Die EU-Datengrenze für Microsoft-Cloud-Lösungen

Derzeit kämpfen europäische Unternehmen, die personenbezogene Daten auf Servern US-amerikanischer Unternehmen speichern, mit Rechtsunsicherheiten. Seit der Europäische Gerichtshof (EuGH) 2020 den Privacy Shield gekippt hat, bieten die USA kein angemessenes Datenschutzniveau mehr. Damit dürfen Verantwortliche ­keine personenbezogenen Daten mehr ohne zusätzliche Maßnahmen übermitteln (siehe dazu Ehmann, Datenschutz PRAXIS 09/2021, S. 1–4, https://ogy.de/dp-zusaetzliche-massnahmen).

Der U.S. CLOUD Act

Eines der Hauptprobleme ist der „U.S. CLOUD Act“. Er ermöglicht US-Behörden umfassenden Zugriff auf Daten, die in der Cloud von US-Unternehmen gespeichert sind (zum CLOUD Act siehe Ehmann, Heft 09/2019, S. 13–15, https://ogy.de/dp-cloud-act). Daran können auch die Bemühungen von Microsoft nicht viel ändern.

Allerdings garantiert Microsoft, im Falle eines Falles die angefragten Daten nicht ohne Weiteres herauszugeben. Das Unternehmen wehrt sich bei Anfragen auf Datenherausgabe juristisch, bis ihm durch gerichtliche Entscheidungen keine Wahl mehr bleibt.

Das gilt auch für Dienstleister, die für Microsoft arbeiten. Microsoft ficht alle Anfragen uneingeschränkt an. Microsoft hat zudem angekündigt, europäische Unternehmen finanziell zu entschädigen, wenn es durch den CLOUD Act die Datenschutz-Grundverordnung (DSGVO) verletzen muss und damit ein europäisches Unternehmen geschädigt wird.

So will Microsoft auch ohne Privacy Shield Datenschutz bieten

Microsoft will zunächst sicherstellen, dass möglichst alle Daten von Unternehmen aus der EU …