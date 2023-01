Pünktlich zum neuen Jahr hat Microsoft am 1. Januar eine überarbeitete Version seines Auftragsverarbeitungsvertrags veröffentlicht. Mit dem Datenschutznachtrag in Form des "Microsoft Products and Services Data Protection Addendum" (DPA) setzt der US-Konzern das Versprechen der bereits Mitte 2021 angekündigten "EU-Datengrenze" offiziell um. Dabei geht es darum, Transfers persönlicher Informationen von Kunden aus der EU in die USA möglichst zu vermeiden, nachdem der Europäische Gerichtshof (EuGH) den Privacy Shield gekippt hatte.

"Bei Online-Diensten mit EU-Datengrenze speichert und verarbeitet Microsoft die Kundendaten innerhalb der Europäischen Union, wie in den Produktbedingungen festgelegt", lautet der entsprechende Zusatz im aktuellen Datenschutznachtrag. In einem Anhang zu dem Nachtrag sichert der Softwareriese ferner nun explizit zu, "die Rechenschaftspflichten des Kunden" nach der Datenschutz-Grundverordnung (DSGVO) zu unterstützen und die dafür nötige Produktdokumentation zur Verfügung zu stellen. Dies gelte für die gesamte Laufzeit des Abonnements des Kunden oder des entsprechenden Dienstleistungsauftrags.

Für Nachweis von Datenschutzkonformität gedacht

Nutzer sollten so leichter nachweisen können, dass sie etwa das Office-Paket Microsoft 365 datenschutzkonform einsetzen, erläutert der Rechtsanwalt Stefan Hessel von der Kanzlei Reuschlaw in einem Beitrag auf Microsofts Social-Media-Netzwerk LinkedIn. Dies ist höchst umstritten: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) unterstrich Ende November, dass Einrichtungen wie Ämter, Schulen und Unternehmen die Suite für Büroanwendungen mit Cloud-Anschluss ohne Weiteres "nicht rechtskonform einsetzen" könnten. Sie müssten auf jeden Fall zusätzliche Schutzvorkehrungen treffen.

Nicht nur Microsoft wies die Einschätzung der Kontrolleure brüsk zurück. Auch Experten wie Hessel sowie wirtschaftsnahe Datenschutzrechtler kritisierten sie scharf. Für manche Beobachter drängte sich sogar die Frage auf, "ob die DSK rechtsstaatliche Grundsätze einhält". Eine behördliche Stellungnahme, in der Microsoft 365 letztlich als rechtswidrig bewertet werde, komm einer Produktwarnung mit massiven Folgen für Unternehmen gleich. Zielführend wäre es auch gewesen, wenn die Aufsichtsbehörden "wichtige Meilensteine in puncto Drittstaatentransfer" wie den angekündigten neuen EU-US-Rahmen oder die EU-Datengrenze abgewartet hätten.

Aus Kreisen der Datenschutzbeauftragten ist dagegen zu hören, dass beide Seiten 14 mehrstündige Videokonferenzen mit Microsoft zuzüglich Vor- und Nachbereitung durchgeführt und die bisherigen Zusicherungen bis ins Detail untersucht worden seien. Microsoft habe sich dabei beharrlich geweigert, alle Verarbeitungen zu beschreiben. Dies lege nahe, dass viele davon ohne Rechtsgrundlage erfolgten.

Für personenbezogene Daten, die Microsoft als Anbieter von Telekommunikationsdiensten verarbeitet und die so nicht unter die DSGVO fallen, stellt das Unternehmen zudem mit dem taufrischen DPA klar, dass es einschlägige gesetzliche Schutzvorgaben wie hierzulande das Fernmeldegeheimnis zu beachten gedenke: "Microsoft wird alle telekommunikationsspezifischen Gesetze und Vorschriften einhalten, die für die Bereitstellung der Produkte und Dienste gelten." Dies umfasse auch eine Benachrichtigung über Sicherheitsverletzungen und Datenpannen.

Rechtsanwalt rät dennoch zur Datenschutzergänzung

Der Konzern hebt ferner hervor, dass auch die technischen und organisatorischen Schutzmaßnahmen aus den Standardvertragsklauseln (SVK) zwischen Microsofts europäischem Hauptsitz Irland und den Niederlassungen in den USA zum Einsatz kämen. Die Datenschutzergänzung gilt zudem nicht mehr nur für Kunden mit Volumenlizenzverträgen, sondern für alle mit einem bestehenden Produkt- und Dienstleistungsvertrag. Die neuen SVK der EU hatte das Unternehmen bereits bei der vorausgegangenen DPA-Änderung im September übernommen. Hessel rät Verantwortlichen, sich unabhängig davon, ob der Nachtrag die Aufsichtsbehörden überzeuge, "um einen Abschluss des neuen DPA" zu bemühen und die Klauseln in ihrer Datenschutzdokumentation zu berücksichtigen.

(mack)