Reuschlaw

Daten­schutz bei MS 365

Neu­es DPA für 2023 veröffentlicht!

Zum Jah­res­be­ginn hat Micro­soft eine neue Ver­si­on sei­nes Product-and-Services-Data-Protection-Addendums (DPA) ver­öf­fent­licht. Das Unter­neh­men reagiert damit erneut auf die Kri­tik von Daten­schutz­auf­sichts­be­hör­den. Mit dem neu­en DPA kön­nen Kun­den, die Micro­soft 365 ein­set­zen, ihre Datenschutz-Compliance leich­ter nach­wei­sen. Wir stel­len die wich­tigs­ten Ände­run­gen vor.

Hin­ter­grund: Bedeu­tung und Kri­tik am DPA

Das DPA dient unter ande­rem als Auf­trags­ver­ar­bei­tungs­ver­trag nach der Datenschutz-Grundverordnung (DSGVO) und regelt die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zwi­schen Kun­den und Micro­soft. Das DPA steht immer wie­der im Kreuz­feu­er der Kri­tik der Daten­schutz­auf­sichts­be­hör­den. Zuletzt kam etwa die Daten­schutz­kon­fe­renz (DSK) zu dem Ergeb­nis, Ver­ant­wort­li­che könn­ten auf Grund­la­ge des alten DPA nicht nach­wei­sen, dass sie Micro­soft 365 daten­schutz­rechts­kon­form einsetzen.

Die wich­tigs­ten Ände­run­gen im neu­en DPA

Mit dem neu­en DPA nimmt Micro­soft wei­te­re Ver­bes­se­run­gen beim Daten­schutz vor und erhöht die Trans­pa­renz der Daten­flüs­se. Das neue DPA ent­hält die fol­gen­den fünf zen­tra­len Änderungen:

  1. Mehr Unter­stüt­zung bei der Com­pli­ance
    In Anhang 1 des DPA ist nun gere­gelt, dass Micro­soft Kun­den bei der Erfül­lung ihrer Rechen­schafts­pflicht nach Art. 5 Abs. 2 DSGVO unter­stützt und dem Kun­den die hier­für erfor­der­li­chen Doku­men­te bereit­stellt. Kun­den kön­nen so leich­ter nach­wei­sen, dass sie Micro­soft 365 daten­schutz­kon­form ein­set­zen (vgl. unse­ren One­pager zur Datenschutz-Compliance bei Micro­soft 365 (PDF)).
  2. Tele­kom­mu­ni­ka­ti­ons­da­ten
    Für per­so­nen­be­zo­ge­ne Daten, die Micro­soft als Anbie­ter von Tele­kom­mu­ni­ka­ti­ons­diens­ten erfasst und die nicht der DSGVO unter­fal­len, wird klar­ge­stellt, dass Micro­soft die ein­schlä­gi­gen gesetz­li­chen Vor­ga­ben umsetzt. Hier­zu zählt ins­be­son­de­re das Fern­mel­de­ge­heim­nis (§ 3 TTDSG).
  3. Daten­ver­ar­bei­tung in Euro­pa
    Das EU Data Boun­da­ry wird im neu­en DPA umge­setzt und ein­deu­tig gere­gelt, dass Micro­soft Kun­den­da­ten aus­schließ­lich in der EU spei­chern und ver­ar­bei­ten wird, wenn die­se vom EU Data Boun­da­ry erfasst sind. Die euro­päi­sche Micro­soft Cloud hat viel Poten­zi­al für Unter­neh­men und öffent­li­che Stellen.
  4. Mehr Daten­si­cher­heit
    Micro­soft gewähr­leis­tet bereits jetzt ein hohes Sicher­heits­ni­veau und ver­fügt über prak­tisch alle rele­van­ten Zer­ti­fi­zie­run­gen für Cyber­si­cher­heit. Das neue DPA stellt auf ver­trag­li­cher Ebe­ne klar, dass Micro­soft auch die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men aus den Stan­dard­ver­trags­klau­seln zwi­schen Micro­soft Irland und Micro­soft USA umsetzt. Ver­ant­wort­li­che kön­nen so ihrer sekun­dä­ren Prüf­pflicht für Daten, die nicht aus­schließ­lich in der EU ver­ar­bei­tet wer­den, leich­ter nachkommen.
  5. Erwei­ter­ter Anwen­dungs­be­reich
    Das neue DPA gilt nicht nur für Kun­den mit Volu­men­li­zenz­ver­trä­gen, son­dern für alle Kun­den mit einem bestehen­den Produkt- und Dienstleistungsvertrag.

Fazit und Praxis-Tipp

Den Trend, auf Kri­tik der Auf­sichts­be­hör­den das Daten­schutz­ni­veau zu erhö­hen, setzt Micro­soft mit dem neu­en DPA fort. Ver­ant­wort­li­che, die MS 365 ein­set­zen, erhal­ten dadurch Klar­heit und mehr Unter­stüt­zung bei der Ein­hal­tung daten­schutz­recht­li­cher Anfor­de­run­gen. Unab­hän­gig davon, ob das neue DPA die Daten­schutz­auf­sichts­be­hör­den voll­ends über­zeugt, soll­ten Ver­ant­wort­li­che sich um den Abschluss des neu­en DPA bemü­hen und dies in ihrer Daten­schutz­do­ku­men­ta­ti­on berücksichtigen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.