultima ratio“, also „letztes Mittel“ zu dienen:

„Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.“

Thüringen

Von dieser Aufsichtsbehörde liegt eine Pressemitteilung vom 16.07.2020 vor.

Auswirkungen auf Unternehmen

Betroffene Prozesse

Deutsche Unternehmen sind von diesem Urteil nicht nur in Bezug auf die Datenverarbeitung auf der Internetseite betroffen, sondern bei allen möglichen Geschäftsprozessen, wie z.B.:

  • Backup zu einem Hoster mit Sitz in den USA
  • CRM-System in der Cloud bei einem Anbieter mit Sitz in den USA
  • Entwickler von Software mit Sitz in den USA
  • ERP-Software in der Cloud von einem Anbieter mit Sitz in den USA
  • Datenspeicherung in der Cloud mit Sitz in den USA, z. B. Dropbox, Apple iCloud, google Drive, Microsoft Onedrive, Amazon Web Services (AWS)
  • E-Mail-Provider mit Sitz in den USA, z.B. Gmail
  • Kalender in der Cloud bei einem Anbieter mit Sitz in den USA
  • Kaufabwicklungs-System (Aftersales) bei einem Anbieter mit Sitz in den USA
  • Kollaborations-Software bei einem Anbieter mit Sitz in den USA
  • Messenger-System bei einem Anbieter mit Sitz in den USA
  • Newsletterversand, Nutzung eines Anbieters mit Sitz in den USA
  • Office-Paket in der Cloud, wie z.B. Office 365, Google Cloud
  • Personalmanagement-Software in der Cloud von einem Anbieter mit Sitz in den USA
  • Social-Media-Plattformen mit Sitz in den USA oder dem Sitz des Mutterkonzerns
  • Support-Dienstleister mit Sitz in den USA
  • Telefonanlage in der Cloud bei einem Anbieter mit Sitz in den USA
  • Videokonferenzen über einen Anbieter mit Sitz in den USA, z. B. Microsoft Teams, Zoom, FaceTime, Google Hangouts, Whatsapp, Cisco Webex, BlueJeans, Adobe Connect
  • Website wird bei einem Webhoster in den USA gehostet

Betroffene Anbieter

Wenn Sie einen der nachfolgend genannten Dienste in den USA nutzen, müssen Sie sich mit dem Thema beschäftigen, weil diese Dienstleister sich in der Vergangenheit auf das Privacy-Shield berufen haben. Diese Liste ist nicht vollständig!

Amazon

  • Amazon Web Services (AWS): Datenspeicherung in der Cloud bei Amazon. Möglicher Workaround: ???. Alternativen: Hoster in Deutschland oder Europa

STANDARDVERTRASKLAUSELN (Update vom 20.11.2020)

Amazon hat ein eigene Unterseite für den „Datenschutz in Deutschland“ eingerichtet. Dort wird dem Kunden u.a. versprochen:

Mit den folgenden Optionen behalten AWS-Kunden während dem gesamten Lebenszyklus der Inhalte die Kontrolle darüber. Dazu gehören auch Klassifizierung der Inhalte, Zugriffskontrolle, Aufbewahrung und Löschung der Daten:
• Definieren Sie, wo der Inhalt gespeichert werden soll, beispielsweise den Typ und geografischen Standort der Speicherung.
• Definieren Sie das Inhaltsformat, z. B.: Klartext, maskiert, anonymisiert oder verschlüsselt.
• Verwenden Sie weitere Zugriffssteuerungen, etwa Identitäts- und Zugriffsmanagement sowie Sicherheitsanmeldeinformationen.

