Der Gerichtshof der Europäischen Union (EuGH) hat am 16. Juli ein Urteil zur Übermittlung von Daten aus der EU gefällt. Wir verstehen, dass einige unserer Kunden Fragen zu den Auswirkungen dieses Urteils haben.
Daher möchten wir klarstellen: Gewerbliche Kunden können unsere Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen. Das Urteil des EuGH nimmt ihnen nicht die Möglichkeit, heute Daten zwischen der EU und den USA über die Microsoft Cloud zu übertragen.
Wir bieten unseren Kunden bereits seit einigen Jahren überlappende Schutzmaßnahmen für den Datentransfer in Drittstaaten an, sowohl mit dem Abschluss der Standardvertragsklauseln (Standard Contractual Clauses, SCC) als auch mit dem EU-US-Privacy-Shield. Auch wenn mit der Entscheidung des EuGH die weitere Verwendung des Privacy Shield für ungültig erklärt wurde, bleiben die SCC weiterhin gültig. Unsere gewerblichen Kunden sind bereits durch die SCC geschützt.
Die Entscheidung vom 16. Juli bringt auch keine Veränderung des Datenflusses unserer Dienste für Endverbraucher mit sich. Wir übertragen Daten zwischen Nutzern, beispielsweise wenn eine Person eine E-Mail oder andere Online-Inhalte an eine andere Person sendet. Wir werden dies auch weiterhin in Übereinstimmung mit der Entscheidung des EuGH sowie weiteren Leitlinien der EU-Datenschutzbehörden und des Europäischen Datenschutzausschusses tun.
Neben der fortlaufenden Unterstützung unserer Kunden, die Datenfluss über den Atlantik benötigen, werden wir auch proaktiv mit der Europäischen Kommission und der US-Regierung zusammenarbeiten, um die durch die Entscheidung aufgeworfenen Fragen zu klären. Wir sehen, dass der EuGH wichtige Themen aufgebracht hat; diese müssen die Regierungen bei der Festlegung ihrer Politik in Bezug auf die Art und Weise, wie Daten grenzüberschreitend übermittelt werden, berücksichtigen. Wir sind entschlossen, unsere Rolle bei der Zusammenarbeit mit Regierungen und Regulierungsbehörden auf beiden Seiten des Atlantiks einzunehmen, um sie bei der Lösung dieser Herausforderungen zu unterstützen – wie wir es immer getan haben. Wir wissen auch, dass die Europäische Kommission und die US-Regierung sehr auf die Lösung dieser Fragestellungen fokussiert sind und sind für ihr Engagement dankbar.
Wir arbeiten stetig daran, den Schutz unserer Kunden auf der Grundlage von Entwicklungen wie der heutigen voranzutreiben. So waren wir der erste Cloud-Anbieter, der mit den europäischen Datenschutzbehörden bei der Genehmigung der europäischen Musterklauseln (EU Model Clauses) zusammengearbeitet hat. Wir haben ebenfalls als erste die neuen technischen Standards für den Datenschutz im Cloud-Bereich eingeführt und das Privacy Shield als Nachfolger von Safe Harbor begrüßt, nachdem dieses außer Kraft gesetzt wurde. Zudem haben wir die grundlegenden Rechte der Datenschutz-Grundverordnung (DSGVO) auf unseren weltweiten Kundenstamm ausgedehnt.
Um für die Rechte unserer Kunden einzutreten, werden wir weitere Schritte unternehmen. So haben wir Verfügungen vor Gericht angefochten, mit denen der Zugang zu Kundendaten ermöglicht werden sollte oder für unser Recht gekämpft, unsere Kunden über solche Vorgänge zu informieren – in einem Fall bis zum Obersten Gerichtshof der USA. All diese Herausforderungen haben zu größerem Schutz und größerer Transparenz für unsere Kunden geführt. So haben wir durch einen Vergleich das Recht erworben, transparente Berichte über die Anzahl der an uns gerichteten amerikanischen Anweisungen zur nationalen Sicherheit offen zu legen, und neue Richtlinien innerhalb der US-Regierung eingeführt, welche die Verwendung von Geheimhaltungsanweisungen einschränken.
Datenschutz ist ein stetiger Prozess und mit der Entscheidung vom 16. Juli ist längst nicht das letzte Wort gesprochen. Unsere Kunden können sicher sein, dass wir uns dafür einsetzen, dass ihre Daten weiterhin durch unsere Dienste fließen können. Sie können sich darauf verlassen, dass wir unsere Arbeit daran fortsetzen werden, ihnen auf der Grundlage der in der Entscheidung des EuGH aufgeworfenen Fragen einen besseren Schutz zu bieten, und dass wir mit Regierungen und politischen Entscheidungsträgern bei der Gestaltung neuer Ansätze zusammenarbeiten werden.
Ein Beitrag von Julie Brill
Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer bei Microsoft
