Mit Stand vom 02. Januar 2024 hat Microsoft eine neue Version seines Data Processing Addendum veröffentlicht, welches die Version von November 2023 ersetzt. Stefan Hessel, der Fachjurist, hat sich das Dokument mit seiner Kollegin Christina Kiefer angesehen und die Ergebnisse unter dem Titel Microsoft: Neues Jahr, Neues DPA! zusammengefasst. Sein Fazit lautet: „Das neue DPA enthält nur wenige Änderungen, verbessert den Datenschutz aber dennoch und erleichtert Verantwortlichen so den Nachweis der Datenschutzkonformität beim Einsatz von Microsoft 365.“ Laut Hessel enthält die neue Version des DPA drei wesentliche Änderungen, von denen jedoch nur zwei für Verantwortliche in Deutschland von Bedeutung sind. Eine dieser wesentlichen Änderungen betrifft die Standardvertragsklauseln (Standard Contractual Clauses, SCC) für Drittlandsübermittlungen. Hier hat Microsoft demnach sprachliche Präsizierungen vorgenommen, die nach Hessels Einschätzung für mehr Rechtssicherheit sorgen. Die zweite wesentliche Änderung betrifft die von der EU Data Boundary erfassten personenbezogenen Daten. Betrafen diese bisher lediglich Kundendaten, so betreffen sie jetzt auch „personenbezogene Daten“ im Allgemeinen. Microsoft geht die in der neuen Version beschriebenen Verpflichtungen gegenüber allen Kunden automatisch ein. Laut Stefan Hessel „ist es ausreichend, intern festzuhalten, dass das neue DPA gelten soll. Eine gesonderte Vereinbarung des neuen DPA mit Microsoft ist nicht erforderlich.“
Bewertung
Für Schulen ändert sich an der Situation wenig. Durch die Einbeziehung aller personenbezogenen Daten in die EU Data Boundary sollten also tatsächlich keinerlei personenbezogene Daten mehr durch Microsoft in die USA übermittelt werden, also auch solche nicht, die zwar durch die Nutzung von Microsoft 365 entstehen, von Microsoft aber nicht zu den Kundendaten gerechnet werden, doch ändert dieses nichts daran, dass solche Daten von Microsoft erhoben und zu Zwecken verarbeitet werden, für welche die Aufsichtsbehörden keine Rechtsgrundlage sehen.
Damit gilt weiterhin, Schulen, die Microsoft 365 nutzen, müssen ihren Tenant so datensparsam wie möglich konfigurieren, Daten der Nutzer löschen, sobald eine Verarbeitung nicht länger erforderlich ist (etwa am Ende eines Schuljahres)1Hier ist es sinnvoll ein Löschkonzept zu erstellen. und durch eine Nutzungsordnung klarstellen, welche Daten in der Plattform verarbeitet werden dürfen und welche nicht. Außerdem sollten sie darauf hinwirken, zu einer Zusatzvereinbarung mit Microsoft zu kommen, welche die Punkte berücksichtigt, welche eine Gruppe von 7 Aufsichtsbehörden in einer Handreichung im September 2023 veröffentlicht hat.
1 thought on “Neues DPA von Microsoft im Januar 2024”