Zusätzlich gibt es eine Unterseite „Datenschutz-Grundverordnung DSGVO Zentrum„. Von dort wird beispielsweise auf eine Übersicht verlinkt, die für alle AWS Produkte auflistet, ob die nachfolgenden Anforderungen unterstützt werden oder nicht:
https://aws.amazon.com/de/compliance/data-privacy/service-capabilities/

In den allgemeinen AWS-Servicebestimmungen ist der AWS DSGVO DPA (Data Processing Addendum) enthalten.
Von dort wird auf die Liste der Subunternehmer verwiesen. Diese enthält Datentransfers zu Firmen in der ganzen Welt. Immerhin findet sich ein Zusatz in dem DPA, der wohl ausdrücken soll, dass nicht alle Subunternehmer für alle „AWS-Regionen“ gelten sollen:

Customer may move the relevant Customer Data to another AWS Region where the new sub-processor to whom Customer objects, is not engaged by AWS as a sub-processor.“ (DPA, Ziffer 6.1)

Weiter findet sich eine Regelung zu den sog. „AWS-Regionen„:

„Customer may specify the location(s) where Customer Data will be processed within the AWS Network, including the EU (Dublin) Region, the EU (Frankfurt) Region, the EU (London) Region and the EU (Paris) Region (each a “Region”). Once Customer has made its choice, AWS will not transfer Customer Data from Customer’s selected Region(s) except as necessary to provide the Services initiated by Customer, or as necessary to comply with the law or binding order of a governmental body. If the Standard Contractual Clauses apply, nothing in this Section varies or modifies the Standard Contractual Clauses.“ (APD, Ziffer 12.1)

Zu beachten ist zudem, dass der DPA mit der Amazon Web Services Inc. mit Sitz in Seattle, USA, geschlossen wird. Hier stellt sich die Frage, wie die Verträge ausgestaltet sind, wenn der Kunde direkt mit der Amazon Web Services EMEA SARL in Luxembourg oder anderen Destination den Vertrag schließt.

Für die Datenverarbeitung der AWS-Kunden gilt der allgemeine Datenschutzhinweis von AWS. Dies betrifft aber nicht die Daten, die Gegenstand der Auftragsverarbeitung sind.

Einschätzung vom Rechtsanwalt: Positiv ist, dass Amazon hier nicht mehr auf das Privacy-Shield verweist, sondern auf die Standardvertragsklauseln der EU. Positiv ist weiterhin, dass es die klare Regelung zu den „AWS-Regionen“ gibt. Amazon behält sich weiterhin die Übertragung in eine andere Region vor, wenn sie rechtlich oder per Gesetz dazu gezwungen werden.
Unabhängig davon sind in jedem Fall Zusatzmaßnahmen zu treffen, die die Aufsichtsbehörden gerade (4.Q 2020) formulieren (siehe Verlinkungen oben).

Apple

  • Apple iCloud: Datenspeicherung in der Cloud. Möglicher Workaround: ???. Alternativen: Hoster in Deutschland oder Europa
  • Apple iMessage: Nachrichtendienst. Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa, z.B. Threema (Schweiz)
  • Apple Pages, Numbers, Keynote: Office-Paket. Alternativen: Office-Paket nicht in der Cloud, sondern lokal installiert

Dropbox

  • Dropbox Datenspeicherung: Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa.

Facebook

  • Facebook: Social-Media-Plattform.
  • Facebook Messenger: Nachrichtendienst. Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa, z.B. Threema (Schweiz)
  • Instagram: Social-Media-Plattform.
  • WhatsApp: Nachrichtendienst. Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa, z.B. Threema (Schweiz)

STANDARDVERTRAGSKLAUSELN

WhatsApp erklärt auf seiner Homepage:
„Wir verwenden von der Europäischen Kommission genehmigte Standardvertragsklauseln und verlassen uns möglicherweise für Datenübermittlungen aus dem Europäischen Wirtschaftsraum in die USA und andere Länder soweit anwendbar auf die von der Europäischen Kommission erlassenen Angemessenheitsbeschlüsse bezüglich bestimmter Länder.“

Google (umfangreiches Update vorgenommen am 13.11.2020)

Google Workspace (früher G Suite)

Dies ist praktisch das „Office-Paket“ von Google. Kostenpflichtig und werbefrei. Produktseite: https://workspace.google.com/
Google stützt die Datenübertragung auf die Standardvertragsklauseln der EU, die Vereinbarung Standard Contractual Clauses liegt in der Version 1.4 hier zum Abruf: https://workspace.google.com/terms/mcc_terms.html
Das Data Processing Amendment liegt seit dem 12.08.2020 in der Version 2.3 zum Abruf: https://workspace.google.com/terms/dpa_terms.html
Die Liste der Unterauftragnehmer ist hier abrufbar: https://workspace.google.com/intl/en/terms/subprocessors.html
Google bietet hier ein Center für Verträge und Bedingungen an, das man regelmäßig auf Updates überprüfen sollte.

