Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

DSGVO-Gazette #24: BOOM! Microsoft ist Datenexporteur // Überarbeitete Microsoft-AVV schreiben die Regeln neu

Zusammenfassung:

  • Microsoft hat neue DPA am 15.09.2022 veröffentlicht.
  • Anpassungen betreffen die Einbindung der neuen EU-Standardvertragsklauseln (Modul 3). Damit wir Microsoft Limited (Irland) zum Datenexporteur und erfüllt eine wesentliche Anforderung der Datenschutzaufsichtsbehörden.
  • Nun muss Microsoft Limited eine Datenübermittlungs-Folgenabschätzung durchführen und für die datenschutzkonforme Übermittlung der Daten in Drittstaaten garantieren.
  • Eine weitere Forderung der Datenschutz-Aufsichtsbehörden wird erfüllt: Ab sofort werden die Kunden aktiv informiert, wenn sich Unterauftragsverarbeiter ändern („will give Customer notice“).
  • Eine Offenbarung von personenbezogenen Daten an internationale Institutionen muss den in der EU geltenden Maßstäben genügen analog zu Art. 23 Abs. 1 DSGVO.
  • Die bisher bekannten Forderungen der Datenschutz-Aufsichtsbehörden scheinen somit adressiert worden zu sein – gemeinsam mit dem angekündigten EU Data Boundary for the Microsoft Cloud wendet sich das Blatt „pro Microsoft“.

Liebe Leserinnen und liebe Leser,

Microsoft hat (wie immer abrufbar unter https://aka.ms/dpa) zum 15.09.2022 einen neuen DPA veröffentlicht. Anbei erhalten Sie eine Übersicht zu den Änderungen des neuen Microsoft Products and Services Data Protection Addendum[1] (DPA). Die Überarbeitungen haben mehr rechtliche Auswirkungen auf die Kunden, welche die Produkte von Microsoft nutzen, als die Veröffentlichung der initialen Fassung der DPA aus dem Jahr 2020 und die letzte Überarbeitung der DPA aus dem Jahr 2021.

Während die initiale Fassung im Wesentlichen nur ein Heraustrennen der Klauseln zur Auftragsverarbeitung aus dem sonstigen Vertragswerk bedeutete, befasste sich die Überarbeitung des Jahres 2021 mit den Auswirkungen des Schrems 2 – Urteils und dem Hinzufügen zusätzlicher Garantien (additional safeguards) zur Übermittlung von Daten in Drittstaaten.

Nun, ein Jahr später, wurden die DPA durch Microsoft erneut an sich wechselnde, datenschutzrechtliche Anforderungen angepasst und weitere Aspekte zur transparenten Darstellung der Verarbeitungstätigkeiten insgesamt ergänzt.

Diese aktuellen Änderungen der DPA betreffen somit unter anderem rechtlich zwingende Anpassungen aufgrund der neuen, gültigen EU-Standardvertragsklauseln (SCC). Bei diesen SCC wendet Microsoft konkret das Modul drei (von einem Auftragsverarbeiter zu einem Auftragsverarbeiter (P2P)) an.

Dies hat für die Verantwortlichen für die Datenverarbeitung den Vorteil, dass nicht sie die Durchführung einer Datenübermittungs-Folgenabschätzung (Transfer-Impact-Assessment) nach dem EuGH schulden, sondern dies von Microsoft Limited (Irland) geschuldet wird, welche personenbezogene Daten an Microsoft Corporation (USA) und weitere Unterauftragsverarbeiter in Drittstaaten übermittelt. Somit wird auch Microsoft Limited zum Datenexporteur (aus „data exporter) und erfüllt eine wesentliche Anforderung der Datenschutzaufsichtsbehörden.

