Neuer EU- Data Privacy Framework – Beschluss: Kein Grund zur Euphorie

Die EU-Kommission hat am 10.07.2023 einen neuen Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und den USA (EU-U.S. Data Privacy Framework) erlassen. Damit wurde gem. Art. 54 DSGVO eine Rechtsgrundlage für Datentransfers in die USA geschaffen. Andere Verstöße gegen die DSGVO werden hierdurch jedoch nicht geheilt. Falsche Schlüsse für die Nutzung etwa von Microsoft 365 in den Thüringer Schulen sollten daher nicht gezogen werden. Wie der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse ausdrücklich feststellt, ist damit lediglich einer der Kritikpunkte ausgeräumt, die den rechtskonformen Einsatz etwa von MS 365 z. B. in Thüringer Schulen derzeit nicht ermöglichen. In seiner Pressemitteilung vom 26.11.2022 wurde auf die Bewertung der Datenschutzkonferenz zu Microsoft 365 hingewiesen: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/104DSK-Festlegung-Microsoft-Onlinedienste.pdf?__blob=publicationFile&v=1.

Auch wenn eine Datenübermittlung in die USA nunmehr (bis zu dessen erneuter Aufhebung durch den EuGH) erlaubt ist, kann der Verantwortliche (z. B. Schulleitungen) u. a. seiner Nachweispflicht gemäß Art. 5 Abs. 2 DS-GVO, dass etwa Microsoft 365 transparent und rechtmäßig verwendet werden kann, derzeit nicht nachkommen. Denn nach wie vor gibt es grundsätzlich keine ausreichende Transparenz über die Verarbeitung personenbezogener Daten zu eigenen Zwecken und keine Antwort auf die Frage, welche dieser Daten konkret zu welchen Zwecken durch wen verarbeitet werden.

Das Ergebnis ist klar: Trotz des neuen Angemessenheitsbeschlusses darf der Verantwortliche ohne den Nachweis eines datenschutzrechtskonformen Betriebs von Microsoft 365 nicht nutzen. Dies gilt besonders für Schulen, denn Schüler- und damit Kinderdaten sind besonders schützenswert, aber nicht nur dort.

Nicht vorenthalten werden soll ein Zitat von dem bekannten Juristen Maximilian Schrems, der bereits die beiden vorangegangenen Beschlüsse der Europäischen Kommission („Safe Harbour“ und „Privacy Shield“) vor dem EuGH zu Fall gebracht hat: „Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet." https://www.heise.de/news/Kritik-an-Wahnsinn-EU-Kommission-gibt-Datentransfer-in-die-USA-wieder-frei-9212124.html .

Sollte auch dieser Beschluss vom EuGH aufgehoben werden – dann zum dritten Mal – wird sich die Europäische Kommission viele kritische Fragen stellen lassen müssen.

Firmenkontakt und Herausgeber der Meldung:

Thüringer Landesbeauftragter für den Datenschutz
Häßlerstraße 8
99096 Erfurt
Telefon: +49 (361) 57-3112900
Telefax: +49 (361) 57-3112904
http://www.tlfdi.de

Ansprechpartner:

Dr. Lutz Hasse
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Telefon: +49 (361) 3771-901
E-Mail: poststelle@datenschutz.thueringen.de

Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.