Vorbereitung auf die Datenschutz-Grundverordnung: Microsoft passt Verträge für Kunden an

In einem Blogbeitrag vom 17. April 2017 informiert der stellv. Chefsyndikus von Microsoft, Rich Sauer, dass das Unternehmen sich mitten in der Phase der Anpassung von Verträgen und technischen und organisatorischen Maßnahmen befindet, um den zukünftigen Anforderungen der EU Datenschutz-Grundverordnung (DSGVO) und damit vor allem den zukünftigen Pflichten der Kunden unter der DSGVO gerecht zu werden.

Kunden von Microsoft, die z.B. Softwareprodukte in Form von Cloud-Lösungen nutzen, werden datenschutzrechtlich betrachtet als Verantwortlicher in Bezug auf Daten agieren, die im Rahmen der Nutzung dieser Produkte verarbeitet werden. Microsoft nimmt in dieser Situation die Rolle des Auftragsverarbeiters ein, der personenbezogene Daten im Auftrag des Kunden verarbeitet.

Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche, also der Kunde von Microsoft, nur mit Auftragsverarbeitern zusammenarbeiten,

die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen

der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Zwischen dem Verantwortlichen und seinem Auftragsverarbeiter muss zudem ein Vertrag geschlossen werden (Art. 28 Abs. 3 DGSVO).

Zudem sieht Art. 28 Abs. 3 DSGVO weitere, verpflichtend in den Vertrag zwischen dem Verantwortlichen und Auftragsverarbeiter aufzunehmende, Inhalte vor.

Microsoft hat nun angekündigt, einige der von der DSGVO vorgesehenen vertraglichen Regelungen bereits gegenüber Kunden anzubieten. Eine kurze Übersicht zu diesen Änderungen findet sich hier in den FAQ unter „Is Microsoft making any commitments in its volume licensing agreements to comply with the GDPR?“. Hierbei scheint es sich um Anpassungen der Regelungen zum Datentransfer in Drittstaaten außerhalb der EU und etwa auch das Recht des Kunden zu handeln, auf Anfragen von betroffenen Personen (z.B. zur Auskunft oder Löschung von Daten) reagieren zu können. Eine solche vertragliche Regelung ist in Art. 28 Abs. 3 lit. e) DSGVO verpflichtend vorgesehen.

Die generelle Übersichtsseite zur DSGVO bei Microsoft steht auch auf Deutsch zur Verfügung, nur leider nicht jener Teil zu den vertraglichen Anpassungen.

Zudem listet Microsoft auf der Übersichtsseite die technischen und organisatorischen Maßnahmen für die jeweiligen Produkte auf, die bei dem Anbieter umgesetzt wurden. Nach Art. 32 Abs. 1 DSGVO ist auch der Auftragsverarbeiter, also hier Microsoft, verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Microsoft scheint damit der erste der „großen Spieler“ zu sein, die derart öffentlich mit Anpassungen seiner Verträge im Hinblick auf die DSGVO werben. Das bedeutet freilich nicht, dass andere Unternehmen nicht auch bereits Ergänzungen ihrer Verträge vorgenommen haben. Die Vertragsanpassungen sind derzeit nur für gewerbliche Kunden verfügbar. Etwas mehr als ein Jahr bleibt Unternehmen Zeit, die eigenen Datenverarbeitungsprozesse an die Anforderungen der DSGVO anzupassen. Hierzu gehört inbesondere auch die Ergänzung existierender Verträge zur Auftragsdatenverarbeitung.

Herausgabe von Daten an US-Behörden: Irische Regierung bittet EU-Kommission um Hilfe

Im April 2014 hatte ein US-Gericht entschieden (PDF), dass Microsoft dazu verpflichtet sei, Kundendaten die auf Servern in Irland gespeichert sind, an amerikanische Behörden herauszugeben. Gegen diesen Beschluss wehrte sich Microsoft, wurde jedoch auch durch ein Bundesgericht angewiesen, dem Durchsuchungsbefehl der US-Behörden nachzukommen. Für das Berufungsverfahren wurde der Vollzug ausgesetzt und Microsoft möchte die Daten auch nicht herausgeben. Andere Konzerne wie Apple und Cisco unterstützen die Position von Microsoft.