Einschätzung vom Rechtsanwalt: Mit zusätzlicher durchzuführenden Risikoprüfung wie von den Aufsichtsbehörden vorgeschlagen kann die Nutzung von Google Workspace datenschutzkonform eingesetzt werden.

Google Werbeprodukte (Gemeinsame Verantwortlichkeit)
  • AdMob
  • AdSense
  • Authorized Buyers (frühere Bezeichnung: DoubleClick Ad Exchange Buyers)
  • Funding Choices
  • Google Ad Manager (frühere Bezeichnung: DoubleClick for Publishers Small Business und DoubleClick Ad Exchange)
  • Google Ad Manager 360 (frühere Bezeichnung: DoubleClick for Publishers Premium und DoubleClick Ad Exchange)
  • Google Ads (frühere Bezeichnung: AdWords): Alle Google Ads-Programme und -Dienste, auf die Kunden über ihre Google Ads-Konten zugreifen können, mit Ausnahme der Google Ads-Programme und -Dienste, die unter den Anwendungsbereich der Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte fallen und dementsprechend unten aufgeführt sind.
  • Google Kundenrezensionen
  • Waze Ads

Bei diesen Google-Produkten würde mit Google eine Gemeinsame Verantwortlichkeit (Joint Controller) vorliegen. Hierfür gelten dann die
Datenverarbeitungsbedingungen zwischen Verantwortlichen für Google Werbeprodukte“ Version 2.1 (Stand 16.08.2020).
Die Liste der Produkte kann Google jederzeit ändern und ist hier zu überprüfen: https://privacy.google.com/businesses/adsservices/

Google Werbeprodukte (Auftragsverarbeitung)
  • Ads Data Hub
  • Audience Partner API (frühere Bezeichnung: DoubleClick Data Platform)
  • Campaign Manager (frühere Bezeichnung: DoubleClick Campaign Manager)
  • Display & Video 360 (frühere Bezeichnung: DoubleClick Bid Manager)
  • Erweiterte Conversions
  • Google Ads Kundenabgleich
  • Google Ads Ladenverkäufe
  • Google Ads Ladenverkäufe (direkter Upload)
  • Google Analytics
  • Google Analytics 360
  • Google Analytics für Firebase
  • Google Attribution
  • Google Attribution 360
  • Google Data Studio
  • Google Optimize
  • Google Optimize 360
  • Google Tag Manager
  • Google Tag Manager 360
  • Search Ads 360 (frühere Bezeichnung: DoubleClick Search)

Bei diesen Google-Produkten versteht sich Google als Auftragsverarbeiter. Hierfür gelten dann die „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ Version 2.1 (Stand 16.08.2020).
Die Liste der Produkte kann Google jederzeit ändern und ist hier zu überprüfen: https://privacy.google.com/businesses/adsservices/

Einschätzung vom Rechtsanwalt: Die deutschen Aufsichtsbehörden sehen beispielsweise Google Analytics nicht als Auftragsverarbeitung an. Hier gibt es also bereits einen Widerspruch. Bei den anderen Produkten kann mit zusätzlicher durchzuführender Risikoprüfung wie von den Aufsichtsbehörden vorgeschlagen die Nutzung der Google Werbeprodukte datenschutzkonform eingesetzt werden.

Google Cloud

Für die Nutzung der Google Cloud Plattform veröffentlicht Google Data Processing Terms mit dem Stand vom 19.08.2020 und dazugehörige Standardvertragsklauseln mit dem Stand 01.08.2018 in der Version 1.6.
Google bietet hier ein Center für Verträge und Bedingungen an, das man regelmäßig auf Updates überprüfen sollte.

