Microsoft hat einen neuen Anhang zu den Standardvertragsklauseln veröffentlicht und vorgestellt, um auf dieser Basis auch nach dem EuGH-Urteil „Schrems II“ (16.7.2020 – C-311/18, CR 2020, 529) legal personenbezogene Daten in Drittländer – insbesondere die USA – exportieren zu können. Den einen oder anderen eher im Süden Deutschlands angesiedelten Aufsichtsbehörden war dies eine lobende Pressemitteilung wert, dem Baden-Württemberger Landesdatenschutzbeauftragten Stefan Brink zusätzlich gar einen weitgehenden Freibrief für Microsoft. Wer aber das neue Dokument von Microsoft liest, fragt sich, ob die Datenschutzbeauftragten das vor ihren öffentlichen Äußerungen ebenfalls getan haben.
Verklausuliert weisen die Datenschutzbeauftragten zwar darauf hin, dass Microsoft mitnichten nunmehr „legal“ geworden ist – „die Transferproblematik in die USA [sei] nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde“. Doch der Tenor gibt das nicht wieder, und die explizite Aussage von Stefan Brink, dass damit aus seiner Sicht die juristischen Fragen zum Schrems-II-Urteil zufriedenstellend geklärt seien, steht sogar komplett diametral zu dieser eigentlichen Feststellung.
Schauen wir uns also mal an, was wirklich in den neuen Klauseln steht:
Ankündigung und Wirklichkeit
Bezeichnend ist, dass die Pressemitteilungen der Aufsichtsbehörden nur berichten, dass Microsoft „Regelungen über“
- „die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
- die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten;
- den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat“
in Aussicht gestellt hat. Was fehlt, ist eine tatsächliche Prüfung, ob denn diese „Regelungen über“ auch tatsächlich anwendbare Verpflichtungen von Microsoft enthalten. Und im Hinblick auf die Information der Betroffenen ist die Aussage in den Pressemitteilungen sogar komplett falsch.
Information der betroffenen Person? Fehlanzeige
Die Aufsichtsbehörden kündigen an:
„die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben“
Im Realitätscheck ist festzustellen, dass die Klauseln an keiner Stelle eine Information der betroffenen Personen vorsehen, wenn Microsoft ihre personenbezogenen Daten an Behörden von Drittländern herausgibt. Eine Information sehen die Klauseln nur für den Microsoft-Kunden vor, nicht hingegen für die betroffenen Personen:
„promptly notify Customer, unless prohibited under the law applicable to the requesting third party, and, if prohibited from notifying Customer, use all lawful efforts to obtain the right to waive the prohibition in order to communicate as much information to Customer as soon as possible“
Selbst dies gilt nach den neuen Microsoft-Klauseln aber nur, wenn eine Information nach dem lokalen Recht – im relevantesten Anwendungsfall also: nach US-Recht – zulässig ist. In den nach der EuGH-Rechtsprechung kritischen Bereichen also faktisch: nie.
Verpflichtung, den Rechtsweg zu beschreiten? Nur in der Theorie
Die Aufsichtsbehörden kündigen an:
„die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten“
In Wirklichkeit heißt die Klausel:
„use all lawful efforts to challenge the order for disclosure on the basis of any legal deficiencies under the laws of the requesting party or any relevant conflicts with the law of the European Union or applicable Member State law“
Wer schon mal versucht hat, das Data Protection Addendum (DPA) von Microsoft zu verstehen, wird die Klausel als außergewöhnlich präzise und klar bewerten. Alle anderen werden feststellen, dass es sich um eine mehrdeutige Klausel handelt, die in verschiedene Richtungen ausgelegt werden kann. Vermutlich wird Microsoft sie sehr eng auslegen, denn Microsoft schreibt in seiner Vorstellung der Ergänzung selbst:
„Erstens verpflichten wir uns, dass wir jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten unserer Unternehmenskunden oder unserer Kunden aus dem öffentlichen Sektor anfechten werden, wenn es dafür eine rechtliche Grundlage gibt.“
Eine rechtliche Grundlage für eine Anfechtung gibt es nur, wenn das Herausgabeverlangen nach dem lokalen Recht rechtswidrig ist. Ein Herausgabeverlangen von US-Geheimdiensten ist aber faktisch nie rechtswidrig, weil es ja in den USA keine inhaltliche Begrenzung der Überwachungsbefugnisse gibt (EuGH, Urt. v. 16.7.2020 – C-311/18, 529, 539 Rz. 180 ff.). Insofern scheint Microsoft den zweiten Teil der Klausel „relevant conflicts with the [EU law]“ so auszulegen wie ich – relevant sind solche Konflikte nur, wenn sie nach dem Recht des Drittlands zur Rechtswidrigkeit der Herausgabeanordnung führen können. Also nach aktuellem Stand jedenfalls bei Zugriffen von US-Geheimdiensten nie.
