Am 15.09.2021 hat Microsoft einen neuen Datenschutznachtrag zu ihren Produkten und Services veröffentlicht - pünktlich zum Wirksamwerden der neuen EU-Standardvertragsklauseln (ich berichtete dazu). Dieser Nachtrag - der im Englischen "Microsoft Products and Services Data Protection Addendum" (DPA) genannt wird - löst den bisherigen "Microsoft Online Services Data Protection Addendum" ab. Und alleine an der Namensgebung sieht man schon den größten Unterschied: Das neue DPA (oder im Deutschen "Vereinbarung zur Auftragsverarbeitung" - AVV genannt) berücksichtigt nicht nur "Online Services", sondern inkludiert direkt alle Produkte und Dienstleistungen von Microsoft. Also, Vorteil 1: Sie müssen nur noch in ein Dokument schauen, wenn Sie Fragen zur Verarbeitung von Daten im Auftrag bei Mircosoft haben. So schön, so gut.. aber das Dokument weitere Änderungen, die wichtig sind
Hauptgrund der Änderung der DPA ist, dass Microsoft die neuen EU-Standardvertragsklauseln in dieses Dokument integriert hat. Damit folgt Microsoft auch ihrer Ankündigung, die neuen EU-Standardvertragsklauseln anzuwenden. Natürlich ist dieser Schritt zwingend, um weiter Geschäfte in der Europäischen Union zu machen und auch andere Hyperscaler wie Google oder AWS haben dies für Neuverträge umgesetzt. Nur anders als bei AWS muss man sich bei Microsoft selbst (über den Online-Dienst) bemühen, um die neuen DPA auf seinen Vertrag anwendbar zu machen.
Eine wesentliche, inhaltliche Änderung des neuen DPA von Microsoft betrifft die zusätzlichen Garantien. Bisher waren diese "additional safeguards" nur für einen eingeschränkten Anwendungsbereich gültig. Nun, mit den neuen DPA wurde der Anwendungsbereich dieses zusätzlichen Garantien erheblich erweitert. Sie gelten nun für alle von Microsoft verwalteten personenbezogenen Daten, nicht nur für den Fall der Übermittlung personenbezogener Daten auf Grundlage der EU-Standardvertragsklauseln. Diesem Umstand verleiht Microsoft in der Art Ausdruck, dass diese zusätzlichen Garantien als Anhang C nun fester Bestandteil des DPA sind.
Wenn Sie Fragen zu Datenschutz bei großen US-Anbieter oder anderen Dienstleistern innerhalb und ausserhalb der EU haben, treten Sie gerne mit mir in Kontakt.
Viele Grüße aus Bad Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen