05.2021 Microsoft passt Zusagen für Nutzer seiner Dienste nach Schrems II weiter an
Im Zuge des Schrems II Urteils hat Microsoft nachgelegt und bietet seinen europäischen Kunden (Behörden und Unternehmen) die ausschließliche Vorhaltung der Daten in europäischen Rechenzentren unter DSGVO-Kriterien an.
Microsoft beschreibt dies wie folgt:
„Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen. Diese Zusage gilt für alle zentralen Cloud-Dienste von Microsoft – Azure, Microsoft 365 und Dynamics 365. Mit dieser Maßnahme gehen wir über unsere bestehenden Zusagen bei der Datenspeicherung hinaus. Wir sprechen von einer „EU Data Boundary for the Microsoft Cloud“, einer EU-Datengrenze für unsere Cloud-Lösungen.“
Bei aller Freude über diese Ankündigung, so wird zu prüfen sein, ob diese Zusage in Anbetracht der für US Unternehmen geltenden Gesetzgebung bei Anfragen von US Ermittlungsbehörden oder Nachrichtendiensten Bestand haben wird.
Der US CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) wurde in der Vergangenheit so ausgelegt, dass US-Unternehmen selbst dann zur Datenherausgabe verpflichtet sind, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten.
Die Datenherausgabe setzt auch nicht voraus, dass es ein internationales Rechtshilfeabkommen gibt. Im konkreten Fall kann sich Microsoft also nach US-Recht nicht darauf berufen, dass das EU-Recht die Datenherausgabe etwa von einem Rechtshilfeersuchen der US-amerikanischen Behörden abhängig macht.
Wir werden also die Positionierung der Aufsichtsbehörden zu diesem Schritt des US Konzerns aufmerksam beobachten müssen.
Photo by Guillaume Périgois on Unsplash