Schlagwort: US-Geheimdienste

Hamburger Aufsichtsbehörde warnt formal vor dem Einsatz von Zoom

16. August 2021

Der Hamburgische Beauftagte für Datenschutz und Informationsfreiheit (HmbBfDI) hat heute in einer Pressemitteilung bekannt gegeben, dass er die Hamburger Senatskanzlei vor dem Einsatz der Videokonferenzlösung von Zoom Inc. in der sog. “on-demand-Variante” offiziell gewarnt habe.

Hintergrund

Zoom ist ein US-amerikanisches Softwareunternehmen für Videokonferenzen. Dessen Einsatz seit dem sog. “Schrems-II-Urteil” des EuGH und dem damit verbundenen Wegfall des Privacy Shields nur unter Einhaltung sehr strenger Voraussetzungen möglich ist. Problematisch an einem Einsatz von Zoom ist insbesondere der Datentransfer in die USA, dessen Rechtsgrundlage durch das Schrems-II-Urteil gekippt wurde, da US-Geheimdienste umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben und damit eine Massenüberwachung befürchtet wird. Daher ist der Einsatz von US-Konferenzdiensten wie Zoom nur in Ausnahmefällen möglich und bedarf einer genauen Prüfung, deren Vorgaben der europäische Datenschutzausschuss in seinen Empfehlungen formuliert hat.

Sachverhalt

Diese strengen Voraussetzungen liegen bei der Senatskanzlei und dem geplanten Einsatz von Zoom nicht vor.

Nachdem die Senatskanzlei die Hamburger Aufsichtsbehörde zwar frühzeitig über entsprechende Pläne zum Einsatz von Zoom informiert habe, sei die Senatskanzlei in der Folge den Aufforderungen der Aufischtsbehörde entsprechende Unterlagen oder Argumente vorzulegen, die eine andere rechtliche Bewertung zuließen, nicht nachgekommen. Deshalb sei nach Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei Mitte Juni 2021 nun die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO der erforderliche nächste Schritt gewesen.

Befugnisse der Aufsichtsbehörden

Nach Art. 58 DSGVO verfügt jede Aufsichtsbehörde über vielfältige Untersuchungs-, Abhilfe- oder Genehmigungsbefugnisse. Dazu gehört gem. Art 58 Abs. 2 lit. a DSGVO u.a. auch die Befugnis, einen Verantwortlichen oder Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen. Dies ist hier geschehen. Der HmbBfDI begründet dies damit, dass neben der Wirtschaft auch die öffentliche Verwaltung die strengen Anforderungen erfüllen müssen, die an einen Drittstaatentransfer gestellt werden. Zudem gebe es auch europäische Dienstleister, die Videokonferenzsysteme in den eigenen Rechenzentren anbieten und die erfolgreich genutzt werden könnten. Daher sei für den HmbBfDI unverständlich, weshalb auf einen US-Anbieter zurückgegriffen werden müsse, dessen Einsatz rechtlich hoch problematisch sei.

Ausblick

Die von dem HmbBfDI ergriffenen Maßnahmen zeigen einmal mehr, dass der Einsatz von US-amerikanischen Tools rechtlich sehr schwierig ist und eine Nutzung von den Aufsichtsbehörden genau geprüft wird.

Folgt die Senatskanzlei der offiziellen Warnung nicht und führt Zoom dennoch ein, so kann der Hamburger Datenschutzbeauftragte nach Art. 58 Abs. 5 DSGVO diesen Verstoß den Justizbehörden zur Kenntnis bringen und ggf. die Einleitung eines gerichtlichen Verfahrens betreiben oder sonstige Maßnahmen ergeifen.

Microsoft zieht EU-Datengrenze und verspricht damit eine Speicherung und Verarbeitung von Daten ausschließlich in der EU

7. Mai 2021

Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem “EU Data Boundary for the Microsoft Cloud”, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.

Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes “Cloud Act” einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.

Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, “wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde” – so Schrems gegenüber der Deutschen Presse-Agentur.

Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.

Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.