Im September 2022 hatte Microsoft ein neues Data Processing Agreement veröffentlicht, um damit den Kritiken der Aufsichtsbehörden zu begegnen. Dieses Dokument wurde in Folge von einem Arbeitskreis der DSK untersucht und bewertet. Über das Ergebnis stimmte die DSK im Dezember 2022 ab. Man kam dabei einstimmig zu der Festlegung, dass Microsoft 365 aktuell nicht DS-GVO konform nutzbar ist. Microsoft äußerte sich zu der Festlegung mit einer Stellungnahme und versprach, sich weiterhin um Transparenz zu bemühen. Dem ließ der US Anbieter jetzt Taten folgen und veröffentlichte eine neue Version des Data Processing Agreement. Unter der verlinkten URL ist zum Stand vom 04.01.2023 bisher nur die englische Version des Dokuments verfügbar. Unter https://draftable.com/compare/aPWJSaossxSZ hat der Fachjurist Stefan Hessel einen Abgleich der Vorversion mit der aktuellen Version erstellt. Auf dessen Grundlage verfasste er auf LinkedIn unter dem Titel „Datenschutz bei Microsoft 365 – Neues DPA für 2023 veröffentlicht!“ eine erste Einschätzung der Änderungen des DPA. Er kommt so zu fünf wesentlichen Ergänzungen im neuen DPA. Einmal verpflichtet sich Microsoft, Kunden besser bei ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zum Nachweis der DS-GVO konformen Nutzung der Plattform zu unterstützen, indem man die dafür erforderlichen Dokumente bereitstellt.1Im Dokument auf Seite 19 heißt es dazu: „Microsoft supports Customer’s accountability obligations via this DPA and the product documentation provided to Customer, and will continue to do so during the term of the term of Customer’s subscription or the applicable Professional Services engagement pursuant to subsection 3(h) below. (Article 5(2))„ Gerade diesen Punkt hatten die Aufsichtsbehörden kritisiert und waren zum Schluss gekommen, dass Verantwortliche dieser Rechenschaftspflicht nicht vollständig nachkommen können, wodurch sich eine DS-GVO konforme Nutzung nicht nachweisen ließe. Der nächste Punkt berücksichtigt nun die Regelungen des noch recht neuen TTDSG bezüglich der personenbezogenen Daten, die Microsoft als Anbieter von Telekommunikationsdiensten erfasst. Der dritte Punkt betrifft die EU Data-Boundary, welche seit Beginn des Jahres für Kunden zur Verfügung steht. Der vierte Punkt betrifft den Nachweis die sekundäre Prüfpflicht von Verantwortlichen soweit es um personenbezogene Daten geht, welche außerhalb der EU verarbeitet werden. Microsoft kann hierfür Verantwortlichen laut Beitrag „praktisch alle relevanten Zertifizierungen für Cybersicherheit“ zur Verfügung stellen. Mit dem letzten Punkt wurde das DPA auf weitere Kunden erweitert. Hinzugekommen sind zu den Kunden mit Volumenlizenzen nun noch Kunden mit bestehenden Produkt- und Dienstleistungsvertrag. Ein Fazit, welches Stefan Hessel zum neuen DPA zieht, ist:
„Verantwortliche, die Microsoft 365 einsetzen, erhalten durch das neue DPA mehr Klarheit und mehr Unterstützung bei der Einhaltung der datenschutzrechtlichen Anforderungen. “
Ob die Ergänzungen ausreichen werden, die Kritiken der Aufsichtsbehörden auszuräumen, wird man sehen. Verantwortliche sollten jedoch trotzdem das neue DPA abschließen und in ihren Unterlagen dokumentieren.
Bewertung
Wenn Microsoft mit dieser neuen Version des Data Processing Agreements zumindest schon einmal weitere Bedenken der Aufsichtsbehörden ausräumen kann, ist das auch für Schulen, die weiterhin Microsoft 365 nutzen wollen, ein Gewinn. Besonders hilfreich sollte die Zusage sein, Kunden beim Nachweis ihrer Rechenschaftspflichten gem. Art. 5 Abs. 2 DS-GVO zu unterstützen. Schulen, die hier im Fall der Fälle Bedarf haben, sollten Microsoft dann gegebenenfalls in die Pflicht nehmen und um Unterstützung bitten.