Zum einen besitzt das Verfahren eine mögliche wirtschaftliche Brisanz. Amerikanische Unternehmen müssten sich stets dem Risiko ausgesetzt sehen, dass Kundendaten, egal wo sie gespeichert sind, dem Zugriff von US-Behörden unterliegen.

Vor allem aber ist der Fall rechtlich interessant. Denn die amerikanischen Behörden haben nicht etwa die offiziellen Kanäle (Rechtshilfeabkommen zwischen der EU und den USA) genutzt, sondern sich direkt an das Unternehmen gewandt. Die ehemalige EU-Kommissarin für Justiz, Viviane Reding, hatte bereits im Juli 2014 die Befürchtung geäußert, „dass die extraterritoriale Anwendung ausländischer Gesetze (und darauf basierende gerichtliche Anweisungen gegen Unternehmen) gegen internationales Recht verstoßen“.

Nun hat der Irische Minister für Europaangelegenheiten und für den Datenschutz offiziell die EU-Kommission um ihre Unterstützung in diesem Gerichtsverfahren gebeten. Nach Aussage des Ministers könnte der Ausgang dieses Verfahrens möglicherweise schwerwiegende Folgen für den Datenschutz in der Europäischen Union besitzen. Durch den Versuch, die Herausgabe von Daten durch direkte Anordnungen gegenüber den Unternehmen zu erlangen, könnten die bestehenden Rechtshilfeabkommen praktisch umgangen werden.

Für international agierende Unternehmen besteht das sowohl schlichte als auch kaum zu lösende Problem, dass sie zwischen mehreren Rechtssystemen gefangen sind und nur zwischen den Rechtsverletzungen und den zu erwartenden Folgen wählen können. Dass sich eine solche Situation in einer digitalen Welt, in der immer mehr Wirtschaftszweige auf den ungehinderten Fluss von Daten angewiesen sind, als absolut unbefriedigend und revisionsbedürftig darstellt, dürfte wohl jedem einleuchten.

Neue Datenschutzerklärung – Windows verwendet E-Mail-Inhalte nicht für Werbung

Windows hat seinen Dienstleistungsvertrag (MSA) und seine Datenschutzerklärung für Windows-Dienste überarbeitet (eine Übersicht findet sich hier).

MSA
In Bezug auf Änderungen an seinem Dienstleistungsvertrag erläutert Microsoft, dass

Inhalte von E-Mails, Chats, Videoanrufen oder Voicemails nicht für gezielte Werbung

verwendet werden. Ebenso werden auch keine Dokumente, Fotos oder andere persönlichen Dateien der Kunden für gezielte Werbung genutzt.

Zudem hat Microsoft Verhaltensregeln in den Dienstleistungsvertrag aufgenommen (Ziff. 1.2) und aktualisiert (siehe auch Ziff. 3.5). Diese leicht verständlichen Richtlinien sollen für Nutzer festlegen, welche Verhaltensweisen etwa Maßnahmen am Microsoft-Konto zur Folge haben können, wenn sie gegen die Verhaltensregeln verstoßen. Hierbei geht es z. B. um pornographische Inhalte, die Verletzung der Privatsphäre anderer Nutzer oder auch der Einsatz von Schadsoftware.

Das vollständig überarbeitete MSA findet man hier.

Datenschutzerklärung
Zu den Änderungen an der Datenschutzerklärung führt das Unternehmen aus, dass jeweils eigene Datenschutzerklärungen für das Microsoft-Konto, Outlook.com, OneDrive und Familiy Safety erstellt wurden.

Die neue Datenschutzerklärung der Windows-Dienste ist dabei recht übersichtlich aufgemacht. Der Nutzer erhält zu den wichtigen Themen Vorabinformationen und kann, bei Wunsch, jeweils über einen Klick weitere Details zu den einzelnen Diensten nachlesen. Dies dürfte sich durchaus positiv auf die Akzeptanz des bei Verbrauchern oft ungeliebten „Kleingedruckten“ auswirken. Denn die Datenschutzerklärung verläuft damit nicht mehr einfach monoton über mehrere Seiten hinweg, sondern stellt sich in ihrer Grundform als kompakte Informationsbasis dar. Zudem erhält jedes Produkt von Microsoft eine eigene Datenschutzerklärung, womit die jeweiligen Informationen für Nutzer leichter auffindbar sein sollen. Dieser Ansatz unterscheidet sich damit etwa von demjenigen von Google, welches eine gemeinsame Datenschutzerklärung für all seine Dienste verwendet.