Einschätzung vom Rechtsanwalt: Mit zusätzlicher durchzuführenden Risikoprüfung wie von den Aufsichtsbehörden vorgeschlagen kann die Nutzung der Google Cloud datenschutzkonform eingesetzt werden.

Google Maps

Hierzu habe ich noch keine ausreichenden Informationen seitens Google gefunden. Google hostet die Informationen zur Google Maps Platform unter der Google Cloud. Folglich könnten die Bestimmungen des vorherigen Absatzes gelten.

Möglicher Workaround: Einholung der Einwilligung des Websitennutzers durch Layer über der Karte. Alternativen: nur Verlinkung zu Google Maps.

Google Fonts

In diesem FAQ-Dokument erklärt sich Google zum Datenschutz bei Google Fonts: https://developers.google.com/fonts/faq2#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users

Use of Google Fonts is unauthenticated. No cookies are sent by website visitors to the Google Fonts API. Requests to the Google Fonts API are made to resource-specific domains, such as fonts.googleapis.com or fonts.gstatic.com. This means your font requests are separate from and don’t contain any credentials you send to google.com while using other Google services that are authenticated, such as Gmail.

Google

Möglicher Workaround: Einbindung der Webfonts in die eigene Website. Alternativen: auf Google Fonts verzichten und Standardfonts verwenden

YouTube

Google veröffentlicht Auftragsdatenverarbeitungsbedingungen vom 31.01.2020 24.11.2020. Dort werden jetzt neuerdings die EU-Standardvertragsklauseln mit einbezogen. Der Vertrag enthält nun auch die technisch-organisatorischen Maßnahmen (TOM).

Hier werden die von Google betriebenen Rechenzentren aufgelistet: https://www.google.com/about/datacenters/locations/
Die Unterauftragnehmer sind hier aufgelistet: https://privacy.google.com/businesses/subprocessors/

Es gibt eine Seite zur Verwaltung der Einstellungen zu Werbung: https://adssettings.google.com/. Diese Einstellungen gelten wohl nur in dem derzeit genutzten Browser. Wenn die Einstellungen in allen Browsern und auf allen Geräten gelten soll, muss man sich bei Google anmelden.
Weiter gibt es eine Seite zur Verwaltung der Einstellungen zu „Sozialen Empfehlungen“: https://support.google.com/accounts?p=privpol_endorse&hl=d

Schließlich gibt es eine eigene Datenschutzerklärung für YouTube Kids: https://kids.youtube.com/t/privacynotice vom 01.09.2020.

Google Analytics

In dieser Datenschutzinformation hat Google Informationen zusammengetragen, die für Besucher von Webseiten gelten, auf denen der Webseitenbetreiber Google Analytics einsetzt.

Google hat außerdem Datenverarbeitungsbedingungen (Stand 04.09.2019) veröffentlicht, in denen sich Google als Auftragsverarbeiter sieht und verweist auf den Auftragsverarbeitungsvertrag (Stand 01.01.2020).

Die Nutzungsbedingungen für Google Analytics werden hier veröffentlicht (Stand 17.06.2019). Dort erteilt man Google tatsächlich die Einwilligung in die Nutzung der mittels Google Analytics erhobenen Daten in Ziffer 6:

Sie erklären sich damit einverstanden, dass Google oder seine verbundenen Unternehmen Informationen über Ihre Benutzung des Service (einschließlich und ohne Einschränkung auch von Kundendaten) speichert und für die Zwecke der Bereitstellung des Webanalyse- und Trackingdienstes nutzt, soweit dies im Rahmen der Bedingungen von Googles Privacy Policy (abrufbar unter https://www.google.com/policies/privacy/) oder unter jeder anderen, zu einem späteren Zeitpunkt zu diesem Zweck von Google benannten URL) erfolgt.

Microsoft

Stellungnahme von Microsoft an seine Kunden: https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/

  • Microsoft Office 365: Office-Paket in der Cloud. Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher). Alternativen: Office-Paket nicht in der Cloud, sondern lokal installiert
  • Microsoft OneDrive: Datenspeicher in der Cloud. Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher). Alternativen: Hoster in Deutschland oder Europa
  • Microsoft Teams: Kollaborationswerkzeug. Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher). Alternativen: ???

