In diesem Beitrag möchten wir Ihnen einen Einblick in die Bedeutung des neuen EU-US Data Privacy Frameworks geben und wie er Unternehmen dabei unterstützt, den Datenschutz bei der Nutzung von M365 zu gewährleisten. Dafür haben wir unseren Datenschutz-Beauftragten Markus Sextro von SNS Connect gebeten, mit uns seine Einschätzungen und Erkenntnisse zu teilen. Erfahren Sie mehr über die Bedeutung des neuen Rahmens und welche Vorteile es für Ihre Organisation mit sich bringt.
acoris:
„Hallo Markus, vielen Dank für Deine Experten-Zeit. Bevor wir starten, stell Dich und Dein Unternehmen doch kurz vor.‟
Markus Sextro:
„Aber gern. Wir, die SNS Connect, sind erfahrene Berater und externe Datenschutzbeauftragte und stehen kompetent in den Bereichen Informationssicherheit und Datenschutz zur Seite. Unser Ziel ist es, unseren Kunden dabei zu helfen, Ihre sensiblen Daten effektiv zu schützen und die Einhaltung der Datenschutzbestimmungen sicherzustellen.‟
acoris:
„Deshalb haben wir Euch eingeladen. Aber kommen wir doch gleich auf den Punkt: Ist es richtig? Haben wir jetzt endlich wieder Klarheit und Sicherheit für Unternehmen hinsichtlich des Datenschutzes im Zusammenhang mit Microsoft 365? Ist M365 jetzt nicht mehr ‚gefährlich‘ oder ‚böse‘, wie manche ja immer noch behaupten?‟
Markus Sextro:
„Fangen wir mal so an: M365 war noch nie böse – man musste nur wissen, wie man es richtig im Unternehmen einsetzt. Aber jetzt wird es natürlich einfacher, denn es ist endlich da, das von vielen lang ‚ersehnte‘ neue Datenschutzabkommen zwischen der EU und den USA. Der neue Rahmen ist das EU-US Data Privacy Framework, kurz EU-US DPF oder auch nur als DPF bezeichnet, ist seit dem 10. Juli 2023, also seit rund einem Monat, nun seitens der Europäischen Kommission in Kraft gesetzt.
Die Übermittlung von personenbezogenen Daten in die USA, etwa durch die Nutzung von Software & Cloud aus den USA, ist also nicht mehr ‚böse‘. Und gleich ketzerisch hinterher gefragt: Oder doch immer noch? Die Meinungen dazu gehen unter der den Datenschutzjuristen auseinander. Das war vor der Verabschiedung dieses Angemessenheitsbeschlusses so, und ist auch weiterhin der Fall. Wie schon eingangs gesagt: Man sollte beim Einsatz von M365 einfach informiert vorgehen. Da helfen die richtigen Partner.
Übrigens haben sich die einschlägigen Datenschutzaktivisten bereits in Stellung gebracht, um das Abkommen erneut höchstrichterlich vor den EuGH zu bringen und auf seine Rechtmäßigkeit hin prüfen zu lassen. Solche Verfahren dauern regelmäßig eine gewisse Zeit. Die Schätzungen bewegen sich zwischen wenigen Monaten bis etwa 3 Jahren, bis es erneut zu einer Entscheidung kommen wird.‟
acoris:
„Was bedeutet das jetzt für die Nutzung von US-Cloud und -Software?‟
Markus Sextro:
„Für die Übermittlung personenbezogener Daten sind für Verantwortliche keine zusätzlichen Datenschutzmaßnahmen oder ‚Übermittlungsinstrumente‘, wie zusätzliche Datenschutzverträge notwendig, da den USA nun ein der EU gleichwertiges Datenschutzniveau zugebilligt ist. Das ist sicherlich das Wichtigste.
Ich mache mal ein Beispiel: vor dem EU-US DPF war für den Datenexport eine zusätzliche Datenverschlüsselung, ein Transfer Impact Assessment und der Abschluss von Standarddatenschutzverträgen der EU erforderlich. Da ist jetzt nicht mehr notwendig. Das erleichtert, finde ich, schon ungemein.
Wichtig ist allerdings eines: Den Verantwortlichen obliegt die Pflicht der Prüfung, ob ein Anbieter sich dem Selbstzertifizierungsverfahren für das DPF unterworfen hat. Hierzu gibt es eine Liste der zertifizierten Anbieter, die man über diesen Link findet: https://www.dataprivacyframework.gov/s/participant-search.
Für allen anderen US-Anbieter, die nicht auf der DPF-Liste zu finden sind, gelten die bisherigen Anforderungen an Verantwortliche für die Datenübermittlung in die USA nach dem sog. Schrems II-Urteil des EuGH weiterhin.‟
acoris:
„Vielen Dank, Markus – das war prima auf den Punkt.‟
Für alle Leser die weitere Datenschutz-Expertise brauchen:
Schreiben Sie einfach an info@snsconnect.de.
Sie haben jetzt Lust darauf, endlich sicher M365 einzuführen? Dann sprechen Sie mit uns:
- +49 6151 78664-10
- vertrieb@acoris.de