Viele unserer Unternehmenskunden sowie unserer Kunden aus dem öffentlichen Sektor müssen ihre Daten regelmäßig zwischen Ländern, Regionen und Kontinenten übertragen. Heute kündigen wir neue Schutzmaßnahmen für Kunden an, die ihre Daten aus der Europäischen Union transferieren müssen. Diese beinhalten die vertragliche Verpflichtung, Anfragen von staatlichen Stellen nach Kundendaten anzufechten, sowie eine finanzielle Verpflichtung, um unsere Überzeugung in dieser Sache zu unterstreichen. Microsoft ist das erste Unternehmen, das mit diesen Verpflichtungen auf die Handlungsempfehlungen des Europäischen Datenschutzausschusses der vergangenen Woche reagiert.
Jeden Tag bewegen unsere Kunden Daten durch globale Netzwerke, um ihre NutzerInnen zu beliefern, mit Lieferanten oder Partnern zusammenzuarbeiten und die Bezahlung ihrer weltweit verteilten Belegschaft zu verwalten. Diese grenzüberschreitenden Datentransfers waren in jüngster Zeit Gegenstand von Rechtsstreitigkeiten und regulatorischen Maßnahmen, einschließlich eines Urteils des Europäischen Gerichtshofs in diesem Jahr und eines Empfehlungsentwurfs des Europäischen Datenschutzausschusses in der vergangenen Woche darüber, wie Unternehmen diesem Urteil nachkommen können.
Mit der heutigen Ankündigung ist Microsoft das erste Unternehmen, das auf den Empfehlungsentwurf des Europäischen Datenschutzausschusses mit neuen Verpflichtungen reagiert, die die Stärke unserer Überzeugung zeigen, die Daten unserer Kunden zu schützen. Microsoft hat in der Vergangenheit bereits unter Beweis gestellt, dass wir die Daten unserer Kunden umfassend schützen, unsere Praktiken transparent machen und wir diese Daten auch mit rechtlichen Mitteln verteidigen. Wir sind überzeugt, dass wir mit den heute angekündigten Schritten über die gesetzlichen Vorgaben und die Empfehlungen des Europäischen Datenschutzausschusses hinausgehen. Wir hoffen, dass wir mit diesen zusätzlichen Schritten das Vertrauen unserer Kunden in unsere Maßnahmen zum Datenschutz noch weiter erhöhen werden.
- Erstens verpflichten wir uns, dass wir jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten unserer Unternehmenskunden oder unserer Kunden aus dem öffentlichen Sektor anfechten werden, wenn es dafür eine rechtliche Grundlage gibt. Diese umfassende Verpflichtung geht über die vorgeschlagenen Empfehlungen des Europäischen Datenschutzausschusses hinaus.
- Zweitens werden wir die NutzerInnen unserer Kunden finanziell entschädigen, wenn wir ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen müssen. Diese Verpflichtung geht ebenfalls über die Empfehlungen des Europäischen Datenschutzausschusses hinaus. Damit zeigen wir unsere Zuversicht, dass wir die Daten unserer Unternehmenskunden und unserer Kunden aus dem öffentlichen Sektor schützen können und sie keiner unangemessenen Offenlegung aussetzen werden.
Diese Schutzmaßnahmen nennen wir „Defending Your Data“. Wir werden unverzüglich damit beginnen, sie in unsere Verträge mit Unternehmenskunden und Kunden aus dem öffentlichen Sektor aufzunehmen.
„Defending Your Data“ ist eine wesentliche Ergänzung unseres grundlegenden Datenschutz-Versprechens und baut auf den umfassenden Schutzmaßnahmen auf, die wir unseren Kunden bereits anbieten:
- Wir verwenden eine starke Verschlüsselung: Wir verschlüsseln Kundendaten sowohl während der Übertragung als auch im Ruhezustand mit einem hohen Verschlüsselungsstandard. Diese Verschlüsselung ist ein zentraler Punkt im Entwurf der Empfehlungen des Europäischen Datenschutzausschusses. Wir stellen keiner Regierung unsere Verschlüsselungs-Keys oder eine andere Möglichkeit zur Verfügung, unsere Verschlüsselung zu brechen.