STANDARDVERTRASKLAUSELN (Update vom 24.11.2020)

Am 04.11.2020 überarbeitete Microsoft eine Seite in ihrem Compliance-Bereich zum Thema Standardvertragsklausel. Dort wird dargestellt, dass sich Microsoft auf die Standardvertragsklauseln der EU bezieht hinsichtlich der Datenübertragung in die USA:

Microsoft bietet Kunden Modellklauseln, die als Standardvertragsklauseln bezeichnet werden, die spezifische vertragliche Garantien in Bezug auf die Übertragung personenbezogener Daten für im Umfang enthaltene Microsoft-Clouddienste umfassen. So wird sichergestellt, dass die Kunden von Microsoft Daten ungehindert über die Microsoft Cloud aus dem EWR in Drittländer übertragen können.

Am 20.11.2020 reagierte Microsoft in seinem News-Bereich auf den zunehmenden europäischen Druck, endlich geeignete Garantien für die Datenübertragung in die USA zu gewährleisten. In der Selbstverpflichtung heißt es nun unter anderem:

„Mit der heutigen Ankündigung ist Microsoft das erste Unternehmen, das auf den Empfehlungsentwurf des Europäischen Datenschutzausschusses mit neuen Verpflichtungen reagiert, die die Stärke unserer Überzeugung zeigen, die Daten unserer Kunden zu schützen.“

Unter dem Begriff „Defending Your Data“ wird eine Zusatzvereinbarung (Additional Safeguards Addendum to Standard Contractual Clauses) als Word-Dokument zur Verfügung gestellt, die im Wesentlichen zwei grundlegende Verpflichtungen enthält:

Erstens verpflichten wir uns, dass wir jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten unserer Unternehmenskunden oder unserer Kunden aus dem öffentlichen Sektor anfechten werden, wenn es dafür eine rechtliche Grundlage gibt. Diese umfassende Verpflichtung geht über die vorgeschlagenen Empfehlungen des Europäischen Datenschutzausschusses hinaus.

Zweitens werden wir die Nutzer*innen unserer Kunden finanziell entschädigen, wenn wir ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen müssen. Diese Verpflichtung geht ebenfalls über die Empfehlungen des Europäischen Datenschutzausschusses hinaus. Damit zeigen wir unsere Zuversicht, dass wir die Daten unserer Unternehmenskunden und unserer Kunden aus dem öffentlichen Sektor schützen können und sie keiner unangemessenen Offenlegung aussetzen werden.

Am 22.11.2020 traf bei mir eine E-Mail „Update Notification“ ein mit der Überschrift „Information about moving your core customer data to the Germany datacenter geo​ MC226962„.
Demnach kann man selbst in seinem eigenen Microsoft-Konto vor dem 1. Mai 2021 einstellen, dass alle Daten, die die folgenden Dienste betreffen, bis zum 1. Mai 2023 in ein anderes Datenzentrum (z.B. Deutschland) verschoben werden soll:
Exchange Online (E-Mails)
SharePoint Online
OneDrive for Business
Teams (Chat, Kollaboration, Videokonferenzen etc.)

Wie geprüft werden kann, in welchem Datenzentrum sich die Daten aktuell befinden und wie man die Übertragung nach Deutschland beantragen kann beschreibe ich in meinem Blogbeitrag.

Eine allgemeine Informationsseite zum Datenschutz von Microsoft findet sich hier: https://www.microsoft.com/de-de/trust-center/privacy
Das Data Protection Addendum von Microsoft findet sich in deutsch hier: https://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=17871 (Stand Juli 2020)
Die Liste der Unterauftragsverarbeiter für Microsoft Online Services findet sich in englisch hier: https://servicetrust.microsoft.com/Library?command=Download&downloadType=Document&downloadId=926b2cf5-6b6e-43ca-9bc3-f73e961aad5f (Stand Juli 2020)

Data Protection Addendum (Update vom 15.12.2020)

Microsoft hat am 09.12.2020 ein aktualisiertes Data Protection Addendum veröffentlicht: https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=67

Dieses liegt derzeit nur auf englisch vor. Nach Prüfung des Inhalts werde ich an dieser Stelle meine Prüfergebnisse präsentieren.

