Microsoft hat einen überarbeiteten Vertrag zur Auftragsverarbeitung veröffentlicht. Mit dem neuen Datenschutznachtrag, dem Microsoft Products and Services Data Protection Addendum (DPA), stellt das Unternehmen klar, dass es gemäß dem neuen EU-US-Datenschutzrahmen zertifiziert ist.
Durch den Datenschutznachtrag wird der Transfer von Daten in die USA, der bei der Nutzung von Microsoft-Cloud-Produkten wie Office 365 stattfindet, nun auf die Entscheidung der EU-Kommission gestützt. Diese hat im Juli die Angemessenheit der Datenschutzmaßnahmen in den USA bestätigt. Rechtsanwalt Stefan Hessel von der Kanzlei Reuschlaw ist der Meinung, dass Übertragungen von personenbezogenen Informationen über den Atlantik mit der neuen Version des DPA nicht mehr von den Datenschutzaufsichtsbehörden beanstandet werden könnten. Die Kommission erklärt somit, dass der Schutz personenbezogener Informationen in den USA genauso effektiv ist wie in der EU.
Die Ergänzungen sind auch für Unternehmen und Behörden relevant, die Microsoft damit beauftragen, ihre Daten innerhalb der EU zu verarbeiten. Das Verfahren, das 2021 eingeführt wurde und nun auch im DPA berücksichtigt wird, hat zum Ziel, Übertragungen von persönlichen Kundendaten aus der EU in die USA zu verhindern. Nachdem der Europäische Gerichtshof (EuGH) den Privacy Shield, den Vorgänger des neuen Datenschutzrahmens, für ungültig erklärt hatte, war diese Überarbeitung notwendig.
Laut Hessel werden derzeit auch bei Verwendung des Grenzmechanismus noch bestimmte Daten in die USA übermittelt. Unabhängig davon, ob die Datenschutzaufsichtsbehörden vollständig von der neuen Version des DPA überzeugt sind, sollten Verantwortliche die aktuelle Ausgabe in ihrer Datenschutzdokumentation berücksichtigen. Es reicht aus, dass Unternehmen und öffentliche Stellen intern festhalten, dass das neue DPA angewendet werden soll. Es besteht jedoch weiterhin Uneinigkeit darüber, ob mit dieser Änderung alles in Bezug auf den Datenschutz in Ordnung ist, insbesondere angesichts der laufenden Klagen gegen das Privacy Framework.
Vor einem Jahr hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) betont, dass Organisationen wie Ämter, Schulen und Unternehmen MS 365 nicht ohne zusätzliche Sicherheitsmaßnahmen rechtskonform nutzen können. Im August äußerte der Bayerische Datenschutzbeauftragte Thomas Petri in einem Leitfaden zur Datenschutzgrundverordnung (DSGVO), dass der Vorwurf mangelnder Transparenz nach wie vor für das Office-Paket von Microsoft besteht. Laut Petri haben bayerische öffentliche Stellen immer noch erhebliche Schwierigkeiten, ihren Verpflichtungen gemäß Artikel 5 Absatz 2 der DSGVO nachzukommen, insbesondere in Bezug auf Grundsätze wie die Begrenzung auf das notwendige Maß und die Speicherbegrenzung. Insbesondere nennt Microsoft nicht alle Einzelheiten über die durchgeführten Verarbeitungen. Dies wird erneut deutlich, da gerade entdeckt wurde, dass das neue Outlook aus Office Zugangsdaten auf Server des Unternehmens überträgt und E-Mails dort dupliziert. Im September äußerten sechs zusätzliche Aufsichtsbehörden ihre prinzipielle Zustimmung zu den von Petri geäußerten Bedenken in Bezug auf Verträge mit Microsoft. Dies geschah durch die gemeinsame Veröffentlichung von Leitlinien zur Vertragspraxis.
Schlagwörter: Auftragsverarbeitungsvertrag + EUUSDatenschutzrahmen + Datenschutzkonformität von MicrosoftProdukten
Wie bewerten Sie den Schreibstil des Artikels?