- Wir setzen uns für die Rechte unserer Kunden ein: Wir gewähren keiner staatlichen Stelle direkten, ungehinderten Zugang zu den Daten unserer Kunden. Falls eine Regierung Kundendaten von uns verlangt, muss sie den geltenden rechtlichen Verfahren folgen. Wir werden Forderungen nur dann nachkommen, wenn wir eindeutig dazu gezwungen sind. Unser erster Schritt besteht immer in dem Versuch, solche Anfragen an unsere Kunden weiterzuleiten oder sie darüber zu informieren. Wenn wir überzeugt sind, dass diese Anfragen nicht legal sind, lehnen wir sie routinemäßig ab oder fechten sie an.
- Wir sind transparent: Seit vielen Jahren veröffentlichen wir Informationen über staatliche Anfragen nach Kundendaten. Wir haben zudem die US-Regierung verklagt, um mehr Möglichkeiten für die Offenlegung von Anfragen zur nationalen Sicherheit zu bekommen, die wir erhalten. Dabei haben wir einen Vergleich erzielt, der uns genau das ermöglicht. Die Informationen über nationale Sicherheitsanfragen legen wir nun zweimal jährlich zusätzlich zu unserem regulären Law Enforcement Request Report in allen unseren Geschäftsbereichen (VerbraucherInnen, Unternehmen und öffentlicher Sektor) offen.
- Wir konnten bereits viele juristische Erfolge erzielen: Wir haben mehr Erfahrungen mit Gerichtsverfahren als jedes andere Unternehmen, wenn es darum geht, die Grenzen staatlicher Überwachungsanordnungen zu definieren. Einer dieser Fälle landete sogar vor dem Obersten Gerichtshof der Vereinigten Staaten. Mit dieser Arbeit können wir unseren Kunden mehr Transparenz und einen stärkeren Schutz ihrer Daten bieten. Keine Verpflichtung, Herausgabeverlangen anzufechten, kann den Sieg sichern, aber wir haben ein gutes Gefühl angesichts unserer bisherigen Erfolgsbilanz.
Ein Teil der öffentlichen Diskussion über die Auswirkungen von Herausgabeverlangen von staatlichen Stellen der USA konzentriert sich auf Unternehmen mit Sitz in den USA. Es ist jedoch klar, dass die US-Gesetze über staatlichen Zugang zu Daten auch für Unternehmen gelten, die in den USA geschäftlich tätig sind, selbst wenn sie ihren Hauptsitz in Europa oder anderswo haben.
Der Datenschutz ist für Microsoft ein zentraler Wert. Wir glauben, dass die Menschen Technologie nur dann nutzen werden, wenn sie ihr vertrauen. Aus diesem Grund waren wir der erste Cloud-Anbieter, der mit den europäischen Datenschutzbehörden bei der Genehmigung der europäischen Standardvertragsklauseln (EU Model Clauses) zusammengearbeitet hat. Wir haben als erstes Unternehmen neue technische Standards für den Datenschutz in der Cloud eingeführt und sind seit Beginn der Diskussionen um die Datenschutz-Grundverordnung (EU-DS-GVO) 2012 überzeugter Befürworter der Regelungen. Wir haben deshalb die grundlegenden Rechte der DS-GVO auf VerbraucherInnen weltweit ausgedehnt. Zudem haben wir die zentralen Rechte des kalifornischen Consumer Privacy Act für alle unsere NutzerInnen in den Vereinigten Staaten anerkannt. Schließlich haben wir die Initiative Tech Fit for Europe ins Leben gerufen, um digitale Lösungen auf der Grundlage europäischer Werte und Regeln zu entwickeln.
Wir hoffen, mit den heute angekündigten Schritten unseren Unternehmenskunden und unseren Kunden aus dem öffentlichen Sektor zeigen zu können, dass wir über die gesetzlichen Bestimmungen hinausgehen, um ihre Daten und die Daten ihrer NutzerInnen nachhaltig zu schützen.
Mehr über unser Engagement für den Datenschutz gibt es hier.
Ein Beitrag von Julie Brill
Corporate Vice President for Global Privacy and Regulatory Affairs und Chief Privacy Officer bei Microsoft