In einem Beitrag vom 05.01.2021 mit dem Titel ,,Man muss jederzeit damit rechnen, gehackt zu werden“ druckt die WAZ ein Interview mit Marianne Janik, der Deutschland Chefin von Microsoft, ab. In diesem geht es auch um die schulische Nutzung von Microsoft Produkten. Im Wesentlichen werden im Interview bekannte Positionen wiedergegeben. So ist man bei Microsoft der Auffassung, dass Schulen Microsoft Teams datenschutzkonform im Rahmen der DS-GVO einsetzen können. Man sei mit den Aufsichtsbehörden der Bundesländer im Austausch und möchte über den Dialog und absolute Transparenz die Entwicklung voranbringen. Schon jetzt könne man zusichern, dass Kundendaten in einem bestimmten Land oder in Europa blieben. Für andere Signale, etwa Support Signale oder sonstige Telemetrie, arbeite man an einer Lösung, die dann Ende 2022 verfügbar sein solle.
Bewertung
Das Interview bringt mit Bezug auf Schulen nichts Neues, sondern gibt lediglich die Statements wieder, welche der Konzern schon in der Vergangenheit gemacht hat. Jetzt werden sie mit einer Person verbunden. Positiv zu bewerten ist, dass Microsoft weiterhin anpeilt, sämtliche Telemetriedaten europäischer Nutzer spätestens bis zum Jahresende 2022 ausschließlich in der EU zu verarbeiten. Damit entfiele dann die Übermittlung von personenbezogenen und -beziehbaren Daten in die USA, die aktuell bei diesen Datenkategorien noch stattfindet. Probleme, welche sich durch das Schrems II Urteil ergeben, wären dann zumindest in diesem Bereich behoben.
Hallo,
ist das wirklich sichergestellt, dass es dann keine Übermittlung von personenbezogenen und -beziehbaren Daten in die USA mehr gibt? Ich meine, Microsoft bleibt ja ein US-Unternehmen und damit in der Pflicht, Informationen an die US-Behörden weiterzugeben. Oder gründet Microsoft ein Tochterunternehmen, dass dieser Pflicht nicht mehr unterliegt?
Von Seiten von Microsoft wird es keine Übermittlung von personenbezogenen Daten in die USA geben, sobald diese technische Lösung umgesetzt ist. Weiter im Raum steht, wie Sie richtig anmerken, der CLOUD-Act. Hier gehen die Meinungen allerdings etwas auseinander. Während die eine Seite der Meinung ist, alleine die Möglichkeit, dass US-Ermittlungsbehörden die Herausgabe von Daten verlangen könnten, entspricht im Grunde genommen schon einer Übermittlung in die USA, wird auf der anderen Seite die Meinung vertreten, dass dieses nicht der Fall ist, solange solche Übermittlungen nicht tatsächlich stattfinden. Entsprechend urteilte ein französisches Gericht bezüglich der Speicherung von Gesundheitsdaten in MS Azure.
Für mich ist wichtig, dass wir hier einen entscheidenden Schritt weiter sind. Es bleibt zu hoffen, dass es mit den USA ein Abkommen geben wird, welches zukünftig Probleme wie den CLOUD-Act und auch Übermittlungen von personenbezogenen Daten in die USA absichert. Die neue Bundesregierung hat entsprechende Absichten im Koalitionsvertrag erklärt und auf EU Ebene laufen schon seit über einem Jahr Verhandlungen. Es deutet vieles darauf hin, dass die USA eine der DS-GVO vergleichbare Datenschutzgesetzgebung auf nationaler Ebene erhalten werden. Auch das hätte das Potential, die Situation deutlich zu entschärfen. Zu guter letzt gibt es auch Bewegung in Richtung eines innereuropäischen Gesetzes, welches dem CLOUD-Act vergleichbar ist. Hier versuchen die USA Anschluss zu finden. Dann wäre der CLOUD-Act in ein internationales Abkommen eingebunden und Anfragen von Ermittlungsbehörden aus den USA damit DS-GVO konform. Wie das dann letztlich alles kommen wird, bleibt abzuwarten. Eine Lösung ist erforderlich und wird ziemlich sicher kommen. Fragt sich nur wie lange es dazu noch braucht.