202505.09.

Microsoft: Erneutes Update des Products and Services Data Protection Addendum (DPA) vom 01.09.2025

von Tags: , , ,

Seit dem 01.09.2025 hat Microsoft ihr Products and Services Data Protection Addendum (DPA) erneut überarbeitet und aktualisiert. Die neue Fassung ersetzt die Version vom 01. April 2025. Das DPA dient weiterhin als Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und regelt die Verarbeitung personenbezogener Daten zwischen Kunden und Microsoft.

Das neue Data Protection Addendum liegt derzeit ausschließlich in englischer Sprache vor. Die offizielle deutsche Fassung wird voraussichtlich am 15. September 2025 veröffentlicht, nachdem die Übersetzung und rechtliche Prüfung abgeschlossen sind.

Executive Summary

Microsoft stärkt die digitale Souveränität durch die Ausweitung der EU Data Boundary auf den gesamten EWR und durch den neuen Appendix D. Dies gewährleistet Regierungskunden einen erweiterten Schutz vor Abschaltanordnungen. Zugleich setzt Microsoft mit der Einführung der Begriffe „Exportable Data and Digital Assets“ (EDDA) und „Switching“ erstmals die Anforderungen des EU Data Act vertraglich um. Kunden erhalten damit klar geregelte Rechte auf Datenexport, Löschung und Anbieterwechsel.

Ergänzend enthält das DPA verbindliche Regelungen zum Umgang mit Telekommunikationsdaten. Microsoft verpflichtet sich zur Einhaltung der einschlägigen Gesetze, während die Pflicht zur Einholung von Einwilligungen ausdrücklich den Kunden zugewiesen wird. Insgesamt verfolgt Microsoft mit dem Update die Strategie, die europäischen Vorgaben zur Datenhoheit und Datentransparenz konsequent in die Vertragsbedingungen zu integrieren und Unternehmen wie auch öffentliche Auftraggeber mehr Rechtssicherheit zu verschaffen.

Erweiterung der EU Data Boundary

Die EU-Datengrenze wird nun auf den gesamten Europäischen Wirtschaftsraum (EWR) ausgeweitet. Damit können Kundendaten, personenbezogene Daten und Professional Services-Daten auch in den Staaten der Europäische Freihandelsassoziation (EFTA), Norwegen, Island, Liechtenstein & Schweiz, gespeichert und verarbeitet werden.

Für Unternehmen bedeutet dies eine verlässlichere Abgrenzung der Datenstandorte im europäischen Raum und eine Stärkung der Compliance-Anforderungen in Bezug auf Datenresidenz.

Integration des EU Data Act

Erstmals werden die Vorgaben des EU Data Act (VO (EU) 2023/2854) ausdrücklich in das DPA aufgenommen. Microsoft führt den neuen Begriff „Exportable Data and Digital Assets“ (EDDA) ein und beschreibt die Rechte von Kunden beim „Switching“, also beim Anbieterwechsel:

  • Kunden können EDDA jederzeit exportieren, löschen oder in ein eigenes Rechenzentrum übertragen. EDDA enthalten keine Geschäftsgeheimnisse oder geistigen Eigentum von Microsoft oder Daten, die die Sicherheit oder Integrität der Online-Dienste gefährden könnten.
  • Beim Vertragsende ist ein Export bis zu 90 Tage lang möglich.
  • Microsoft verpflichtet sich, den Wechsel technisch zu unterstützen und unzumutbare Hindernisse zu vermeiden.

Gebühren für den Datenausgang („Egress Fees“) können unter bestimmten Bedingungen reduziert werden. Damit adressiert Microsoft die Kritik an Vendor-Lock-in und reagiert auf die ab September 2025 geltenden Vorgaben des Data Acts zur Datenportabilität und Cloud Switching.

Klarstellungen zu Telekommunikationsdaten

Das neue DPA enthält nun ausdrückliche Regelungen zum Umgang mit Telekommunikationsdaten. Microsoft verpflichtet sich, sämtliche einschlägigen telekommunikationsrechtlichen Pflichten einzuhalten. Hierzu zählen insbesondere die Wahrung des Fernmeldegeheimnisses, die Erfüllung von Benachrichtigungspflichten im Falle von Sicherheitsverletzungen sowie die Umsetzung der anwendbaren datenschutzrechtlichen Anforderungen.

Appendix D: Digitale Souveränität für Regierungskunden

Mit Appendix D führt Microsoft eine weitreichende Zusage gegenüber europäischen Regierungskunden ein. Der Schutz gilt nicht nur für Behörden in der EU und im EWR. Erfasst sind auch EU-Institutionen, Beitrittskandidaten, die EFTA-Staaten, das Vereinigte Königreich sowie einzelne europäische Kleinstaaten wie Monaco und den Vatikan. Microsoft verpflichtet sich, staatliche Anordnungen zur Suspendierung oder Abschaltung von Online-Diensten rechtlich anzufechten. Erforderlichenfalls sollen auch einstweilige Rechtsschutzverfahren eingeleitet werden.

Ziel ist es, die Dienste für diese Regierungskunden kontinuierlich und ohne Unterbrechung bereitzustellen.

Neue Definitionen und Präzisierungen

Das Update enthält neue Definitionen, u. a.:

  • „EU Costumer“: über Rechnungsadresse im EWR definiert.
  • „EU Data Act Service“: Online-Dienste innerhalb des EWR
  • „Exportable Data and Digital Assets“: als zentrale Kategorie für Kundendaten.
  • „Switching”: definierter Prozess des Anbieterwechsels.

Zudem wurde die Definition der DSGVO-Bedingungen (GDPR Terms) präzisiert, um die Bindung an Art. 28 DSGVO deutlicher herauszustellen.

Fazit

Mit dem DPA-Update zum 01.09.2025 verfolgt Microsoft eine klare Strategie: Stärkung der europäischen Datenhoheit, Umsetzung der neuen Pflichten aus dem EU Data Act und mehr Transparenz bei Verantwortlichkeiten.

Unternehmen sollten ihre Datenstandorte überprüfen und die neuen Möglichkeiten innerhalb des EWR in ihre Compliance-Strategien einbeziehen. Zudem empfiehlt es sich, frühzeitig Prozesse für den Datenexport und das Cloud Switching zu implementieren, um die neuen Rechte aus dem EU Data Act wirksam nutzen zu können. Parallel dazu muss das Einwilligungsmanagement für Telekommunikationsdienste rechtssicher ausgestaltet werden, da die Verantwortung für die Einholung entsprechender Zustimmungen ausdrücklich bei den Kunden liegt. Schließlich profitieren öffentliche Auftraggeber insbesondere von der zusätzlichen Rechtssicherheit durch den neuen Appendix D. Dieser verpflichtet Microsoft, staatliche Abschaltanordnungen rechtlich anzufechten und die kontinuierliche Bereitstellung der Dienste sicherzustellen.

Wir beraten Sie gerne!

Gerne unterstützen wir Sie bei der Prüfung des neuen Microsoft-DPA und anderer Softwarelösungen von US-Anbietern. Sprechen Sie uns an – sofern erforderlich wir führen für Sie auch ein Transfer Impact Assessment unter Berücksichtigung der EuGH-Rechtsprechung (C-311/18 – Schrems II) und der Empfehlungen des Europäischen Datenschutzausschusses durch.

RA Sebastian Schwiering
Wissenschaftlicher Mitarbeiter Jamal Lale & Amal Albogha

******