Newsletter-Anbieter

  • ActiveCampaign: Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher), Einholung wirksamer Einwilligungen (unsicher). Alternativen: Anbieter in Deutschland oder Europa
  • AWeber: Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher), Einholung wirksamer Einwilligungen (unsicher). Alternativen: Anbieter in Deutschland oder Europa
  • MailChimp: Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher), Einholung wirksamer Einwilligungen (unsicher). Alternativen: Anbieter in Deutschland oder Europa

Social-Media-Plattformen

  • Twitter: Während das Unterhalten eines Facebook-Profils (Fanpage) bereits offiziell nicht mehr als „Auftragsverarbeitung“ sondern als gemeinsame Verantwortlichkeit eingestuft wurde, liegt hinsichtlich des Betreibens eines Twitter-Profils noch keine offizielle Stellungnahme vor. Twitter selbst veröffentlicht zum Datenschutz folgende Informationen:
    • Für die Nutzer innerhalb der Europäischen Union ist zuständig: Twitter International Company, z. Hd.: Data Protection Officer, One Cumberland Place, Fenian Street, Dublin 2, D02 AX07 IRLAND
    • Datenschutzrichtlinie von Twitter: https://twitter.com/de/privacy
    • Subunternehmer von Twitter: https://privacy.twitter.com/de/subprocessors (alle in den USA)
    • Drittlandsübermittlungen: „Deine Daten, die wir erhalten, wenn du unsere Dienste nutzt, können in die USA, nach Irland und in andere Länder, in denen wir tätig sind, übertragen und dort gespeichert werden, auch durch unsere Niederlassungen, Partner und Service-Provider. In einigen dieser Länder gelten Datenschutzgesetze und Regeln zum Datenzugriff, die von denen in deinem Wohnsitzland abweichen können. Wir stützen uns bei der gesetzmäßigen Weitergabe personenbezogener Daten auf verschiedene Rechtsgrundlagen, u. a. auf das EU-US Privacy Shield und die von der EU-Kommission genehmigten Modellvertragsklauseln.“ (Quelle: https://help.twitter.com/de/rules-and-policies/global-operations-and-data-transfer)

Leider reicht diese unklare Stellungnahme nicht aus. Selbst wenn man als Rechtsgrundlage die Standardvertragsklauseln annehmen sollte, muss zusätzliche eine Risikoanalyse durchgeführt werden.

Videokonferenz-Anbieter

  • Adobe Connect:
  • Apple FaceTime:
  • Cisco Webex:
  • Facebook Messenger:
  • Google Hangout:
  • Microsoft Teams, Microsoft Skype:
  • Verizon BlueJeans:
  • Zoom:

Für alle US-Anbieter gilt: Möglicher Workaround: End-to-End Verschlüsselung einsetzen (wenn vorhanden), Alternativen: Nutzung eines Videokonferenz-Anbieters mit Sitz in Deutschland oder Europa.

Mögliche Alternativen:
  • edudip Cloud-Anbieter mit Sitz in Aachen, Pakete mit 30, 100 oder bis zu 1000 gleichzeitigen Teilnehmern
  • FastViewer Anbieter mit Sitz in München, bis zu 100 gleichzeitigen Teilnehmern, Kauf- oder Mietversion
  • jitsi.org gibt es auch als App (Jitsi Meet), kostenfrei
  • Mikogo Cloud-Anbieter mit Sitz in München, bis zu 25 gleichzeitigen Teilnehmern
  • Rakuten Viber Cloud-Anbieter mit Sitz in Luxemburg, wirbt mit End-zu-End-Verschlüsselung, es würden auch „nichts“ auf Viber Servern gespeichert, allerdings nur zwischen 2 Personen möglich
  • Speed.me Selbstgehostete Videokonferenzlösung, 6 gleichzeitige Teilnehmer an einer Sitzung, 10 parallele Sitzungen
  • Wire Anbieter mit Sitz in der Schweiz, Server in der EU. Ende-zu-Ende-Verschlüsselung, nur bis zu 4 gleichzeitigen Teilnehmern, gibt es auch self-hosted

In der Fachzeitschrift Datenschutz und Datensicherheit (DuD) Ausgabe 11 aus 2020 setzten sich verschiedene Experten mit den rechtlichen Anforderungen an zulässige Videokonferenzsysteme auseinander. Der Artikel ist als epdf abrufbar.