Schadensersatz für betroffene Personen? Faktisch ausgeschlossen
Die Aufsichtsbehörden kündigen an:
„den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat“
Das ist noch die relevanteste Klausel aus den neuen Ergänzungen von Microsoft – allerdings in der Praxis ebenso wertlos. Denn die Bedingungen sind praktisch nicht erfüllbar bzw. schließen von vornherein alle grundrechtlich unzulässigen Zugriffe von US-Behörden aus. Der Anspruch setzt nämlich unter anderem voraus:
„the Relevant Disclosure was the basis of an official proceeding by the non-EU/EEA government body or law enforcement agency against the data subject“
Einerseits ist schon unklar, was Microsoft wirklich meint. Ist „was on the basis“ gemeint, d.h. erst ein Verfahren gegen die betroffene Person, dann die Herausgabe? Bei der üblichen Qualität von Microsoft-Rechtstexten im Bereich des Datenschutzes ist es durchaus denkbar, dass hier ein „on“ fehlt.
In diesem Fall würde gelten: Ein „official proceeding (…) against the data subject“ dürfte in den grundrechtlich problematischen Geheimdienst-Bereichen jedenfalls im Fall der USA wohl nie vorliegen (auch wenn wir das natürlich nicht wissen können, da geheim). Bleiben also allenfalls noch die Zugriffe im Rahmen der Strafverfolgung, die aber gerade nach der EuGH-Rechtsprechung nicht wirklich das Problem sind.
Oder ist gemeint, dass es Schadensersatz nur dann gibt, wenn auf der Grundlage der herausgegebenen Daten ein Verfahren gegen die betroffene Person eröffnet wird, wie der Wortlaut sagt? Dann wären alle Fälle ausgeschlossen, wo entweder die Herausgabe nicht die alleinige Basis des Verfahrens ist oder es nicht zu einem offiziellen Verfahren kommt (-> Geheimdienst-Aktivitäten) oder das Verfahren gegen Dritte geführt wird.
In jedem Fall bleibt kaum ein Anwendungsbereich für die Klausel.
Außerdem beißt sich die Katze in den Schwanz, wenn Microsoft den Anspruch zudem ausschließt, wenn:
„Microsoft shall have no obligation to indemnify the data subject under Section 2 if Microsoft establishes that the Relevant Disclosure did not violate its obligations under Chapter V of the GDPR“
Okay. Die Schadensersatz-Klausel dient dazu, den Datenexport legal zu machen. Wenn der Datenexport im Rahmen der Herausgabe aber legal war, dann ist jeder Schadensersatz ausgeschlossen. Also ist ein Schadensersatz immer ausgeschlossen, weil der Datenexport ja aufgrund der nie eingreifenden Schadensersatz-Klausel legal war.
Hut ab vor den Anwälten, die sich das wieder ausgedacht haben.
