Microsoft setzt Datenschutzergänzung um

Im Auftragsverarbeitungsvertrag kommt Microsoft nun seinem Versprechen nach, Daten europäischer Nutzer nur auf Servern in Europa zu verarbeiten.

Zu Neujahr am 1. Januar veröffentlichte Microsoft eine aktualisierte Version des Auftragsverarbeitungsvertrages. Mit der Datenschutzergänzung in Form des „Microsoft Products and Services Data Protection Addendum“ (DPA) kommt der US-Konzern dem Mitte 2021 angekündigten Versprechen nach, die „EU-Datengrenze“ offiziell umzusetzen. Dabei soll der Transfer sensibler persönlicher Informationen von Kunden aus der Europäischen Union in die USA möglichst vermieden werden. Der Europäische Gerichtshof (EuGH) selbst hat den Privacy Shield gekippt.

Der aktuelle Datenschutznachtrag besagt, dass bei Online-Diensten mit EU-Datengrenze die Kundendaten von Microsoft innerhalt der EU gespeichert und verarbeitet werden. In einem Anhang zum Nachtrag garantiert Microsoft ausdrücklich, dass die Rechenschaftspflichten des Kunden nach der Datenschutz-Grundverordnung (DSGVO) unterstützt werden. Dazu werden die notwendigen Produktdokumentationen zur Verfügung gestellt. Der zugesicherte Schutz der Daten gelte für die gesamte Laufzeit des Abonnements oder des entsprechenden Dienstleistungsauftrages von Kunden.

Nachweis von Datenschutzkonformität

Stefan Hessel von der Kanzlei Reuschlaw erklärt in einem Beitrag auf Microsofts Social-Media-Netzwerk LinkedIn, dass Nutzer dadurch leichter belegen können, dass sie beispielsweise das Office Paket Microsoft 365 datenschutzkonform anwenden. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder (DSK) betonte, dass dies hoch umstritten sei, da Einrichtungen wie Schulen, Ämter und Unternehmen die Suite für Büroanwendungen mit Cloud-Anschluss ohne zusätzliche Schutzvorkehrungen nicht rechtskonform anwenden können.

Microsoft als auch Experten wie Hessel weisen diese Einschätzung scharf zurück. Dieselbe Auffassung teilen auch wirtschaftsnahe Datenschutzrechtler, die diese Aussage ebenfalls kritisieren. Einige Beobachter fragen sich, ob insbesondere die DSK selbst rechtsstaatliche Grundsätze einhält. Eine amtliche Stellungnahme durch welche Microsoft 365 als rechtwidrig eingestuft werde, ist vergleichbar mit einer Produktwarnung mit erheblichen Folgen für Unternehmen. Es wäre vermutlich erfolgsversprechender gewesen, wenn die Aufsichtsbehörde die angekündigten EU-US-Rahmen oder die EU-Datengrenze bezüglich Drittstaatentransfer abgewartet hätten.

Datenschützer beklagen mangelnde Transparenz

Datenschutzbeauftragte berichten, dass beide Seiten mehrstündige Videokonferenzen mit Microsoft geführt haben und die bisherigen Versprechungen detailliert geprüft worden seien. Microsoft habe sich dabei vehement gewehrt, alle Verarbeitungen zu beschreiben und offenzulegen. Aufgrund dessen wird vermutet, dass viele davon ohne Rechtsgrundlage erfolgten.

Personenbezogene Daten, die Microsoft als Anbieter von Telekommunikationsdiensten verarbeitet, fallen nicht unter die DSGVO. Dennoch stellt das US-Unternehmen klar, dass entsprechende gesetzliche Schutzvorgaben wie beispielsweise das Fernmeldegeheimnis beachtet werden. Microsoft werden alle telekommunikationsspezifischen Vorschriften und Gesetze einhalten, die für die      Bereitstellung der Dienste und Produkte rechtsgültig sind. Der Dienst umfasst auch die Benachrichtigung über Datenpannen und Sicherheitsverletzungen.

Rechtsanwalt rät zu Datenschutzergänzung

Das US-Unternehmen betont, dass auch organisatorische und technische Schutzmaßnahmen aus den Standardvertragsklauseln (SVK) zwischen der Niederlassung in den USA und Microsofts europäischem Hauptsitz in Irland zum Einsatz kämen. Die Datenschutzergänzung ist außerdem nicht mehr nur für Nutzer von Volumenlizenzverträge rechtskräftig, sondern auch für alle Kunden mit einem bestehenden Produkt- und Dienstleistungsvertrag. Bereits im September hatte der US-Konzern die neuen Standardvertragsklauseln (SVK) der EU bei der vorausgegangenen DPA-Änderung übernommen. Hessel empfiehlt Verantwortlichen sich um einen Abschluss des neuen DPA zu bemühen und die entsprechenden Klauseln in die Datenschutzdokumentation einzubeziehen.