Icon Datenschutzbeauftragter
Datenschutz

Microsoft veröffentlicht ein neues Data Protection Addendum

Avatar
Verfasst von: David Armbrust
Berater für Datenschutz und Informationssicherheit

Am Donnerstag, den 15.09.2022 hat Microsoft einen neuen Nachtrag zum Datenschutz veröffentlicht (engl. Data Protection Addendum). Ein weiterer Schritt in Richtung Datenschutz und "pro DSGVO"?


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


Microsoft veröffentlicht ein neues Data Protection Addendum

Am Donnerstag, den 15.09.2022 hat Microsoft einen neuen Nachtrag zum Datenschutz veröffentlicht (engl. Data Protection Addendum). Dieser Nachtrag löst das bisherige Data Protection Addendum ab, welches Microsoft genau ein Jahr zuvor veröffentlicht hatte.

Hauptgrund der neuen Version ist das Wirksamwerden der neuen EU-Standardvertragsklauseln, die seit Juni 2021 in Kraft sind. In der Praxis erfolgt eine Übermittlung personenbezogener Daten zumeist auf Grundlage dieser Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 lit. c DSGVO. Durch diese Klauseln werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vereinbart. Bei der Verwendung des von der Europäischen Kommission verabschiedeten Vertragsmusters kann die Übermittlung personenbezogener Daten in Drittländer ohne weitere Genehmigung der Aufsichtsbehörden erfolgen.

Mit dem Schrems-II-Urteil vom 16.07.2020 hat der Europäische Gerichtshof (EuGH) die Anforderungen an die Verwendung von Standardvertragsklauseln in der Praxis erheblich verschärft. Demnach liegt es in der Verantwortung des Datenexporteurs, vor der Übermittlung personenbezogener Daten zu prüfen, ob im Empfängerland ein entsprechendes Schutzniveau für diese Daten existiert. Sollte dies nicht der Fall sein, müssen gegebenenfalls zusätzliche Schutzmaßnahmen zur Sicherstellung eines solchen Schutzniveaus ergriffen werden, bevor die Übermittlung stattfinden kann.

Seit dem 27.09.2021 müssen zwingend alle Neuverträge und spätestens zum 27.12.2022 auch alle bestehenden Verträge mit den neuen Standardvertragsklauseln geschlossen worden sein.


Was ist das DPA?

Das DPA von Microsoft ist der Datenschutznachtrag zu Ihren Produkten und Services. Bei der Nutzung von Microsoft-Lösungen wird eine Vielzahl von personenbezogenen Daten durch Microsoft verarbeitet. Die Verarbeitung erfolgt auf Grundlage genau dieses Datenschutznachtrages. In diesem Addendum werden beispielsweise die Zwecke der Verarbeitung der Kundendaten, die von Microsoft eingesetzten TOM oder die Standardvertragsklauseln aufgeführt.

Änderungen im neuen DPA

  • Die wohl wichtigste Änderung im DPA ist, dass die bisher enthaltenen Standardvertragsklauseln (SCC) aus dem Jahr 2010 komplett entfernt wurden. Diese Anpassung ist notwendig, da mit der Geltung der neuen SCC aus dem Jahr 2021 ein Drittlandübermittlung nur noch bis zum 27.12.2022 auf die alten SCCs für Bestandsverträge gestützt werden darf. Zudem ist nun mit der Geltung der neuen SCCs Microsoft Irland der Datenexporteur.
  • Eine weitere Änderung ist in den Angaben des DPA zu der Verarbeitung von Daten von Microsoft zu eigenen Zwecken zu finden: Nutzende der neuen SCC müssen ergriffene Maßnahmen benennen, mit denen die Menge der erhobenen personenbezogene Daten vor einem Transfer möglichst gering gehalten, pseudonymisiert und verschlüsselt werden.

Microsoft präzisiert nun die eigene Verarbeitung und gibt unter anderem an, statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten zu sammeln und Statistiken zu erstellen. Microsoft sichert dabei zu, weder auf die Inhalte von Kundendaten zuzugreifen noch diese zu analysieren. Zuvor genannte Zwecke wie die Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen finden sich in dem neuen DPA aber nicht mehr.

  • Die Offenlegung von verarbeiteten Daten ggü. Dritten, insbesondere gegenüber staatlichen Behörden, ist einer der meistdiskutierten und umstrittensten Aspekte zum Datenschutz bei Microsoft 365. Allerdings stellt Microsoft neben den bereits bestehenden Garantien, die seit Dezember 2020 im DPA Bestandteil sind noch einmal klar, dass der Maßstab für etwaige Offenlegungen die DSGVO ist. Offenlegungen erfolgen damit am Maßstab des europäischen Rechts.

Empfehlung

Zusammenfassend kann man durchaus sagen, dass die von Microsoft am DPA vorgenommenen Anpassungen insgesamt positiv zu bewerten sind. Es werden mehrere Kritikpunkte der Aufsichtsbehörden der letzten Jahre adressiert und sich klar „pro DSGVO“ positioniert. Vor allem die Entfernung der alten SCC war zwingend erforderlich, da diese für bestehende Verträge ab Ende des Jahres nicht mehr genutzt werden dürfen. Microsoft-Kundinnen und -Kunden sollten nun prüfen, ob das neue DPA per Zusatzvereinbarung in die bestehenden Verträge mit aufgenommen werden sollte.

Allerdings bedeutet die Geltung des neuen Datenschutznachtrages nicht, dass ein datenschutzkonformer Einsatz von Microsoft 365 von nun an gegeben ist. Speziell aufgrund der Komplextität der gesamten Microsoft 365-Lösung und den Vorgaben aus der DSGVO und kirchlichen Datenschutzgesetze stehen Organisationen noch immer vor einer immensen Herausforderung.

 

Sie verwenden bereits Microsoft 365 oder möchten es datenschutzkonform einführen?
Wir unterstützen Sie dabei! Jetzt Kontakt aufnehmen.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.