Die neuen Bestimmungen treten am 31. Juli 2014 in Kraft.

Die Linke stellt kleine Anfrage zu XBox One, Safe Harbor und Prism

Mit einer kleinen Anfrage (BT-Drs. 17/14116) vom 25.06.2013 möchten Abgeordnete der Partei „Die Linke“ im Bundestag Antworten der Bundesregierung auf verschiedene datenschutzrechtliche Fragen in Bezug auf die Datenverarbeitung durch Spielekonsolen, aber auch darüber hinausgehende Einschätzungen zu Datenverarbeitungen durch amerikanische Unternehmen, erhalten.

Zunächst muss man anmerken, dass die Diskussion (meine Beiträge hierzu finden sich hier und hier) um die geplante neue XBox von Microsoft und um die diesbezüglich bestehenden Pläne des Unternehmens, alleine auf vorläufigen Informationen aus der Presse, zum Teil auch von Microsoft selbst, beruhen. Auch wenn einige Funktionen, wie etwa die obligatorische Kinect-Kamera, wohl ziemlich sicher umgesetzt werden, so liegen derzeit noch keine Tatsachen vor, aufgrund derer eine abschließende rechtliche Prüfung möglich wäre.
Continue reading

Europe vs. Facebook erstattet Anzeige gegen Facebook, Microsoft, Apple, Skype und Yahoo

Wie europe-v-facebeook.org (evf) heute in einer Pressemitteilung bekannt gibt, hat die Vereinigung zusammen mit Nutzern mehrere Beschwerden bei verschiedenen nationalen Datenschutzbehörden eingereicht.

Inhalt der Beschwerden
Evf stützt sein Vorbringen auf eine mögliche Verletzung europäischen Datenschutzrechts durch europäische Tochtergesellschaften großer amerikanischer Unternehmen. Ziel der Beschwerden sind Facebook, Apple, Microsoft, Skype und Yahoo. Die Beschwerden gingen an die Datenschutzbehörden in Irland (für Facebook und Apple), Deutschland (für Yahoo) und Luxemburg (für Skype und Microsoft).

Evf sieht in dem Export von Nutzerdaten von europäischen Tochterfirmen an ihre amerikanischen Muttergesellschaften einen Verstoß gegen die Vorgaben der geltenden Datenschutzrichtlinie (RL 95/46 EG, DS-RL), wenn sich die Vermutungen in Bezug auf die aufgedeckten Informationen zu dem Überwachungsprogramm Prism des amerikanischen Geheimdienstes als wahr herausstellen sollten. Ein Export von personenbezogenen Daten in ein Drittland außerhalb der EU ist nach geltendem Recht nur zulässig, wenn in diesem Drittland ein „angemessenes Datenschutzniveau“ besteht. Diese Feststellung wir durch die Europäische Kommission getroffen.
Continue reading

Prism – besserer Rechtsschutz für Europäer?

Nach dem Treffen der Justiz- und Innenminister der EU und der USA am 13./14.06. in Dublin, bei dem es vor allem auch um die Enthüllungen und öffentlichen Diskussionen zu dem Überwachungsprogramm “Prism” der amerikanischen Geheimdienste ging, forderte die EU-Kommissarin für Justiz, Viviane Reding, in ihrer Presseerklärung die Gleichstellung der Rechtsschutzmöglichkeiten von EU-Bürgern bei einer rechtswidrigen Verarbeitung ihrer personenbezogenen Daten durch ausländische Geheimdienste.

In der Tat stellt sich etwa in Bezug auf staatliche Überwachungsmaßnahmen im Rahmen des amerikanischen Patriot Act und ergänzender gesetzlicher Befugnisse durch den FISA und den FAA 2008 (hierzu mein Blogbeitrag) das Problem, dass nicht-amerikanische Bürger, auf die sich diese Überwachungsmaßnahmen gerade beziehen, keine rechtliche Möglichkeit besitzen, etwa in den USA einen Eingriff und eine Verletzung ihres Grundrechts auf Schutz der personenbezogenen Daten (in Europa durch Art. 8 der Charta der Grundrechte der Europäischen Union) geltend zu machen. Denn auf amerikanische Grundrechte können sich etwa EU-Bürger nicht berufen und teilweise sind einfach-gesetzlich schon keine Rechtsschutzmöglichkeiten vorgesehen. Hinzu kommt freilich, dass Auskunftsersuchen und Überwachungsmaßnehmen der staatlichen Behörden meist schon gar nicht bekannt werden, da Unternehmen hierüber keine Auskunft geben dürfen.
Continue reading

Project Prism – Wie sicher ist “Safe Harbor”?

