Neues DPA für 2023 veröffentlicht!
Zum Jahresbeginn hat Microsoft eine neue Version seines Product-and-Services-Data-Protection-Addendums (DPA) veröffentlicht. Das Unternehmen reagiert damit erneut auf die Kritik von Datenschutzaufsichtsbehörden. Mit dem neuen DPA können Kunden, die Microsoft 365 einsetzen, ihre Datenschutz-Compliance leichter nachweisen. Wir stellen die wichtigsten Änderungen vor.
Hintergrund: Bedeutung und Kritik am DPA
Das DPA dient unter anderem als Auftragsverarbeitungsvertrag nach der Datenschutz-Grundverordnung (DSGVO) und regelt die Verarbeitung personenbezogener Daten zwischen Kunden und Microsoft. Das DPA steht immer wieder im Kreuzfeuer der Kritik der Datenschutzaufsichtsbehörden. Zuletzt kam etwa die Datenschutzkonferenz (DSK) zu dem Ergebnis, Verantwortliche könnten auf Grundlage des alten DPA nicht nachweisen, dass sie Microsoft 365 datenschutzrechtskonform einsetzen.
Die wichtigsten Änderungen im neuen DPA
Mit dem neuen DPA nimmt Microsoft weitere Verbesserungen beim Datenschutz vor und erhöht die Transparenz der Datenflüsse. Das neue DPA enthält die folgenden fünf zentralen Änderungen:
- Mehr Unterstützung bei der Compliance
In Anhang 1 des DPA ist nun geregelt, dass Microsoft Kunden bei der Erfüllung ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO unterstützt und dem Kunden die hierfür erforderlichen Dokumente bereitstellt. Kunden können so leichter nachweisen, dass sie Microsoft 365 datenschutzkonform einsetzen (vgl. unseren Onepager zur Datenschutz-Compliance bei Microsoft 365 (PDF)). - Telekommunikationsdaten
Für personenbezogene Daten, die Microsoft als Anbieter von Telekommunikationsdiensten erfasst und die nicht der DSGVO unterfallen, wird klargestellt, dass Microsoft die einschlägigen gesetzlichen Vorgaben umsetzt. Hierzu zählt insbesondere das Fernmeldegeheimnis (§ 3 TTDSG). - Datenverarbeitung in Europa
Das EU Data Boundary wird im neuen DPA umgesetzt und eindeutig geregelt, dass Microsoft Kundendaten ausschließlich in der EU speichern und verarbeiten wird, wenn diese vom EU Data Boundary erfasst sind. Die europäische Microsoft Cloud hat viel Potenzial für Unternehmen und öffentliche Stellen. - Mehr Datensicherheit
Microsoft gewährleistet bereits jetzt ein hohes Sicherheitsniveau und verfügt über praktisch alle relevanten Zertifizierungen für Cybersicherheit. Das neue DPA stellt auf vertraglicher Ebene klar, dass Microsoft auch die technischen und organisatorischen Maßnahmen aus den Standardvertragsklauseln zwischen Microsoft Irland und Microsoft USA umsetzt. Verantwortliche können so ihrer sekundären Prüfpflicht für Daten, die nicht ausschließlich in der EU verarbeitet werden, leichter nachkommen. - Erweiterter Anwendungsbereich
Das neue DPA gilt nicht nur für Kunden mit Volumenlizenzverträgen, sondern für alle Kunden mit einem bestehenden Produkt- und Dienstleistungsvertrag.
Fazit und Praxis-Tipp
Den Trend, auf Kritik der Aufsichtsbehörden das Datenschutzniveau zu erhöhen, setzt Microsoft mit dem neuen DPA fort. Verantwortliche, die MS 365 einsetzen, erhalten dadurch Klarheit und mehr Unterstützung bei der Einhaltung datenschutzrechtlicher Anforderungen. Unabhängig davon, ob das neue DPA die Datenschutzaufsichtsbehörden vollends überzeugt, sollten Verantwortliche sich um den Abschluss des neuen DPA bemühen und dies in ihrer Datenschutzdokumentation berücksichtigen.
zurück