Erfreulicher Weise hat nun die EU-Kommission das neue sog. EU-US Data Privacy Framework Abkommen in Kraft gesetzt, was grundsätzlich die Nutzung von Microsoft Office ermöglichen soll. Denn durch dieses Abkommen werden die Zugriffsrechte der US-Geheimdienste auf das Notwendige und Verhältnismäßige eingeschränkt, was bisher nicht der Fall war. Zusätzlich soll ein Gericht zur Überprüfung des Datenschutzes in den USA eingerichtet werden.

Das Abkommen erleichtert deutschen Unternehmen wieder Verträge mit US-amerikanischen Firmen abzuschließen. Die Nutzung der Standardvertragsklauseln ist nicht mehr notwendig, wenn der Dienstleister nach dem EU-US Data Privacy Framework Abkommen zertifiziert ist, was für viele große Unternehmen – so auch Microsoft – gilt.

Das US Department of Commerce veröffentlichte eine Liste aller zertifizierten Dienstleister und deren Tochtergesellschaften. Unternehmen sollten vor der Nutzung von US-Dienstleistern deren Zertifizierung prüfen und in ihrem Datenschutzmanagementsystem dokumentieren.

Die vorstehende Rechtsauffassung wird aber nicht von allen Datenschützern geteilt. Insbesondere der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse äußert schwere Bedenken. In seiner Pressemitteilung weißt er darauf hin, dass Microsoft nicht hinreichend transparent darstelle, welche personenbezogenen Daten zu eigenen Zwecken verarbeitet würden. Aufgrund dieser Intransparenz durch Microsoft, sei die Nutzung der 365-Produkte an Schulen weiterhin nicht möglich. Insofern verbleibt es dabei, dass jedes Unternehmen eine eigene Risikoabschätzung vornehmen muss und eine letztverbindliche Entscheidung wohl erst der EUGH bringen wird.