Mit Stand vom Stand vom 15. September 2022 veröffentlichte Microsoft ein neues Data Processing Addendum (DPA), welches wie andere Dokumente dieser Art in einem nicht bearbeitbaren Word Dokument zur Verfügung gestellt wird. Dieser Vertrag zur Auftragsverarbeitung betrifft auch Microsoft 365 und ist in deutscher Sprache verfügbar. Nach Angaben von Stefan Hessel, der sich den Vertrag mit einem weiteren Fachmann in einem Beitrag mit dem Titel „Datenschutz bei Microsoft: Ein Überblick zum neuen DPA“ vorgenommen hat, greift Microsoft damit mehrere Kritikpunkte der Aufsichtsbehörden auf, indem einige wichtige Anpassungen und Präzisierungen in Bezug auf die Vorversion aus dem Jahr 2021 vorgenommen werden. Das sind einmal die neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC), welche als alleine gültig in das DPA aufgenommen werden. Dadurch wird Microsoft Irland im Falle von Drittlandsübermittlungen von Auftragsverarbeiter an Auftragsverarbeiter Datenexporteur. Ein Kritikpunkt der Aufsichtsbehörden war die Verarbeitung von personenbezogenen Daten des Kunden zu eigenen Zwecken. Hier hat Microsoft nachgebessert, in dem die Angaben präzisiert und einige Verarbeitungszwecke gestrichen wurden. Bezüglich des immer wieder angeführten Kritikpunkts der Offenlegung von verarbeiteten Daten gegenüber US Ermittlungsbehörden, sichert Microsoft nun neben den bereits bestehenden Garantien zu, „dass der Maßstab für etwaige Offenlegungen die DSGVO ist.“ Der letzte Punkt, den der Beitrag anführt, ist das Thema Transfer Impact Assessment (TIA). Hier stellt Microsoft klar, dass dieses durch Microsoft selbst durchgeführt wird, da die Firma hier als Datenexporteur auftritt. Die rechtliche Bewertung und die Gewährleistung eines angemessenen Datenschutzniveaus liegt deshalb in erster Linie bei Microsoft und nicht beim Kunden.
Stefan Hessel und sein Mitautor bewerten die „von Microsoft am DPA vorgenommenen Anpassungen sind insgesamt positiv […]. Zumindest was die vertraglichen Vereinbarungen angeht, werden mehrere Kritikpunkte der Aufsichtsbehörden adressiert und ein klarer Bezug zur DSGVO hergestellt. Das ist gut und stärkt den Datenschutz. Dies betrifft insbesondere die Angaben zur Datenverarbeitung von Microsoft zu eigenen Zwecken sowie die Klarstellung zur Offenlegung von Daten. Die Ersetzung der alten SCC war erforderlich, da diese für bestehende Verträge ab Ende des Jahres nicht mehr genutzt werden dürfen.“
Sie kommen so zu dem Ergebnis, dass ein datenschutzkonformer Einsatz von Microsoft 365 möglich ist, allerdings eine Herausforderung darstellt wegen der Komplexität der Plattform und den strengen Vorgaben der DS-GVO. „Mit einer Datenschutzfolgenabschätzung und geeigneten technischen und organisatorischen Maßnahmen zur Reduzierung von Risiken aber sowohl für Unternehmen als auch für öffentliche Stellen möglich.“ Abschließend empfehlen sie Verantwortlichen, „einen Abschluss des neuen DPA über eine Zusatzvereinbarung“ zu prüfen.
Bewertung
Wie aus Äußerungen von Lutz Hasse, dem TLFDI, zu erfahren war, haben bereits mehrere Aufsichtsbehörden die Absicht bekundet, das Aus für Microsoft 365 an Schulen in ihren jeweiligen Bundesländern zu verkünden, sofern die Ergebnisse der Gespräche der Arbeitsgruppe mit Microsoft keine Ergebnisse erzielt haben, die sie davon Abstand nehmen lassen. Wie es nun weitergeht, ist schwierig abzuschätzen. Es ist möglich, dass Microsoft die Arbeitsgruppe der Datenschutzkonferenz in den Gesprächen über die beabsichtigten Änderungen im DPA informiert hat. Da diese wesentliche der bisherigen Kritikpunkte der Aufsichtsbehörden aufgreifen, sollte dieses das Ergebnis der Gespräche positiv beeinflussen. Sollte der aktuelle Stand des DPA noch nicht als geplante Änderungen Gegenstand der Gespräche gewesen sein, wäre mit einem negativen Ergebnis zu rechnen. Ob das neue DPA dann noch eine Änderung in der Haltung der Aufsichtsbehörden bewirken könnte, ist schwierig abzuschätzen. Über die Jahre war der Austausch zwischen den Aufsichtsbehörden und Microsoft bezüglich des datenschutzrechtlichen Vertragswerks rund um Office 365 bzw. jetzt Microsoft 365 von einer schrittweisen Annäherung Microsofts an die Positionen der Aufsichtsbehörden geprägt, doch es reichte eben nie aus. Sollten die Änderungen des DPA, wie von Hessel und seinem Mitautoren eingeschätzt, nun tatsächlich eine DS-GVO konforme Nutzung ermöglichen, hätten die Aufsichtsbehörden mit einem Aus einen schwierigen Stand. Da mit der EU-Data Boundary Übermittlungen in die USA nicht länger notwendig sind und eine wichtige Baustelle bereits beseitigt ist, bleibt nun abzuwarten, ob die Änderung des DPA die nächste Baustelle schließen kann.
Der nächste Termin, der mit Bezug auf dieses Thema von Bedeutung sein könnte, ist der 21.09.2022. Dann findet die 3. Zwischenkonferenz statt, und auf dieser soll das Ergebnis der Auswertung der Gespräche des Arbeitskreises der Datenschutzkonferenz mit Microsoft ein Punkt auf der Tagesordnung sein.
3 thoughts on “Neues Data Processing Addendum von Microsoft”