DSGVO-Update zum Privacy Shield Abkommen, Microsoft 365 und der E-Privacy-Verordnung

by dbsadmin
on November 13, 2020

1. Was das Ende des Privacy Shield für den Datenverkehr mit den USA bedeutet

Für einen lauten Knall sorgte am 16. Juli der Europäische Gerichtshof, als er das „Privacy Shield“-­Abkommen zwischen der EU und den USA für unwirksam erklärte.

Quelle: https://www.heise.de/news/Was-das-Ende-des-Privacy-Shield-fuer-den-Datenverkehr-mit-den-USA-bedeutet-4852929.html

Auf Heise.de beschreibt der Kommentar zu diesem Artikel beschreibt wunderbar das Problem was das Urteil der EuGH zur Privacy-Shield-Abkommen mit der USA bedeutet.

https://www.heise.de/meinung/Kommentar-EuGH-Urteil-zu-Privacy-Shield-ist-eine-Katastrophe-mit-Ansage-4851570.html

Die Zukunft des Datentransfers über den Atlantik ist daher alles andere als klar.

2. Datenschutzbehörden erklären den Einsatz von Microsoft 365 für rechtswidrig

Quelle: https://www.heise.de/news/Datenschutzbehoerden-erklaeren-den-Einsatz-von-Microsoft-365-fuer-rechtswidrig-4931745.html

Zitat: Was die Datenschutzbehörden Anfang Oktober veröffentlicht haben, bewegt sich irgendwo zwischen unverschämt und weltfremd, findet Heise-Justiziar Joerg Heidrich.

Microsoft 365 gehört sowohl für den gewerblichen als auch den öffentlichen Bereich derzeit zu den wichtigsten Software-Angeboten.

Für seine Untersuchung nahm der „Arbeitskreis Verwaltung“ der DSK die dem Einsatz des Produkts zugrunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum) unter die Lupe. Eine technische Überprüfung der an Microsoft tatsächlich übermittelten Daten fand nicht statt.

In erster Linie hat die Konferenz geprüft, ob Microsoft 365 – das zum Zeitpunkt der Kontrolle noch Microsoft Office 365 hieß – die Anforderungen von Artikel 28 Absatz 3 der DSGVO erfüllt. Diese Vorschrift regelt den Umgang mit sogenannten Auftragsverarbeitern, also Unternehmen, an die personenbezogene Daten zur Weiterverarbeitung übermittelt werden.

Es sei nicht eindeutig ersichtlich, welche Daten tatsächlich verarbeitet werden, kritisierte die DSK. Dies gelte insbesondere für Informationen, die die Microsoft-Zentrale in den USA im eigenen Interesse verarbeite. Im Visier stehen hier vor allem die Telemetriedaten der einzelnen Nutzer.

Für private Unternehmen besteht ein legaler Zweck der Verarbeitung – der legitime Geschäftszweck, den Microsoft als Rechtsgrundlage für die eigene Nutzung der Daten nenntn. Dies gilt in der Regel aber nicht für alle öffentlichen Stellen (für die Verwaltung).

Laut DSK bedarf es zur Speicherung in der Microsoft-Cloud einer eigenen Rechtsgrundlage, „die es der öffentlichen Verwaltung erlaubt, Daten von Beschäftigten oder Bürgerinnen und Bürgern für diese Zwecke zur Verfügung zu stellen“. Zudem fehlten eine Aufstellung der Unterauftragsverarbeiter von Microsoft ebenso wie Angaben zur Löschfrist von bestimmten Daten.

Die Nutzungsbedingungen sind nicht präzise dargestellt. Es ist zwar davon auszugehen, dass Microsoft durchaus die „technischen und organisatorischen Maßnahmen (TOMs)“ einsetzt, um den Zugriff von unbefugten auf diese Daten zu schützen, doch nach DSGVO muss  Microsoft diese TOMs auch beschreiben und für Geschäftspartner als Auftragsverarbeiter zur Verfügung stellen um die Risiken einschätzen zu können.
Der CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ist das US-Gesetz gestattet Ermittlungsbehörden wie dem FBI, auf personenbezogene Daten zuzugreifen, die US-Provider wie Microsoft in europäischen Rechenzentren speichern. Microsoft verwies in der untersuchten Datenschutzerklärung für Onlinedienste lediglich darauf, dass „verarbeitete Daten außerhalb der Weisung des Kunden auch offengelegt werden können, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben wird“. Diese Information ist für die DSK „nicht hinreichend konkret“.
In der Abstimmung der 16 Teilnehmer der Länder gab es mit 8 zu 8 Stimmen eine seltene Unstimmigkeit ob der Einsatz von Microsoft 365 für die öffentlichen Stellen, sprich Verwaltung nun erlaubt sei oder nicht.
Ich denke Microsoft wird weiter an seinen DSGVO Bestimmungen arbeiten und hier einen weiteren Schritt auf Europa zugehen. Bisher hat Microsoft seine Datenschutzkonfigurationsmöglichkeiten immer weiter verbessert, und der europäische Wirtschaftsraum ist für Microsoft wichtig – allerdings ist auch umgekehrt Microsoft 365 mit seiner Produktivitätssteigerung und Effizienz beim Vorantreiben der Digitalisierung ein wichtiger Wirtschaftsfaktor der nicht zu vernachlässigen ist. Es ist für beide Seiten wichtig dass es ein produktives legales Miteinander möglich ist.

