Vor gut einer Woche hat Microsoft ein neues Data Protection Addendum veröffentlicht – ziemlich genau ein Jahr nach der letzten Aktualisierung.
Die neue Version des DPA kann wie immer unter https://aka.ms/dpa heruntergeladen werden. Am 26.9.2022 liegt das DPA bisher nur in Englisch vor, die deutsche Übersetzung sollte in den nächsten Tagen ebenfalls dort veröffentlicht werden.
Aus meiner Sicht sind folgende Hauptänderungen in der neuen Version des DPA enthalten:
- Entfernt wurden der EU-Standardvertragsklausen von 2010 – diese dürfen nach dem EuGH-Urteil (Schrems II) nur noch bis Dezember 2022 verwendet werden und wurden für EU-Kunden schon im letzten Jahr nicht mehr als Basis für Drittlandübermittlungen verwendet
- Es wird deutlich formuliert, dass Microsoft weder auf Inhalte von Kundendaten zugreift noch diese analysiert
- Für die anderen Datenkategorien (Professional Services- sowie Diagnosedaten) sichert Microsoft zu, dass statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten aggregiert und zu Statistiken zusammengefasst werden. Die damit verbundenen Zwecke definiert Microsoft ebenfalls. Neu ist, dass die Abwehr von Cyberangriffen nicht mehr als legitimierte Geschäftstätigkeit angegeben wird.
- Des Weiteren erfolgt die Offenlegung von Daten gegenüber staatlichen Stellen nur im Rahmen der Möglichkeiten von Art 23 DSGVO
Unverändert sichert Microsoft im DPA zu, dass keine Daten für Profiling, Werbung und Marketing verwendet werden und Schlüssel zur Verschlüsselung von Daten in den Microsoft-Services niemals an irgendwelche Stellen weitergegeben werden, oder diese Stellen Zugriff auf Verschlüsselungsschlüssel haben.
Einen Vergleich der beiden DPA-Versionen hat der Rechtsanwalt Stefan Hessel bereitgestellt: MicrosoftProductandServicesDPA(WW)(English)(Sept20 → MicrosoftProductandServicesDPA(WW)(English)(Sept20 – Draftable
Schon seit 2021 ist Microsoft Irland alleiniger Vertragspartner für EU-Kunden. Somit werden Drittlandtransfers auch nicht mehr vom Kunden, sondern von Microsoft Irland vorgenommen. Für uns als Kunden bedeutet das, dass wir einen Vertrag nach Art 28 DSGVO, mit einem europäischen Auftragsverarbeiter schließen! Zur Erfüllung der Anforderungen, die sich mit den neuen EU-Standardvertragsklausen 2021 ergeben, gehört auch die Erstellung eines TIA (Transfer Impact Assessment) für die Stelle, die als Datenexporteur agiert – also Microsoft Irland.
Nun hat Microsoft dieses TIA veröffentlicht und somit können Kunden dieses prüfen. Das TIA wurde im Service & Trust-Portal, bzw. in dem neu gestalteten Vertrauensstellungsportal veröffentlicht: Startseite des Service Trust Portal (microsoft.com). Nach erfolgreicher Anmeldung kann dieses im Bereich DSGVO, als „Addendum-International Data Transfer.pdf“ heruntergeladen werden.
Nach meiner persönlichen Meinung fällt das TIA sehr knapp aus. Aber in Verbindung mit folgendem Dokument zur Bewertung der Rechtsvorschriften im Empfängerland, kann ein Verantwortlicher das Risiko der Übermittlung für sich selbst bestimmen: working white paper remake 029 FNL (microsoft.com)
