Nach Kritik der Aufsichtsbehörden an der von Microsoft im Januar 2023 veröffentlichten Version seines Data Processing Addendum, hat das Unternehmen jetzt eine neue Version mit Stand vom 15. November 2023 vorgelegt. Welche der von einer Gruppe von Aufsichtsbehörden in ihrer Handreichung zum Umgang mit dem DPA von Januar Microsoft vorgegebenen Anforderungen an das DPA in der Version von November in welcher Art und Weise umsetzt werden, muss im Detail geprüft werden. Erleichtern könnte dieses die Gegenüberstellung der beiden Versionen durch den auf Microsoft Produkte spezialisierten Anwalt Raphael Köllner. Danach gibt es im überarbeiteten DPA insgesamt 65 Änderungen. Die wichtigsten acht hat der Autor auf der Website dargestellt. Die restlichen Änderungen können in einem mit Markierungen versehenen Word Dokument, welches auf der Seite zum Download bereitsteht, eingesehen werden. Laut Herrn Köllner wurde das DPA „nun erneut überarbeitet, um die regulatorischen Anforderungen noch besser zu erfüllen und für die neue Situation auch mit AI angepasst zu sein.“
Bewertung
Ein grober Abgleich der in der Handreichung formulierten Anforderungen mit den durch Herr Köllner beschriebenen Änderungen und auch mit den Formulierungen in der neuen Version des DPA selbst, zeigt, dass Microsoft ziemlich sicher nicht alle Anforderungen umgesetzt hat. Zwar hat Microsoft mit der neuen Version des DPA von November 2023 durchaus mehr als kosmetische Änderungen vorgenommen, doch man kann sicher davon ausgehen, dass den Aufsichtsbehörden auch diese nicht ausreichen werden. Das bedeutet, es braucht weiterhin eine Zusatzvereinbarung zum DPA.
Wie Mitarbeiter von Microsoft Deutschland in einer „Microsoft Fragestunde: Datenschutz & Datensicherheit | Für öffentliche Einrichtungen, Verwaltung und (Hoch-)Schulen“ am 21.11.2023 angaben, wird Microsoft keine Zusatzvereinbarungen mit einzelnen Schulen abschließen. Hier braucht es, wie im Beitrag zu Handreichung vom 24. September 2023 beschrieben, braucht es hier einen großen Player wie ein Ministerium auf Landes- oder Bundesebene oder eine Institution wie das FWU, um einen Rahmenvertrag mit Microsoft abzuschließen, in welchem Microsoft sich verpflichtet, mit allen Schulen, die diesem Rahmenvertrag beitreten, eine zuvor zentral ausgehandelte Zusatzvereinbarung zum DPA abzuschließen. Anders als in anderen Ländern um Deutschland herum, sieht sich bei uns jedoch niemand in der Verantwortung. Und so ändert sich für Schulen nichts. Einzig die Aufsichtsbehörden werden sich in ihrer Haltung bestätigt sehen.
Gut gemacht – Microsoft – Schulministerien, Justizministerien, Landesregierungen und Bundesregierung. You all failed us once more.
Nutzer von Microsoft 365 müssen übrigens nichts tun, um das neue DPA zu erhalten. Die Änderung wird für sie automatisch wirksam.