Erforderliche Maßnahmen / Todo`s

Da eine schnelle und rechtssichere Lösung seitens des Gesetzgebers nicht zu erwarten ist, müssen alle Unternehmen jetzt handeln und sich eine Strategie erarbeiten zur baldigen Umsetzung.

Analyse / Vorarbeiten

Sofern noch keine Übersicht aller Auftragsverarbeiter im Unternehmen erstellt wurde und auch kein Verzeichnis der Verarbeitungstätigkeiten vorliegt, muss als erstes eine solche Übersicht aller externen Datenverarbeitungen angefertigt werden. Folgende Tabelle (Einträge sind beispielhaft) kann dabei helfen:

Name des DienstleistersZweck der VerarbeitungRechtsgrundlage (alt)Ort der DatenverarbeitungAlternativeMaßnahme
Microsoft OnedriveSpeicherung der Kundendaten, SchriftverkehrPrivacy ShieldUSAHoster in EuropaR
Google AnalyticsWebtrackingEinwilligungUSAEinwilligung (mit Rechtsunsicherheit)E

Nach Erstellung der Liste sind alle Einträge in den Zeilen dahingehend zu überprüfen, ob eine Rückholung der Daten und Verarbeitung / Speicherung bei einem Anbieter in Deutschland oder Europa zeitnah und mit vertretbarem Aufwand umgesetzt werden kann. Alternativ ist zu überlegen, ob eine wirksame Einwilligung des Inhabers der Daten eingeholt werden kann. Eine mögliche Klassifizierung könnte wie folgt aussehen:

  • E: Einwilligung muss eingeholt werden (Unsicherheit, ob Einwilligung wirksam ist)
  • R: Rückholung der Daten zu europäischem Anbieter oder „on-premise“
  • SDK: Standardvertragsklauseln mit Anbieter vereinbaren (Diese sind allenfalls mit zusätzlichen Maßnahmen wirksam)
  • O: Vorerst keine Maßnahme umzusetzen, Risiko muss eingegangen werden

Umsetzung Schritt 1

Nach der Analyse sind die Maßnahmen anzugehen, die am schnellsten umgesetzt werden können. Dies kann beispielsweise sein bei reiner Datenspeicherung oder Backup in den USA und Neubeauftragung eines Anbieters in Europa. Die Daten müssen zum neuen Anbieter kopiert und beim Hoster in den USA unwiderruflich gelöscht werden.

Umsetzung Schritt 2

Als 2. Schritt könnten die Maßnahmen umgesetzt werden, die längere Überprüfungen beanspruchen, beispielsweise die Prüfung, ob die vom Anbieter in den USA zur Verfügung gestellten Standardvertragsklauseln wirksam sind.

Wiedervorlage

Die dann noch offenen Dienstleister müssen im Rahmen einer Wiedervorlage beispielsweise Anfang 2021 erneut geprüft werden.

Verweise zu anderen Quellen und Dokumenten

  • Der Europäische Datenschutzausschuss (EDPB) veröffentlichte bereits ein FAQ-Dokument zum Thema (pdf).
  • Der Kläger in dem Verfahren vor dem Europäischen Gerichtshof (Maximillian Schrems) beteiligt sich an der Organisation „NOYB – Europäisches Zentrum für digitale Rechte“ und diese veröffentlichte ebenfalls FAQ für EU-Unternehmen. Dort findet sich auch eine Liste von US-Unternehmen, die den Überwachungsgesetzen der USA ausgeliefert sind. Unter anderem schreibt er dazu:

Die meisten US-Cloud-Anbieter fallen unter FISA 702. Solche Anbieter werden Sie nicht mehr nutzen können.

noyb

Quellenangabe: Bild von ThePixelman auf Pixabay

Nach oben scrollen