Dazu kommt:
- „Consequential damages“ sind ausgeschlossen. Der Schaden muss „directly“ aus der Offenlegung herrühren, ist also von vornherein beschränkt auf den Umstand, dass die Drittlands-Behörden jetzt über die Daten der betroffenen Person verfügen. Der EuGH hat bereits entschieden, dass die Weitergabe personenbezogener Daten an einen Dritten, etwa eine Behörde, unabhängig von der späteren Verwendung der übermittelten Informationen einen Eingriff in die in den Art. 7 und 8 GRCh verankerten Grundrechte darstellt. Dasselbe gilt für die Speicherung personenbezogener Daten und den Zugang zu ihnen für ihre Nutzung durch die Behörden, wobei es nicht darauf ankommt, ob die betreffenden Informationen über das Privatleben sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten (EuGH, Urt. v. 16.7.2020 – C-311/18, CR 2020, 529, 539 Rz. 171 m.w.N.). Da ein immaterieller Schaden bereits etwa in dem unguten Gefühl liegen kann, dass personenbezogene Daten Unbefugten bekannt geworden sind, insbesondere wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden – ja bereits in der Ungewissheit, ob personenbezogene Daten an Unbefugte gelangt sind (Bergt in Kühling/Buchner, DSGVO/BDSG, Art. 82 DSGVO Rn. 18b m.w.N.), kommt also zumindest im Ansatz und unter Wegdenken der anderen Einschränkungen ein Schadensersatzanspruch in Betracht. Allerdings wird dieser Kontrollverlust, der die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert und in Erwägungsgrund 75 DSGVO ausdrücklich als „insbesondere“ zu erwartender Schaden genannt wird, teilweise als Schaden negiert (vgl. die Nachweise bei Bergt in Kühling/Buchner, DSGVO/BDSG, Art. 82 DSGVO Rn. 18b). Es steht kaum zu erwarten, dass Microsoft bei einer umstrittenen Rechtslage freiwillig die für sich negative Rechtsposition einnehmen wird – auch wenn der Charakter der Klauseln als AGB im Individualprozess theoretisch zu einer solchen Auslegung führen müsste. Doch ist eine solche Auslegung alles andere als sicher, schließlich ist der Begriff der ausgeschlossenen „consequential damages“ sehr weit.
- Die betroffene Person hat ausdrücklich die volle Beweislast – auch für Dinge, die sie gar nicht wissen kann, jedenfalls im Bereich der grundrechtlich besonders problematischen Ãœberwachung durch Geheimdienste. Denn die betroffene Person wird nicht informiert – die bis zur Sinnlosigkeit beschränkte Verpflichtung Microsofts zur Information betrifft nur den Microsoft-Kunden, siehe oben –, sie hat natürlich keinerlei Kenntnis von dem Verfahren, wenn es sich nicht um ein weit gediehenes Strafverfahren gegen sich selbst handelt, und sie kann diese Kenntnis im Ãœbrigen auch nie erhalten, weil die geheimdienstlichen Ãœberwachungsmaßnahmen (wohl nicht nur in den USA) geheim sind. Und die Beweislast ist dann auch noch zu „Microsoft’s reasonable satisfaction“ zu erfüllen – Gummiparagraph hoch drei.
- „The data subject may only bring a claim under this Addendum on an individual basis, and not part of a class, collective, group or representative action. Rights granted to data subjects under this Addendum are personal to the data subject and may not be assigned.“ – Jede realistische Möglichkeit zur Finanzierung eines solchen Prozesses ist damit ausgeschlossen. Wie viel hat das Vorgehen von Max Schrems gegen Facebook bisher noch mal gekostet?
Also?
Alles in allem also eine gigantische Masse an Nebelkerzen, die sowohl Microsoft als auch die süddeutschen Aufsichtsbehörden da wieder einmal gezündet haben.
Und nur zur Klarstellung: Natürlich würden diese Maßnahmen auch dann nicht ansatzweise reichen, die Datenexporte rechtmäßig zu machen, wenn die von den Aufsichtsbehörden angedeuteten Verpflichtungen tatsächlich enthalten wären, und es wird bei Cloud Services in den meisten Fällen auch keine Maßnahmen geben, die Datenexporte in die USA legal machen könnten. Das dürfte nach der Lektüre des EuGH-Urteils „Schrems II“ und erst recht nach der Lektüre der „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“ des Europäischen Datenschutzausschusses wohl jedem klar sein (dazu Grages, „Steine statt Brot: Empfehlungen des EDSA zu Datentransfers nach Schrems II“, CRonline Blog v. 12.11.2020). Das will halt nur nicht jeder aussprechen.
Und zur Klarstellung II: Selbst wenn man all dies anders sähe, wäre der Einsatz von Microsoft-Produkten unter Geltung des DPA nur legal, wenn das DPA selbst den gesetzlichen Mindestanforderungen entspräche. Tut es aber nicht.
Und zur Klarstellung III: Bei Microsoft gilt grundsätzlich das DPA fort, das bei Vertragsabschluss galt.
Hinweis: Dieser Beitrag gibt ausschließlich die private Meinung des Autors wieder.