Kritiker von Microsoft 365 Produkten erwähnen häufig den mangelhaften Datenschutz, welcher zum Sicherheitsrisiko werden kann. Nachdem der Europäische Gerichtshof am 16. Juli 2020 durch das Schrems II Urteil den Druck weiter erhöht hat, reagiert Microsoft. Microsoft erneuert ihre Datenschutzbestimmungen durch Änderungen im Microsoft Products and Services Data Protection Addendum (DPA). Zum 15. September 2022 löst die 2022-Version die Vorjahresversion ab.
Anpassungen
Konformität zum Schrems II Urteil
Durch das Schrems II Urteil sind EU-Standardvertragsklausen aus dem Jahre 2010 nicht mehr rechtskonform. Demzufolge wurden diese auf dem 2022er DPA entfernt. Deren freien Platz nehmen nun die EU-Standardvertragsklausen von 2o21 ein. Die neuen Standardvertragsklausen gelten damit auch für alle bestehenden Verträge.
Umgang mit Daten
Nicht-personenbezogene Daten werden laut DPA von Microsoft für statistische Zwecke genutzt. Diese Daten nennt Microsoft im Rahmen des DPA Professional Services- sowie Diagnosedaten:
Personenbezogene Daten werden von Microsoft weder eingesehen noch analysiert. Personenbezogene Daten sind die sogenannten Kundendaten.
Offenlegung von Daten im Sinne der DSGVO
Konkret geht es um die Offenlegung von Kundendaten für die amerikanische Regierung. Hierauf hat die amerikanische Regierung einen rechtlichen Anspruch, da Microsoft ein US-Unternehmen ist. Allerdings muss Microsoft auch die europäische DSGVO erfüllen, da Microsoft ein Sitz in Europa (Irland) hat. Diese Grundverordnung beinhaltet, dass solche Offenlegung von Daten nicht grundlos erfolgen darf. Microsoft folgt diesen Vorschriften, indem sie gemäß Artikel 23 der DSGVO Daten an die amerikanische Regierung nur dann offenlegt, wenn z. B. die nationale Sicherheit in Gefahr ist.
Der Rechtsrahmen, in welchem die Offenlegung von Kundendaten für die US-Regierung DSGVO-konform ist, kann auf den Seiten 46 und 47 der DSGVO nachgelesen werden. Dieser Rechtsrahmen gilt neben der USA auch für jeden anderen Drittstaat.
Microsoft verdeutlicht im neuen DPA weiter, dass Daten auch an andere Staaten nur dann herausgegeben werden, wenn Artikel 23 der DSGVO erfüllt ist.
Export der Daten in die USA
Microsoft erneuert neben ihren Datenschutzbestimmungen auch die Regelung des Datenexports. Der Export von Daten in die USA war mit der DPA aus dem Jahr 2021 noch unklar. Microsoft stellt nun klar, dass Microsoft Irland diesen Export durchführt. Hierfür musste Microsoft Irland ein Transfer Impact Assessment erstellen. In diesem Dokument wird das eingehende Risiko des Datenexports geschildert. Das Transfer Impact Assessment kann auf der Microsoft-Seite heruntergeladen werden. Dieses Dokument ist also die Grundlage, um das Risiko einschätzen zu können, welches beim Datenexport besteht. Sofern Sie als europäischer Kunde Microsoft 365 nutzen, stimmen Sie somit dem Transfer Impact Assessment ein. Ist das geschilderte Risiko zu hoch für Sie, dann müssen Sie die Nutzung Ihrer Microsoft-Dienste einstellen.
Versionen
Die aktuellen und veralteten Versionen der DPAs können auf der Microsoft-Seite heruntergeladen werden. Mit Blick auf die Anpassungen sind jetzt natürlich die DPAs von 2021 und 2022 interessant.
Download-Links:
Bei Fragen oder Anregungen zum Thema New Work, zur Microsoft Welt oder zu Collaboration Tools stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.
Weitere Blogartikel aus Bereichen, die von New Work, über Microsoft 365 bis hin zu Green IT reichen, finden Sie auf unserer Blogseite.
