Microsoft veröffentlicht endlich ein neues Data Protection Addendum im September 2022 in verschiedensten Sprachen. Die englische Version finden Sie
hier (Data Protection Addendum).
Die deutsche Version des Auftragsverarbeitungsvertrags von Microsoft lässt noch auf sich warten.
Inhaltlich erfreulich ist, dass zumindest Kritikpunkte der Datenschutzbehörden aufgefasst und berücksichtigt wurden.
Interessante inhaltliche Änderungen des AVV von Microsoft
Zum Beispiel wurden die Klauseln zu den veralteten Standardvertragsklauseln von 2010 entfernt. Das war auch erforderlich, da spätestens ab dem 27.12.2022 die alten Standardvertragsklauseln nicht mehr verwendet werden dürfen. Wir haben hierzu schon berichtet.
Ein weiterer interessanter Punkt: Microsoft konkretisiert die Verarbeitung von Daten zu eigenen Zwecken und gibt unter anderem an, statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten zu aggregieren und Statistiken zu erstellen. Natürlich wird auch klargestellt, dass Microsoft weder auf Inhalte von Kundendaten zuzugreift noch eine Analyse vornimmt.
Außerdem stellt Microsoft klar, dass die Pflicht zur Durchführung eines Transfer Impact Assessments (#TIA) dem Datenexporteur und somit der Microsoft Ireland Operations Ltd und nicht dem Endkunden obliegt.
Was ist ein Transfer Impact Assement?
Kommt es zu einer Übermittlung personenbezogener Daten in ein unsicheres Drittland, ist ein Transfer Impact Assessment durchzuführen. In den Standarddatenschutzklauseln (welche in diesem Fall in der Regel zwingend abzuschließen sind) heißt es unter Klausel 14, dass dies in Zusammenarbeit zwischen dem Datenexporteur und dem Datenimporteur zu erarbeiten ist.
Beim TIA handelt es sich um eine Risikobewertung, bei der der Verantwortliche prüfen muss, ob der Empfänger durch geltendes Recht im Drittland gezwungen sein kann, gegen die Regelungen aus den Standardvertragsklauseln zu verstoßen. Dieses Ergebnis ist zu dokumentieren. Sofern dies nicht erfolgt ist, besteht die Gefahr, dass die Datenschutzbehörde dies beanstandet und mit entsprechenden Bußgeldern ahndet.
Zugriff von US Behörden auf personenbezogene Daten
Die USA ist kein sicheres Drittland im Sinne der DSGVO. Grund hierfür ist, dass US-amerikanische Behörden das Recht haben, auf personenbezogene Daten von Unternehmen mit Sitz in den USA, aber auch US-Unternehmen, die in Europa sitzen, zuzugreifen. Microsoft garantiert daher in mehrfacher Weise, dass personenbezogene Daten bei Microsoft sicher sein sollen. Microsoft erklärt in seinem neuen DPA, dass etwaige Offenlegungen ausschließlich im Rahmen der DSGVO stattfinden.
Conclusion
Der Einsatz von Microsoft 365 ist nach wie vor risikobehaftet. Entscheidend ist, eine Datenschutzfolgenabschätzung vorzunehmen und passene technische und organisatorische Maßnahmen zu ergreifen. Dabei ist zumindest eine datenschutzfreundliche Grundeinstellung in den Microsoftprodukten von Nöten, ebenso wie Einstellungen von Zugriffsrechten der Mitarbeiter, Speicherbegrenzungen und Schulungen.
Im Netz gibt es zahlreiche Informationen zum Einsatz von Microsoft 365. Informieren Sie sich.
