Der Rechtstipp: Nach DSGVO-Streit bessert Microsoft mit neuem DPA-Vertrag nach
Die Datenschutz-Kontroversen um Microsofts Cloud-Dienste reißen nicht ab. Dabei standen in den letzten Jahren vor allem die Themen Datenübermittlung und Behördenanfragen im Zentrum der Kritik. Microsoft reagiert nun mit einer neuen Fassung des „Microsoft Products and Services Data Protection Addendum“ (kurz DPA), die für die Einhaltung der DSGVO bei der Nutzung von Microsoft 365 und weiterer Dienste essentiell ist. Hier eine Übersicht über die wichtigsten Verbesserungen.
Autor: RA Stefan Hessel*
1. Mehr Rechtssicherheit bei Datenübermittlungen in die USA
Microsoft hat die bisher im DPA enthalten alten Standardvertragsklauseln für Datenübermittlungen in die USA entfernt und durch die neuen Standardvertragsklauseln aus dem vergangenen Jahr ersetzt. Dieser Schritt war notwendig, da selbst bei bestehenden Verträgen ab dem 27. Dezember nur noch die neuen Standardvertragsklauseln genutzt werden dürfen.
Die neuen Standardvertragsklauseln bringen für Verantwortliche große Vorteile, da Microsoft selbst als Datenexporteur auftritt und damit einen erheblichen Teil der Verantwortung für die Datenübermittlung in die USA übernimmt. Das neue DPA stellt insoweit unmissverständlich und unzweifelhaft dar, dass Microsoft Irland als Datenexporteur das erforderliche Transfer Impact Assessment (TIA) für die Drittlandsübermittlung durchgeführt hat. Damit obliegt die Bewertung der Rechtslage in dem jeweiligen Drittland und die Gewährleistung eines angemessenen Datenschutzniveaus in erster Linie Microsoft.
2. Mehr Transparenz bei Telemetrie und Datenflüssen
In Diskussion zum Datenschutz bei Microsoft 365 hört man immer wieder auch von vermeintlich intransparenten Datenflüssen oder einer angeblich rechtswidrigen Verarbeitung von Daten für Geschäftszwecke von Microsoft. Gegenstand der Kritik sind meistens die wenigen Telemetrie- und Diagnosedaten, die Microsoft zwingend benötigt, um die Dienste bereitzustellen und die sich nicht abschalten lassen. Auch hier gibt es Verbesserungen. Microsoft legt noch genauer dar, welche Daten das Unternehmen zu welchen Zwecken nutzt. Gleichzeitig verspricht Microsoft weder auf die Inhalte von Kundendaten zuzugreifen noch diese zu analysieren.
3. Klare Regelugen für Behördenanfragen
Insbesondere von Laien hört man immer wieder die Befürchtung, dass Microsoft Irland durch US-Gesetze, wie zum Beispiel den CLOUD-Act zu einer Datenherausgabe an US-Nachrichtendienste gezwungen werden könnte. Dass eine solche Praxis nach europäischem Recht, insbesondere der DSGVO, illegal ist, wird dabei häufig übersehen. Umso erfreulicher ist, dass Microsoft im neuen DPA eindeutig klarstellt, dass Daten nur an Behörden herausgegeben werden, wenn die Voraussetzungen der DSGVO erfüllt sind. Dies gilt nicht nur für die USA, sondern auch für Anfragen aus anderen Staaten.
Praktische Auswirkungen und Ausblick
Das neue DPA von Microsoft ist insgesamt positiv zu bewerten. Zumindest was die vertraglichen Vereinbarungen angeht, werden mehrere Kritikpunkte der Aufsichtsbehörden adressiert und ein klarer Bezug zur DSGVO hergestellt. Einige grundlegende Rechtsfragen kann das neue DPA jedoch nicht beantworten. Dies ist auch nicht verwunderlich, da zu vielen dieser Fragen selbst bei den Datenschutzaufsichtsbehörden keine Einigkeit besteht. Unternehmen und öffentlichen Stellen, die Microsoft 365 oder andere Produkte von Microsoft einsetzen, sollten zeitnah eine Unterzeichnung des neuen DPA prüfen und ihre Datenschutzdokumentation entsprechend anpassen.
Über den Autor:
*Rechtsanwalt Stefan Hessel, LL.M. ist Salary Partner und Head of Digital Business bei reuschlaw Legal Consultants in Saarbrücken. Er berät Unternehmen und öffentliche Stellen zu komplexen Fragestellungen in den Bereichen Datenschutz, Cybersicherheit sowie IT-Recht.