Weitere Anpassungen der DPA betreffen die häufig diskutierten Diagnosedaten aka Telemetriedaten, welche bei der Nutzung von cloudbasierten Produkten von Microsoft anfallen. Wie von Microsoft bereits am 11. August 2022 in ihrer Stellungnahme zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams beschrieben, sind Diagnosedaten notwendig, um Produkte und Dienste sicher und stabil zu betreiben. Die neue DPA gehen auf diesen Punkt nun genau und sehr transparent ein:

Processing for Business Operations Incident to Providing the Products and Services to Customer

For purposes of this DPA, “business operations” means the processing operations authorized by customer in this section.

Customer authorizes Microsoft:

  • (i.) to create aggregated statistical, non-personal data from data containing pseudonymized identifiers (such as usage logs containing unique, pseudonymized identifiers); and
  • (ii.) to calculate statistics related to Customer Data or Professional Services Data

in each case without accessing or analyzing the content of Customer Data or Professional Services Data and limited to achieving the purposes below, each as incident to providing the Products and Services to Customer.

Those purposes are:

  • billing and account management;
  • compensation such as calculating employee commissions and partner incentives;
  • internal reporting and business modeling, such as forecasting, revenue, capacity planning, and product strategy; and
  • financial reporting.

When processing for these business operations, Microsoft will apply principles of data minimization and will not use or otherwise process Customer Data, Professional Services Data, or Personal Data for: (a) user profiling, (b) advertising or similar commercial purposes, or (c) any other purpose, other than for the purposes set out in this section. In addition, as with all processing under this DPA, processing for business operations remains subject to Microsoft’s confidentiality obligations and commitments under Disclosure of Processed Data.

Mit diesen Ergänzungen verpflichtet sich Microsoft diese (und nur diese) Verarbeitungszwecke und -tätigkeiten in Bezug auf Diagnosedaten durchzuführen. Diese „Mischung“ aus Transparenz und rechtlicher Sicherheit räumt mit allen Vermutungen auf, für welche Zwecke Datenverbindungen aufgebaut und Daten übermittelt werden könnten.

Ein zusätzliches, wichtiges Detail hier ist auch, dass Diagnosedaten als „non-personal“ deklariert sind. Damit fällt die nachgelagerte, nicht-personenbezogene Verarbeitung von Daten nach Art. 2 Abs. 1 DSGVO nicht unter die EU-Datenschutz-Grundverordnung. Diese „non-personal data“ werden übrigens aus „pseudonymisierten Daten“ aggregiert. Dies zeigt einmal mehr, dass der Grundsatz der Datenminimierung an dieser Stelle beachtet wird.

Ein weiterer Punkt der Änderung der neuen Vereinbarungen zur Auftragsverarbeitung mit Microsoft Limited Irland betrifft die Voraussetzungen, unter denen Microsoft personenbezogene Daten an internationale Institutionen offenbart. Hier setzt Microsoft mit Verweis auf Art. 23 Abs. 1 DSGVO dieselben Maßstäbe an, die auch für Institutionen innerhalb der EU gelten:

Microsoft will only disclose or provide access to any Processed Data as required by law provided that the laws and practices respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society and, as applicable, to safeguard one of the objectives listed in Article 23(1) of GDPR.

Der letzte Punkt der Änderungen betrifft wiederum eine Forderung der Datenschutz-Aufsichtsbehörden. Bei neuen Unterauftragsverarbeiter wird Microsoft Limited nicht wie bisher lediglich eine Internetseite aktualisieren, in dem die neuen Unterauftragsverarbeiter stehen. Ab sofort werden die Kunden aktiv informiert („will give Customer notice“).

Die bisher bekannten Forderungen der Datenschutz-Aufsichtsbehörden scheinen somit adressiert worden zu sein – gemeinsam mit dem angekündigten EU Data Boundary for the Microsoft Cloud wendet sich das Blatt „pro Microsoft“.

Viele Grüße aus der Kaiserstadt Aachen

Ingo Goblirsch

 

[1] Deutsche Fassung lautet: „Datenschutznachtrag zu den Produkten und Services“.

 

Ingo Goblirsch LL.M.

Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen

Photo by Clint Patterson on Unsplash. Danke!