3. Update E-Privacy-Verordnung

Die Bundesregierung startet einen weiteren Versuch zur Rettung der E-Privacy-Verordnung. IT-Wirtschaft und Verlage lehnen den Vorschlag ab.

Ich zitiere hier Teilweise einen Artikel auf www.Golem.de verfasst von Herrn Friedhelm Greis (URL: https://www.golem.de/news/nutzertracking-letzter-aufruf-e-privacy-verordnung-2011-152026.html)

Die EU-Mitgliedstaaten sollen nach jahrelangen Verzögerungen an diesem Mittwoch ein weiteres Mal über das Nutzertracking im Internet beraten. Ein am 4. November 2020 von der deutschen EU-Ratspräsidentschaft veröffentlichter Vorschlag zur EU-Privacy-Verordnung sieht eine „allgemeine Diskussion“ über den Text sowie über „die weitere Arbeit an dem Thema“ vor. Sollten die EU-Mitgliedstaaten  den Vorschlag ablehnen, könnte die Verordnung komplett scheitern.

Der Vorschlag der EU-Kommission vom Januar 2017 sollte ursprünglich den Umgang mit Cookiers vereinfachen.

Nach dem Willen der Abgeordneten sollte der Browser so voreingestellt sein, dass Tracking nur bei gewissen Ausnahmen wie zum Zweck der Reichweitenmessung zulässig ist.

Damit Nutzer nicht zum Akzeptieren von Cookies gezwungen werden können, forderte das Parlament ein ausdrückliches Kopplungsverbot.

In der aktuellen Version gibt es allerdings kaum Veränderungen zu der Version aus dem Jahre 2019.

Vor allem die Werbewirtschaft und Verlage befürchten Einnahmeverluste, wenn sie Nutzer nicht mehr in gewohnter Form tracken können.

Den Entwurf der E-Privacy-Verordnung umfasst 98 Seiten (URL: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_9931_2020_INIT&from=EN)

Ein neuer Erwägungsgrund 20a ermuntert Browser-Hersteller stattdessen dazu, den Nutzern ein einfaches und transparentes Zustimmungsmanagement zu ermöglichen, beispielsweise über ein Whitelisting von Anbietern.

Im Vergleich zu 2019 wurde der Passus gestrichen, der Providern die Durchsuchung von Kommunikationsinhalten ermöglicht, um Kindesmissbrauch einzudämmen. Darüber hinaus wurden Formulierungen geändert, um die Verarbeitung von Metadaten zu „kompatiblen“ Zwecken einzudämmen.

Trotz dieser eher geringfügigen Änderungen befürchten Internetwirtschaft und Verlage negative Auswirkungen auf bestehende Angebote.

Es werden sogar Probleme bei Softwareupdates befürchtet. Der IT-Branchenverband Eco sieht in dem Vorschlag einen „herben Rückschlag für die Digitalisiserung“.

In einem offenen Brief (URL https://www.eco.de/wp-content/uploads/2020/11/be-2020-11-09-de-eprivacy-coalition-letter-to-ministers-belgium.pdf) hat der Verband ECO gemeinsam mit 28 anderen europäischen Verbänden aus der IT-Wirtschaft gefordert den deutschen Vorschlag abzulehnen.

„Der aktuelle Text würde bestimmte geschäftsmodelle unpraktikabel machen und die Qualität des digitalen Ökosystems untergraben“.

Categories:

Datenschutz

Tags:

DatenschutzDSGVOE-Privacy-VerordnungMicrosoft 365Privacy Shield

Comments are closed

Seiten