EU-U.S. Data Privacy Framework: Was Sie über den Datenschutz bei Microsoft M365 wissen müssen

Am 7. Oktober 2022 unterzeichnete US-Präsident Joe Biden das „European Union-U.S. Data Privacy Framework“ (EU-U.S. DPF), das den Nachfolger des Privacy Shields darstellt. Dieses Abkommen wurde am 10. Juli 2023 von der Europäischen Kommission mit einem Angemessenheitsbeschluss für das transatlantische EU-US-Datenschutzabkommen bestätigt. Diese Entwicklung soll sicherstellen, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten bieten, vergleichbar mit dem der Europäischen Union. Trotz dieser Fortschritte bestehen jedoch nach wie vor Bedenken, insbesondere in Bezug auf die Anwendung von Microsoft M365.

Datenschutz und M365: Ist die Übermittlung personenbezogener Daten in die USA nun sicher?

Es herrscht die falsche Annahme, dass aufgrund dieses neuen Datenschutzabkommens personenbezogene Daten bedenkenlos in die USA übertragen werden können. Das EU-U.S. DPF führt zwar „neue verbindliche Garantien“ ein, um die Bedenken des Europäischen Gerichtshofs zu berücksichtigen. Diese umfassen Einschränkungen für den Zugriff von US-Geheimdiensten auf EU-Daten sowie die Einrichtung eines Datenschutzprüfungsgerichts, das von EU-Bürgern in Anspruch genommen werden kann. Dennoch sind bei der Nutzung von Microsoft M365 zwei entscheidende Punkte zu beachten.

1. Die Zwei-Stufen-Prüfung

Bevor personenbezogene Daten in ein Drittland übermittelt werden (Stufe 2), muss zunächst sichergestellt werden, dass alle Anforderungen der Datenschutz-Grundverordnung (DSGVO) an die Datenverarbeitung erfüllt sind (Stufe 1), unabhängig von den spezifischen Anforderungen für Datenübermittlungen in Drittländer (Art. 45 ff. DSGVO). Die datenschutzkonforme Anwendung von M365 hat somit Vorrang vor der Prüfung der Drittlandübermittlung.

2. Zweifel am neuen Abkommen

Das vermeintlich „neue“ transatlantische Datenschutzabkommen ähnelt stark dem zuvor gescheiterten „Privacy Shield“-Abkommen. Das bereits bekannte Zertifizierungsverfahren bleibt bestehen, bei dem US-Unternehmen vom US-Handelsministerium aufgeführt werden müssen, um den Angemessenheitsbeschluss zu erhalten. Kritische Anmerkungen von Datenschutzaufsichtsbehörden sowie die Absicht von Max Schrems, gegen das Abkommen vor dem Europäischen Gerichtshof vorzugehen, werfen Zweifel an der dauerhaften Rechtmäßigkeit auf.

Ausblick und Handlungsempfehlungen

Trotz des EU-U.S. Data Privacy Frameworks sind die Anwendung von Microsoft M365 und die Datenübermittlung in die USA weiterhin mit wichtigen Überlegungen und Herausforderungen verbunden. Es ist entscheidend, dass Unternehmen zusätzliche Schutzmaßnahmen ergreifen, um die Datenschutzkonformität sicherzustellen und ihre Geschäftspraktiken im Einklang mit der DSGVO zu halten.

Eine wertvolle Unterstützung bietet hierbei das PRW® Compliance Set: M365, das speziell entwickelt wurde, um Datenschutzkonformität bei der Nutzung von Microsoft M365 zu gewährleisten. Wenn Sie Interesse am PRW® Compliance Set haben und weitere Informationen wünschen, zögern Sie nicht, das untenstehende Kontaktformular auszufüllen. Unsere Experten stehen Ihnen gerne zur Verfügung, um Ihre Fragen zu beantworten.

Quelle: Wilfried Reiners (PRW Legal Tech) | Wir sind offizieller Gold-Partner der PRW Legal Tech