Die Firma Microsoft hat in Reaktion auf das bereits bekannte Schrems II Urteil des EuGH (mehr dazu hier) „seine“ Standardvertragsklauseln überarbeitet (Additional Safeguards Addendum to Standard Contractual Clauses). Dies kann man als Garantie bzw. zusätzliche Maßnahme sehen, wie es der EuGH in seinem Schrems II Urteil gefordert hatte.
Im Wesentlichen enthält die Ergänzung zwei relevante Zusicherungen :
Microsoft verpflichtet sich, bei Anordnungen zur Herausgabe von Daten zu den Punkten 1 a-c des Addendums, also
-
- alle Maßnahmen zu ergreifen, damit der Dritte die Daten unmittelbar bei dem Kunden von Microsoft (d.h. dem Verantwortlichen der Datenverarbeitung) zu erfragen hat;
- den Kunden (d.h. den Verantwortlichen der Datenverarbeitung) unverzüglich zu benachrichtigen bzw. wenn eine solche Benachrichtigung untersagt sein sollte, alle rechtlichen Mittel einzusetzen, um das Verbot anzugreifen und den Kunden sobald als möglich zu informieren.
- wegen Rechtsmängeln oder Konflikten mit der DSGVO oder dem geltenden Recht der Mitgliedstaaten die Herausgabeanordnungen anzufechten
Microsoft gewährt nach dem Abschnitt 2 (Indemnification of Data Subjects) im Falle der Offenlegung von Daten auf Anordnung einer Regierungsstelle oder Strafverfolgungsbehörde den betroffenen Personen einen Anspruch auf materiellen wie immateriellen Schadensersatz der aufgrund dieser Offenlegung entstanden ist.
Stellungnahme dazu seitens der Aufsichtsbehörden gibt es auch schon bereits. LDA Bayern sieht hier eine „Stärkung der Nutzer-Rechte“. Baden-Württemberg begrüßt die Änderungen ebenfalls, „Microsoft passt sich europäischem Datenschutz an“.
Eine Bewertung der Änderungen durch die Aufsichtsbehörden ist auf der nächsten Sitzung der Datenschutzkonferenz (DSK) zu erwarten. Da die Bundesländer Bayern und Baden-Württemberg schon bei dem letzen DSK-Beschluss zu Office 365 eher in der Mindermeinung waren , dürfte das Ergebnis der folgenden Bewertung aber offen sein.
