Microsoft hat am 15. September 2021 ein neues Data Protection Addendum (DPA) veröffentlicht.
Im Folgenden gehe ich auf ein paar Änderungen / Ergänzungen aus meiner Nicht-anwaltlichen Sicht ein.
Datenkategorien
Im neuen DPA wurden die durch Microsoft verarbeiteten „Datenkategorien“ geändert. Es gibt im Vertragsdokument keine Diagnose- oder „Vom Dienst generierte Daten“ mehr. Diese Daten werden natürlich weiterhin erfasst, vertraglich aber unter „Professional Services“-Daten zusammengefasst.
Professional Services Daten
Von den Aufsichtsbehörden wird immer wieder kritisiert, dass diese „Professional Services“-Daten durch Microsoft zu eigenen Zwecken verarbeitet werden. Im DPA werden die bereits 2020 eingeführten legitimen Geschäftszwecke mittlerweile als Geschäftstätigkeiten benannt. Bei den Geschäftstätigkeiten handelt es sich um
- Abrechnungs- und Kontoverwaltung,
- Vergütung,
- interne Berichtserstattung und Geschäftsmodellierung,
- Bekämpfung von Betrug, Cyberkriminalität und Cyberangriffen,
- Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz und Energieeffizienz sowie
- Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen.
Ich möchte zu der o. a. Kritik mal einen neuen Blickwinkel eröffnen: Wie wäre es, wenn ein verantwortliches Unternehmen diese Geschäftstätigkeiten als Bestandteil der Vertragserfüllung des Auftragsverarbeiters betrachtet?
Wir können unseren DSGVO-Verpflichtungen nur nachkommen, wenn personenbezogene Daten über technische und organisatorische Maßnahmen geschützt werden. Also, haben wir schon aus DSGVO-Sicht ein Interesse an einer reduzierten Angriffsfläche, die zur Vermeidung von meldepflichtigen Datenpannen beiträgt.
Des Weiteren haben wir während der Anfangszeit der Pandemie sehr deutlich gespürt, wie wichtig die Bereitstellung resilienter, lauffähiger Systeme ist, weil Microsoft anhand der Telemetriedaten feststellen konnte, dass auf einmal alle Kunden Teams nutzen.
Also, mit der Verarbeitung der Diagnosedaten erfüllt Microsoft nur die Verpflichtungen gegenüber den Kunden und hilft verantwortlichen Unternehmen bei Maßnahmen zur Erhöhung der DSGVO-Compliance.
EU Standardvertragsklauseln (SCC 2021)
Im neuen DPA wurden die Vertragsverhältnisse vereinfacht. Wurden bisher die EU Standardvertragsklauseln für die Übermittlung der Diagnosedaten in die USA mit Microsoft Corp. abgeschlossen, so ist in der neuen Version aus dem September 2021 nur noch ein Vertragsverhältnis zu Microsoft Irland enthalten. Allerdings wurden EU Standardvertragsklauseln 2021 (Processor2Processor) für alle EU-Kunden im Innenverhältnis – also zur Übermittlung von Diagnosedaten von Microsoft Irland zu Microsoft Corp in den USA – abgeschlossen. Im aktuellen DPA sind noch die Standardvertragsklauseln 2010 enthalten, diese gelten allerdings nur für Kunden in UK und der Schweiz. Der geschlossene Vertrag (SCC in der P2P-Variante kann im Service & Trustportal heruntergeladen werden: https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3?command=Download&downloadType=Document&downloadId=d4e2c91a-1c8f-40f6-a1ae-432f5dc2d6f5&tab=7f51cb60-3d6c-11e9-b2af-7bb9f5d2d913&docTab=7f51cb60-3d6c-11e9-b2af-7bb9f5d2d913_DPIA
Weiterhin gelten natürlich die Ergänzungen zu „Defending your Data“, mit denen Microsoft seinen Kunden zusichert alle Behördenanfragen (aus allen Ländern weltweit) gerichtlich anzufechten und auch ggf. Schadenersatz an Betroffene zu zahlen.
Neu ist die Möglichkeit der Auditierung der Microsoft-Rechenzentren durch den Kunden – das war m. E. bisher nur BaFin-regulierten Finanzdienstleistern gegen entsprechende Bezahlung vorbehalten.
Verschlüsselung
Häufig führe ich Gespräche mit Kunden, in denen der Ansprechpartner oder deren Datenschutzbeauftragter der Meinung ist, dass Microsoft die Kundendaten oder die Verschlüsselungsschlüssel an Behörden von Drittstaaten herausgibt oder diese Behörden einen ständigen Zugang zu Kundendaten (und Diagnosedaten) haben. Diese häufige (Fehl-)Meinung ist ein Mythos, der sich leider sehr hartnäckig hält. Im aktuellen DPA (Absatz „Offenlegung von Daten“, Absatz 4) wird nun auch vertraglich von Microsoft zugesichert, dass keine direkten, indirekten, pauschalen oder uneingeschränkte Zugriffe bereitgestellt werden (weder an interne noch an externe Parteien). Des Weiteren werden die von Microsoft verwalteten Schüssel zur Verschlüsselung der Daten nicht herausgegeben.
Leider habe ich schon öfters folgende Antwort von meinen Gesprächspartnern gehört: „Ja, mag ja sein, dass das im Vertrag steht, aber Microsoft macht doch eh was anderes.“ .
Mal ernsthaft: Warum sollte Microsoft seine vertraglichen Vereinbarungen nicht einhalten? Wenn Sie einen Vertrag mit dem Kunden vereinbaren, halten Sie sich dann auch nicht an die Inhalte? Und wenn irgendwann mal rauskäme, dass Microsoft sich an seine vertraglichen Vereinbarungen nicht halten würde, könnten die ihren kompletten Laden dicht machen. In den im Service & Trust-Center veröffentlichten Auditorenberichten wird die Einhaltung der von Microsoft definierten Prozesse auch von externen Auditoren regelmäßig bestätigt.
Zur Zusammenarbeit gehört auch Vertrauen!
Diverses
Interessanterweise konnte ich für Microsoft Viva, Viva Learning, etc. noch keine Einträge als CoreService in den Product- und Service Terms finden.
Bitte beachten Sie weiterhin, dass für Ihr Unternehmen die Vertragsversion gilt, die beim Abschluss des Lizenzvertrags aktuell war. Wenn Sie also beispielsweise einen 3-Jahres Vertrag bereits im Januar 2020 abgeschlossen haben, gelten diese ganzen Neuerungen für Ihr Unternehmen noch nicht, sondern erst ab Januar 2023. Über Ihren Accountmanager können Sie sich aber eine Vertragsergänzung (Amendment) besorgen lassen, in dem Microsoft Ihnen ein Update des geltenden DPA zusichert.
Weiterhin spannend halte ich die Umsetzung der EU Datengrenze, die ab Ende 2022 sicherstellt, dass alle Verarbeitungen von EU-Kunden innerhalb der EU verbleiben. Die ersten Dienste (Forms und Stream wurden gerade bekanntgegeben) sind bereits umgestellt und es werden stetig immer mehr Dienste.