Artikel 29 Arbeitsgruppe segnet Microsofts “MS-Agreement” ab

Microsoft erbat im Februar dieses Jahres bei der sogenannten „Artikel 29 Arbeitsgruppe“, ein beratendes Gremium bestehend aus den Datenschutzaufsichtsbehörden der einzelnen EU-Mitgliedsstaaten, die datenschutzrechtliche Prüfung einer überarbeiteten Version des sogenannten MS-Agreement (Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement).

Kunden von Microsoft sollen hierdurch u.a. leichter die europäischen Anforderungen an ausreichende datenschutzrechtliche Garantien für einen Drittstaatentransfer erfüllen können. Die Vereinbarung regelt zwar nicht die exakten vertraglichen Rechte und Pflichten von Microsoft und seinen Kunden im Einzelfall, letzteren wäre aber bereits geholfen, wenn die datenschutzrechtliche Frage der Übermittlung personenbezogener Daten in ein unsicheres Drittland „vom Tisch“ wäre. Die USA gelten ja bekanntlich als ein datenschutzrechtlich unsicheres Drittland und hierfür müssen ausreichende Garantien gewährleistet sein.

Die Artikel 29 Arbeitsgruppe veröffentlichte eine Stellungnahme, dass die angepasste Version der zur Prüfung vorgelegten Vereinbarung von Microsoft nunmehr einen vergleichbaren Schutzstandard gewährleistet, wie die entsprechenden Standardvertragsklauseln nach dem Beschluss der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (2010/87/EU).

Die unveränderte Nutzung dieser Klauseln gewährleistet ein angemessenes datenschutzrechtliches Schutzniveau bei dem Drittstaatendatentransfer. Die überarbeitete Microsoftvereinbarung muss von den nationalen Aufsichtsbehörden grundsätzlich nicht mehr genehmigt werden, was bei derlei Vereinbarungen sonst ohne Verwendungen der Standardvertragsklauseln der Fall wäre.

Die Vertragsparteien müssen zwar weiterhin die technisch-organisatorischen Maßnahmen (vgl. § 9 und Anlage BDSG) und die Beschreibung des Umfangs und des Zwecks des Datentransfers vertraglich regeln, die praktische Relevanz sollte dennoch nicht unterschätzt werden, da Konzerne wie Microsoft sich regelmäßig weigern, fremde Vertragsmuster zu übernehmen und den Standardvertragsklauseln der EU bislang kritisch gegenüberstanden.

Ein Vorteil für die Unterzeichner dieser Vereinbarung dürfte zudem ein „Mehr“ an Sicherheit sein. Aktuell lässt sich das datenschutzrechtliche Problem des unsicheren Drittlandes „USA“ (noch) mit der Möglichkeit der Selbstlizensierung von US-Dienstleistern nach dem Safe-Harbor-Abkommen lösen. Safe Harbor steht insbesondere in Deutschland jedoch stark in der Kritik und wäre für die Unterzeichner des MS-Agreements entbehrlich.

Zudem darf man sich für die Praxis eine gewisse Ausstrahlungswirkung erhoffen, dass auch andere Internetkonzerne dem Beispiel von Microsoft folgen und eine Prüfung eigener Standardklauseln bei der Artikel 29 Arbeitsgruppe beantragen.

Im Lichte eines laufenden Gerichtsverfahrens von Microsoft verbleibt ein Aspekt jedoch ungeklärt und war auch nicht Gegenstand der Prüfung der Artikel 29 Arbeitsgruppe. Microsoft wehrte sich bislang gegen ein Herausgabeverlangen von US-amerikanischen Ermittlungsbehörden von E-Maildaten, welche sich physisch in einem irischem befinden. Bislang unterlag Microsoft vor Gericht.

Sollte sich herausstellen, dass Microsoft durch die Gesetze der Vereinigten Staaten gezwungen werden kann, Daten, welche sich physisch im Geltungsbereich der europäischen befinden, in die USA zu übermitteln, müsste hinterfragt werden, ob US-Dienstleister aus europäischer Sicht überhaupt ausreichende Sicherheitsgarantien vertraglich zusichern können oder entsprechend europäische Kunden ggf. auf solche Zusicherungen überhaupt vertrauen dürften. Da die Daten auf einem europäischen Server gespeichert waren, sich also physisch auf dem Gebiet der EU und in dem Geltungsbereich des europäischen Datenschutzrechts befanden, hat das Geschehen in den USA durchaus Bedeutung für deutsche Anwender von US-Cloud-Diensten.

Die Entwicklung in den USA ist noch nicht abgeschlossen, weil das Urteil gegen Micosoft nicht rechtskräftig ist und Berufung eingelegt wurde und der Gesetzgeber vielleicht noch reagieren wird. Zu groß erscheinen die wirtschaftlichen Interessen der US-Internetkonzerne am europäischen Markt.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen