Schlagwort: EU-Datenschutzbehörden

EU-Verträge mit Microsoft werden datenschutzrechtlich untersucht

11. April 2019

Zu Beginn der Woche teilte die EU-Datenschutzbehörde EDPS mit, dass nunmehr die Verträge der EU-Dienststellen mit Microsoft dahingehend untersucht werden, ob diese mit der DSGVO in Einklang zu bringen sind.

Auch die verschiedenen Institutionen der EU nutzen Microsofts Produkte und Dienstleistungen. Infolgedessen werden große Mengen an persönlichen Daten verarbeitet. Die EU-Datenschutzbehörde möchte deshalb in einem ersten Schritt alle eingesetzten Produkte und Dienstleistungen von Microsoft erfassen, um dann in einem nächsten Schritt die einzelnen vertraglichen Regelungen an den Maßstäben der DSGVO zu messen.

Nach der DSGVO sind Dienstleister selbst für den Datenschutz verantwortlich. „Allerdings bleiben die EU-Institutionen für Datenverarbeitungen in ihrem Namen verantwortlich, wenn sie auf Dienstleister zurückgreifen“, erklärte der stellvertretende EU-Datenschutzbeauftragte Wojciech Wiewiórowski. „Sie sind darüber hinaus verpflichtet sicherzustellen, dass die vertraglichen Abmachungen den Regeln entsprechen.“

Die EU-Datenschutzbehörde nimmt Bezug auf die Untersuchung des niederländischen Justizministeriums im November 2018. Dabei sind beim Einsatz der Enterprise-Version von Microsoft Office in Behörden zahlreiche Verstöße gegen die DSGVO festgestellt worden. (wir berichteten)

Rahmenbedingungen des EU-US Privacy Shields festgelegt

3. Februar 2016

Am gestrigen Mittwoch gab die EU-Kommission bekannt, dass Vertreter der EU und der Vereinigten Staaten sich über die Rahmenbedingungen des transatlantischen Datenaustauschs verständigt haben. Die Zulässigkeit des Datentransfers aus der EU in die USA wird sich zukünftig aus dem EU-US Privacy Shield ergeben.
Im Oktober 2015 hatte der Europäische Gerichtshof das Safe-Habor-Abkommen, welches bis dahin als Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA diente, für ungültig erklärt. Dies hat vor allem bei europäischen Unternehmen, die US-amerikanische soziale Netzwerke wie Facebook und Twitter sowie US-Cloud-Dienstleistungen  nutzen, für große Unsicherheiten gesorgt.
Das EU-US Privacy Shield wird zukünftig die Maßstäbe für einen transatlantischen Datenaustausch festlegen. Obwohl zurzeit noch kein konkreter Text vorliegt, geben die jüngst bekannt gewordenen Rahmendingung eine Richtung vor. Zum einen werden US-Unternehmen strengere Regularien hinsichtlich der Datenverarbeitung und Sicherstellung von Persönlichkeitsrechten gewährleisten müssen als nach dem Safe-Habor-Abkommen. Das US-Handelsministerium wird die Einhaltung dieser Vorschriften überwachen und kann diese gegebenenfalls gerichtlich durchsetzen. Sofern Personaldaten von Bürgern der Europäischen Union in die USA übermittelt werden, sind darüber hinaus die Entschließungen der Europäischen Datenschutzbehörden zu erfüllen. Weiterhin haben die USA zugesichert, dass US-Strafverfolgungsbehörden und US-Sicherheitsbehörden nur in den Grenzen der Erforderlichkeit und im Rahmen der Verhältnismäßigkeit auf die in den USA gespeicherten Daten zugreifen dürfen. Der Zugriff von US-Behörden auf personenbezogene Daten von Europäern wird durch jährliche Treffen mit Vertretern des US-Handelsministeriums und der Europäischen Kommission sowie Vertretern der US-Nachrichtendienste und der EU-Datenschutzbehörden überwacht. Schließlich werden EU-Bürger bei Verstößen gegen das EU-US Privacy Shield mit verschiedenen Rechtsmitteln ausgestattet. Unternehmen werden innerhalb einer festgelegten Frist auf Beschwerden reagieren müssen. Außerdem werden europäische Datenschutzbehörden Beschwerden an US-Behörden zur weiteren Rechtsdurchsetzung weiterleiten können. Bei Beschwerden bezüglich eines unzulässigen Zugriffs durch US-Sicherheitsbehörden wird eine Ombudsstelle eingerichtet.
Die EU-Kommission wird innerhalb der nächsten drei Wochen Dokumente mit konkreteren Inhalten vorlegen. Diese werden anschließend von der Artikel-29-Gruppe diskutiert.
Zumindest bis dahin ergeben sich für Unternehmen zunächst keine Veränderungen zum derzeitigen Status Quo hinsichtlich der Zulässigkeit von Datenübermittlungen in die USA.