Eine Nachricht an unsere Kunden in Bezug auf EU-US Safe Harbor

Brad Smith

Brad Smith

Wir verstehen, dass einige unserer Kunden Fragen in Bezug auf die Auswirkungen der heutigen Entscheidung des Europäischen Gerichtshofs („EuGH“) im Zusammenhang mit dem Safe-Harbor-Abkommen zwischen der EU und den USA haben. Insbesondere mögen sich einige Kunden fragen, ob das nun heißt, dass Kundendaten nicht mehr aus der Europäischen Union in die USA übertragen werden können.

Wir glauben, dass die eindeutige Antwort für die Kunden der Microsoft „Enterprise-Cloud“ ist, dass sie weiterhin Daten übertragen können und sich hierbei auf die zusätzlichen Schritte und rechtlichen Absicherungen verlassen können, die wir eingerichtet haben. Diese beinhalten zusätzliche und strenge Schutzmaßnahmen zur Einhaltung des Datenschutzes und Microsofts Einhaltung der EU „Model Clauses“ (Standardvertragsklauseln), die es Kunden ermöglichen, Daten grenzüberschreitend zwischen der EU und anderen Staaten – auch den USA – zu übertragen – auch ohne Geltung des Safe Harbor Konzeptes. Sowohl das Urteil als auch die Kommentierung der Europäischen Kommission haben diese Arten von Maßnahmen heute Vormittag anerkannt.

Der Microsoft Cloud Service inklusive der Azure Core Services, Office 365, Dynamics CRM Online sowie Microsoft Intune befolgen die EU Model Clauses allesamt und sind damit auch abgesichert.

Ferner gehen wir davon aus, dass die heutige Entscheidung keinen erheblichen Einfluss auf unsere Verbraucher-Services haben wird. Unsere Nutzungsbedingungen machen deutlich, dass im Rahmen der Zurverfügungstellung unserer Services Daten zwischen Nutzern übertragen werden. Das findet zum Beispiel statt, wenn ein Nutzer einem anderen Nutzer eine E-Mail oder anderen Online-Content übersendet. Wir betreiben auch Datenzentren in verschiedenen Ländern und Regionen; einige davon sind in Europa lokalisiert.

Unsere Fähigkeit, uns auf diese zusätzlichen rechtlichen Sicherungsmittel verlassen zu können, ist kein Zufall. Wir haben die Möglichkeit der heutigen Entscheidung erkannt und daher Notfallmaßnahmen für unsere Unternehmenskunden installiert. Diese beruhen auf Arbeit, die wir seit mehr als vier Jahren betreiben, um den Schutz unserer Kunden zu verbessern und sicherzustellen, dass es ihnen möglich ist, im Einklang mit den Gesetzen und Richtlinien mit ihren Daten in die Microsoft Cloud zu wechseln. Wir haben folgende Maßnahmen ergriffen:

  • Wir haben intensive Ingenieursarbeiten, operative Maßnahmen und juristische Arbeiten vorgenommen, um in unseren Cloud-Verträgen die EU Model Clauses bereits seit 2011 anbieten zu können. Seit Beginn dieses Jahres sind wir außerdem der erste große Cloud-Anbieter, der die weltweit ersten internationalen Standards für Cloud Sicherheit, die ISO 27018, eingeführt hat.
  • Im April 2014 haben wir außerdem von der Artikel 29 Datenschutzgruppe die Bestätigung erhalten, dass die Einführung der EU Model Clauses in unseren Verträgen mit ihren strengen Anforderungen im Einklang stehen. Die Datenschutzgruppe setzt sich aus den Kontrollstellen der einzelnen Mitgliedstaaten zusammen, und diese sind die führenden Experten auf diesem Gebiet. Wir waren das erste Technologieunternehmen, das diese Bestätigung erhalten hat. Wie wir bereits letzten April mitgeteilt haben, heißt das für unsere Kunden, die unsere Cloud-Services benutzen, dass diese sich auf den Schutz verlassen können, um weiterhin Daten in die USA oder anderswohin zu übertragen.
  • Wir wollten sicherstellen, dass all unsere Kunden der „Enterprise-Cloud“ diesen Vorteil genießen, daher haben wir im letzten Jahr begonnen, die Einhaltung der EU Model Clauses als Standard in die Verträge unserer größeren Unternehmens-Cloud-Services mit jedem Kunden einzuführen. Microsoft Cloud Kunden müssen nichts weiter tun, um hier abgesichert zu sein.