Nach der Aufdeckung und den Berichten über ein breit angelegten Abgreifens von Nutzerdaten von Servern amerikanischer Unternehmen wie Google, Facebook und Yahoo durch den amerikanischen Geheimdienst im Rahmen des sogenannten „Projekt Prism“, stellt sich die Frage, inwiefern Übermittlungen von personenbezogenen Daten europäischer Bürger an US-amerikanische Unternehmen noch dem europäischen Datenschutzrecht entsprechen.
Continue reading

Microsoft: XBox One ist Privacy by Design

Nach der offiziellen Vorstellung der neuen Entertainment-Konsole von Microsoft, der XBox One, war der mit datenschutzrechtlichen Bedenken begründete Aufschrei in den Medien nicht zu überhören. Der verbesserten Kinect-Funktion wurde als einziger Zweck die Ausspähung des privaten Umfeldes und ein ständiges Registrieren aller möglichen persönlichen Informationen unterstellt.

In einem Blogbeitrag zu den vorläufigen datenschutzrechtlichen Fragen bei der Nutzung der Konsole, habe ich mich bereits für einen sachliche Auseinandersetzung ausgesprochen, ohne vor der Kenntnis genauerer Informationen ein Urteil zu fällen.

Microsoft klärt auf
Gestern veröffentlichte Microsoft nun weitere Informationen zur XBox und klärt erfreulich deutlich über die datenschutzrechtlichen Implikationen der Konsole auf.
Continue reading

XBox One – Transparenz ist alles

Nach der offiziellen Vorstellung der neuen Homeentertainment-Konsole von Microsoft, der XBox One, war vermehrt Kritik an ihren Funktionen zu vernehmen. Das Gerät wird standardmäßig mit der bereits aus dem Vorgängermodell bekannten, dort noch optionalen, Kinect-Kamera ausgeliefert. Diese wird jedoch noch leistungsfähiger, unter anderem mit 3D- und Infrarottechnologie, arbeiten. Auch ein äußerst sensibles Mikrofon, welches in der Lage ist Sprachbefehle aus einer lauten Umgebung herauszufiltern, wurde verbaut. Der Grund hierfür: die Konsole wird über Sprachbefehle gesteuert und die Erfassung der Personen und ihrer Körperbewegungen vor dem Gerät dient ebenfalls der Steuerung der XBox selbst, der Spielsteuerung und etwa um bereits registrierte Spieler zu erkennen. Potentiell wäre die XBox bei der Wiedergabe eines Filmes in der Lage, die vor der Kamera anwesenden Personen zu zählen und von der Anzahl abhängig den Preis für einen abzurufenden Film zu bestimmen.
Continue reading

„Ich vertraue Dir. Hier sind meine Daten.“

Es gibt viele Schlagworte zur Umschreibung des erklärten Ziels von Datenschützern, Verbraucherorganisationen oder auch nationalen und internationalen Gesetzgebern, welches bei dem zukünftigen Umgang mit persönlichen Informationen in unserer digitalen Welt als oberste, schützenswerte Maxime ausgegeben wird: Datenschutz, Privatsphäre, Privacy u. a.

In mehr oder minder starker Ausprägung soll es darum gehen, die Bürger und Nutzer von (digitalen) Angeboten vor einer völligen ungewollten oder unbewussten Offenlegung und Weitergabe ihrer Informationen zu schützen. Ein, meist gesetzlich determiniertes, Schutzschild (wie etwa die neue Datenschutz-Grundverordnung) oder hierauf basierende Verteidigungswerkzeuge (Recht auf Vergessenwerden, hohe Geldstrafen etc.) zwischen den schwachen und ahnungslosen Nutzern und den mächtigen und allwissenden Unternehmen. Überspitzt formuliert: David gegen Goliat auf dem Schlachtfeld der Daten und die Steinschleuder soll optimiert oder sogar von Dritten geschwungen werden.
Continue reading