Nach der Kritik europäischer Aufsichtsbehörden Ende letzten Jahres hat Microsoft eine neue Version des Data Protection Addendum (kurz: DPA) veröffentlicht – abrufbar unter https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
Das DPA fungiert als Auftragsverarbeitungsvertrag und regelt die datenschutzrechtlichen Rechte und Pflichten zwischen Microsoft und dessen Kunden.
Die wichtigsten Änderungen im Überblick:
- Für die rechtskonforme Verarbeitung der Telekommunikationsdaten, insbesondere der Einhaltung des Fernmeldegeheimnisses nach §3 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), zeichnet Microsoft verantwortlich.
- Microsoft verpflichtet sich Kundendaten, die durch Nutzung der Onlinedienste Azure, Dynamics 365, Power Platform und Microsoft 365 unter das sog. „EU Data Boundary“ fallen, innerhalb der EU zu speichern.
- Microsoft stellt klar, dass die technischen und organisatorischen Maßnahmen des DPA gleichsam zwischen Microsoft Irland und Microsoft USA umgesetzt werden, damit Microsoft Kunden ihren sekundären Prüfpflichten (Prüfung, dass Unterauftragnehmer nur unter Voraussetzung geeigneter Garantien eingesetzt werden) nachkommen können.
- Microsoft sichert seinen Kunden mehr Unterstützung zur Erfüllung ihrer Rechenschaftspflicht, also dem Nachweis der datenschutzkonformen Verarbeitung, zu.
Alles in allem wird durch das neue DPA das Datenschutzniveau beim Einsatz von Microsofts Onlinediensten erhöht. Es bleibt abzuwarten wie dieses von den Aufsichtsbehörden bewertet wird. Eines muss gewiss sein, nämlich dass die Bewertungen der Aufsichtsbehörden vordergründig auf die Vertragsinhalte abzielen. Dabei können und sollten Unternehmen – schlussendlich bleiben sie für die Verarbeitung datenschutzrechtlich verantwortlich – auch eigene Maßnahmen treffen und unter den Nutzern ein Bewusstsein für Complianceanforderungen in der Datenverarbeitung schaffen.