Mit seinem „Schrems II“-Urteil im Juli 2020 hat der Europäische Gerichtshof Klarheit geschaffen: Personenbezogene Daten dürfen nur an ein Drittland außerhalb des Europäischen Wirtschaftraums übermittelt werden, wenn in dem jeweiligen Land ein gleichwertiges Datenschutzniveau wie in der EU vorherrscht. Für die USA wurde dies explizit verneint. Die ‚Privacy Shield‘-Vereinbarung zwischen den beiden Wirtschaftsräumen wurde damit faktisch ungültig.
Für die Softwarelösung Office 365 wird laut aktuellem Kenntnisstand ein Teil der Daten in den USA verarbeitet. Rechtliche Grundlage hierfür war ‚Privacy Shield‘, das nun nicht mehr existiert. Microsoft hat seither die Vertragsbedingungen mehrfach angepasst und aktualisiert. Die Vereinbarkeit mit europäischem Recht ist nach wie vor nicht abschließend geklärt und steht auf sehr wackeligen Füßen. Bis heute herrscht auch keine Klarheit über konkrete Details, welche Daten von Microsoft wo verarbeitet und gespeichert werden.
Über die Plattform ‚fragdenstaat‘ ist nun auf die Anfrage eines Bürgers ein Fragebogen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit veröffentlicht worden, der Unternehmen im Beschwerdefall zur Beantwortung zugeschickt wird. Konkret wird beispielsweise gefragt, ob und aufgrund welcher Rechtsgrundlage personenbezogene Daten in Office 365 eingefügt werden, ob seit dem ‚Schrems II‘-Urteil Anpassungen gemacht wurden oder ob geplant ist, künftig eine andere Software zu nutzen.
„Die Entscheidung des Europäischen Gerichtshofs kann Unternehmen in die Bredouille bringen, wenn jetzt nicht gehandelt wird“, erläutert der Wuppertaler Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „So praktisch cloudbasierte Office-Lösungen auch sein mögen, der Einsatz kann teuer werden, wenn es keine belastbaren datenschutzrechtlichen Grundlagen gibt.“ Betroffenen Unternehmen rät er dringend, die Nutzung zu prüfen und sich im Zweifel fachlich beraten zu lassen.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de