Unser Engagement für den Datenschutz geht über die schwierige Aufgabe, die Übereinstimmung mit den EU-Model Clauses sicherzustellen, hinaus.

  • Im Dezember 2013 haben wir eine Vielzahl von weiteren Maßnahmen angekündigt, um die Sicherheit der Kundendaten zu erhöhen. Diese beinhalteten einen erheblichen Ausbau der Verschlüsselung quer durch unsere Services, eine erhöhte Transparenz unseres Codes und die Stärkung des rechtlichen Schutzes der Kunden für den Fall, dass Regierungsbehörden die Herausgabe von Kundeninformationen anfragen.
  • Für den Fall, dass eine Regierungsbehörde Zugang zu Kundendaten anfragt, müssen diese den für das betreffende Konto oder Identifizierungsobjekt vorgesehenen zutreffenden rechtlichen Prozess einhalten. Die von uns veröffentlichten Daten zeigen, dass nur ein sehr geringer Teil unserer Kunden von solchen Anfragen von Regierungsbehörden betroffen ist.
  • Wenn es angemessen war, haben wir bestimmte rechtliche Anordnungen mit Erfolg gerichtlich angegriffen.
  • Wir haben signifikant in die Einrichtung von Datenzentren auf der ganzen Welt investiert, auch zum Teil um die Daten näher an den Kunden zu halten. Wir haben inzwischen über 100 Datenzentren in 19 Regionen und 40 Ländern.

Die heutige Entscheidung hat wichtige Punkte aufgeworfen und macht es sogar noch wichtiger, dass die Europäische Kommission und die amerikanische Regierung eine Einigung über einen zukünftigen Weg finden. Wir unterstützen diese Bemühungen. Die Entscheidung macht auch deutlich, wie sehr weltweit weitreichendere Reformen des digitalen Datenschutzrechts benötigt werden, um ein besseres Gleichgewicht zwischen den Privatsphäre-Interessen des Einzelnen und dem der öffentlichen Sicherheit herzustellen. Dies ist etwas, für das wir schon länger plädieren.

Es gibt aber auch Schritte, die schnell auf Seiten der USA gemacht werden könnten, wie zum Beispiel die Verabschiedung des ECPA Amendment Act („Änderung des Gesetzes über die Vertraulichkeit der elektronischen Kommunikation”), den „LEADS Act“ („Gesetz zur Durchsetzung des Zugangs von im Ausland gespeicherten Daten“) sowie des Judical Redress Act („Gesetz zur Einlegung von Rechtsmitteln“). Dies würde alles helfen.

Wir hoffen, dass die Regierungen auf beiden Seiten des Atlantiks in dieselbe Richtung arbeiten. Viele Europäische Nationen überlegen derzeit, ihre Gesetze zur Überwachung zu ändern. Besser als die Überwachung von Regierungen einfach auszuweiten, wie es manche anstreben, sollte das Augenmerk darauf liegen, das richtige Gleichgewicht zwischen Sicherheit und Privatsphäre herzustellen, ohne das eine für das andere aufzugeben.

Während die Microsoft Cloud-Kunden ihr Geschäft schon heute weiterführen können, ist es klar, dass die Welt von einer erneuerten Vereinbarung – sowie von Reformen – in diesem Bereich zwischen Europa und den USA profitieren wird. Wir sind entschlossen, in enger Zusammenarbeit mit anderen in der Industrie und durch Unterstützung der Datenschutzbehörden und Regierungen dabei zu helfen, die Ziele, die der Europäische Gerichtshof festgelegt hat, zu erreichen. Menschen werden keine Technologien benutzen, denen sie nicht vertrauen. Wir müssen zusammenarbeiten, um dieses Vertrauen aufzubauen.

Veröffentlicht von Brad Smith – President and Chief Legal Officer, Microsoft Corporation

Das englische Original des Blogposts vom 6. Oktober 2015 finden Sie hier.

Kommentar verfassen