202318.01.

Microsoft: Erneutes Update des Products and Services Data Protection Addendum (DPA)

von RA Sebastian Schwiering Tags: Drittlandtransfer, DSGVO, DSK, Microsoft, Schrems 2

Seit dem 01.01.2023 hat Microsoft ihr Products and Services Data Protection Addendum (DPA) zur Klarstellung offener datenschutzrechtlicher Bedenken erneut überarbeitet und aktualisiert. Das DPA dient unter anderem als Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und regelt die Verarbeitung von personenbezogenen Daten zwischen Kunden und Microsoft. Das DPA steht immer wieder in der Kritik der Datenschutzaufsichtsbehörden. Zuletzt hat die Datenschutzkonferenz (DSK) festgestellt, dass Verantwortliche auf Grundlage des alten DPA vom 15. September 2022 nicht nachweisen können, dass sie Microsoft 365 datenschutzrechtskonform betreiben.

Im Hinblick auf die Frage, ob die DPA für alle Azure und Microsoft 365 Verträge gilt, schuf Microsoft Klarheit. Alle Verträge werden der DPA zugeordnet und es wird nicht mehr zwischen einzelnen Vertragstypen unterschieden. So entsteht ein erweiterter Anwendungsbereich der DPA.

Des Weiteren sind von nun an Regelungen zum Umgang mit Telekommunikationsdaten fester Bestandteil der DPA geworden. So gilt, dass soweit Microsoft bei der Bereitstellung von Produkten und Diensten, die nach geltendem Recht als Telekommunikationsdienste gelten, Datenverkehr, Inhalte und andere personenbezogene Daten verarbeitet, besondere gesetzliche Verpflichtungen gelten können. Microsoft sichert in diesem Zusammenhang zu, alle telekommunikationsspezifischen Gesetze und Vorschriften einzuhalten, die für die Bereitstellung der Produkte und Dienste gelten, einschließlich der Benachrichtigung über Sicherheitsverletzungen, der Datenschutzanforderungen und des Fernmeldegeheimnisses.

Microsoft betont weiter, dass die in den Standardvertragsklauseln von 2021 festgelegten Sicherheitsmaßnahmen zum Schutz personenbezogener Daten im Geltungsbereich der DSGVO umgesetzt und strikt eingehalten werden. Somit würde eine Nichteinhaltung der festgelegten Sicherheitsmaßnahmen die DPA verletzen.

Das EU Data Boundary wird im neuen DPA umgesetzt und eindeutig geregelt. Microsoft Kundendaten werden demnach ausschließlich in der EU gespeichert und verarbeitet, wenn diese vom EU Data Boundary erfasst sind. Dies wird zusätzlich in den Produktbedingungen dargelegt und genauer beschrieben.

Hinsichtlich der Unterstützung der Rechenschaftspflicht des Kunden betont Microsoft, dass dies stets durch die DPA und die dem Kunden zur Verfügung gestellte Produktdokumentation geschützt wird.

Wir beraten Sie gerne!

Gerne beraten wir Sie zum Einsatz von Microsoft oder anderen Softwarelösungen von US-Anbietern. Sprechen Sie uns einfach an.

Vor dem Hintergrund der Rechtsprechung des Europäischen Gerichtshof zu Übermittlungen in die USA (C-311/18 – Facebook Ireland und Schrems, 16.07.2020) führen wir hinsichtlich der Softwarelösung ein sog. Transfer Impact Assessment durch.

Bei dieser Prüfung orientieren wir uns an der Empfehlung 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten des Europäischen Datenschutzausschusses vom 10. November 2020.

Wissenschaftlicher Mitarbeiter Jamal Lale
RA Sebastian Schwiering