Es gibt kaum ein Thema im Bereich Datenschutz, das so intensiv diskutiert wird, wie die datenschutzrechtliche Nutzung großen US-Anbieter, wie Microsoft oder Google.

Das liegt vor allem daran, dass diese Anbieter (wie viele andere auch) ihren Sitz in den USA haben. Über das so genannte "Privacy Shield-Abkommen" hatte die EU-Kommission 2016 der USA ein angemessenes Schutzniveau für personenbezogene Daten bescheinigt. Dieses Abkommen wurde aber im Jahre 2020 seitens des Europäischen Gerichtshofs für unwirksam erklärt. Damit war die rechtmäßige Nutzung von US-Dienstleistern zwar nicht verboten aber durchaus erschwert.

Seit dem 10.07.2023 gibt es mit dem „EU-US Data Privacy Framework“ einen neuen Angemessenheitsbeschluss, der die Übermittlung von Daten in die USA aus datenschutzrechtlicher Sicht wieder vereinfacht. Trotzdem wird das Thema Microsoft und Google weiterhin heiß diskutiert. 

Was genau steht in der Kritik?

Kritikpunkt bei diesen Anbietern ist die fehlende Transparenz über die tatsächliche Verarbeitung personenbezogener Daten. Einige Unternehmen verarbeiten die Daten nicht nur für den Zweck des eigentlichen Dienstes, sondern analysieren personenbezogene Daten darüber hinaus auch zu Werbezwecken oder zur Optimierung ihrer Dienste. Beides ist zwar nicht verboten, die Betroffenen müssen aber umfassend darüber informiert werden. Hier liegt der Kritikpunkt: Den Unternehmen wird vorgeworfen, nicht über alle Verarbeitungen transparent und umfassen zu informieren. Organisationen, die diese Dienste einsetzen können deswegen ihrerseits Betroffene ebenfalls nicht angemessen über die Datenverarbeitung informieren.

Beispiel Microsoft: Bei der Nutzung von Microsoft 365 werden in großen Umfang personenbezogenen Daten erhoben. Zum einen gibt es keine vollständige Aufstellung von Microsoft darüber, welche Daten genau gesammelt werden und auch über die Zwecken der Verarbeitung gibt es nur unvollständige Informationen. Auch die umfangreichen und komplexen Administrationsmöglichkeiten von Microsoft 365 machen es aus Sicht einiger Datenschutzexperten fast unmöglich, den Dienst datenschutzrechtlich einwandfrei zu konfigurieren.

Die Empfehlung ist deswegen häufig, Lösungen von Anbietern zu nutzen, bei denen es diese offenen Fragen und Ungewissheiten nicht gibt. Einige werden wir im zweiten Teil dieses Kurses vorstellen.