Nach dem Schrems II Urteil im Juli diesen Jahres, hat sich Microsoft wohl so einige Gedanken gemacht. Ab sofort will sich der Konzern gegen Anfragen durch die US-Behörden wehren bzw. diese anfechten und im Zweifel Schadensersatz an die Betroffenen leisten.
Nicht für Privatkunden
Die verbesserten Maßnahmen von Microsoft betreffend allerdings nur Firmenkunden und die Kunden aus dem öffentlichen Bereich, Privatkunden sind von den Änderungen ausgenommen. Im Grunde ändert Microsoft den Zugriff zu den Daten. Immer wenn die US-Behörden auf Daten von Microsoft Kunden zugreifen will, will der Konzern dies anfechten. Sollte nun doch ein Zugriff seitens der Behörden erfolgen, werden die Kunden dafür entschädigt. Microsoft sieht dies als Schutzmaßnahme für Kunden, die ihre Daten aus der EU transferieren müssen. Die Änderungen werden ab sofort umgesetzt und in die Verträge aufgenommen. Der Konzern ist davon überzeugt, mit seinen Maßnahmen, dem Datenschutz genüge zu tun. Ein Stopp des Datentransfers ist das allerdings nicht.
Schutzmaßnahmen
Mit den Schutzmaßnahmen will der Konzern jeden Versuch einer staatliche Stelle, auf Daten zuzugreifen anfechten. Das heißt nicht nur Zugriffsversuche durch die US-Regierung, sondern jede staatliche Stelle. Wenn dann ein Zugriff auf die Daten erfolgen sollte, will Microsoft Schadensersatz leisten, wenn damit die DSGVO verletzt wird. Nach Microsoft würde dies über die gesetzlichen Verpflichtungen hinaus gehen. Allerdings sieht die DSGVO bei einer solche Verletzung an sich, ebenfalls Schadensersatz vor.
Wie geht es weiter und Empfehlungen der EDSA
Seit dem Schrems II Urteil haben die Firmen bisher eher wenig unternommen, um der Abschaffung des Privacy Shield Abkommens Rechnung zu tragen. Mit der Einsicht durch Microsoft macht ein großer Konzern, zumindest schon einmal Schritte in die richtige Richtung. Das sieht auch der Datenschutzbeauftragte von Baden-Württemberg so. Dr. Stefan Brink weiter dazu: „Es ist gut und notwendig, dass das Unternehmen sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln entsprechend ändert.“ Für den Transfer von Daten in die USA oder in andere Drittländer sollten immer Standardvertragsklauseln geschlossen werden. Hier erarbeitet die EU-Kommission aktuell bereits neue, um die Problematik mit abzubilden. Beim Transfer von personenbezogenen Daten in die USA oder Drittländer, empfiehlt der Europäische Datenschutzausschuss (EDSA) daher „zusätzliche Maßnahmen“. Diese Maßnahmen sollten dem Schutzniveau der EU entsprechen. Mit den Zugeständnissen von Microsoft ist das Problem mit dem Transfer der Daten noch nicht sauber gelöst, jedoch ist es ein Anfang. Wie heißt es so schön: „Der Weg ist das Ziel“.
