Nach der erst kürzlich von Microsoft veröffentlichten Stellungnahme zur Datenschutzkonformität der M365-Produkte, in welcher bereits Argumente für eine datenschutzkonforme Nutzung der Software aufgezählt wurden, verstärkt Microsoft seine Datenschutz-Offensive weiter. Nun wurde eine neue Version des Auftragsverarbeitungsvertrages (Microsoft Products and Services Data Protection Addendum) veröffentlicht, in welchem auch die aktuellen Standardvertragsklauseln eingebunden sind. Das stößt in der Praxis auf positives Feedback und sollte von verantwortlichen Stellen genutzt werden.
Positive inhaltliche Anpassungen und neue Standardvertragsklauseln
Am 15.09.2022 hat Microsoft eine neues Data Protection Addendum für seine M365-Produkte veröffentlicht. Dieses kann auf der Microsoft-Seite nun auch auf Deutsch heruntergeladen werden und wird wie bisher als Addendum der Product Terms in das Vertragswerk eingebunden.
Microsoft zeigt, dass auf einige der größten Kritikpunkte der Aufsichtsbehörden eingegangen wird. Zum einen wurde beispielsweise präzisiert, welche Daten Microsoft zu eigenen Zwecken nutzen möchte. Das betrifft insbesondere Statistiken, die aus aggregierten Daten erstellt werden sollen. Dafür wird Microsoft gemäß Vertragstext vom Auftraggeber autorisiert. Einige vorherige Zwecke, wie Kriminalitätsbekämpfung, sind dagegen weggefallen.
Es wird auch noch einmal bekräftigt, sich im Falle angeordneter Offenlegung gegenüber Behörden oder Behördenzugriffen auf Daten, nur am Maßstab der DSGVO zu orientieren und diese Anordnungen im Zweifel anzufechten.
Einer der wichtigsten Aspekte betrifft die Aufnahme der neuen Standardvertragsklauseln der Europäischen Kommission (SCC). Nach dem Schrems-II-Urteil des EuGH und dem damit verbundenen Wegfall des Privacy Shields sind diese in der Praxis die relevanteste Maßnahme zur Gewährung eines angemessenen Datenschutzniveaus bei einer Datenübermittlung in die USA geworden. Bisher wurden noch die alten Standardvertragsklauseln von 2010 eingebunden. Mit Stichtag zum 27.12.22 ist eine Verwendung der neuen Klauseln für alle Verantwortlichen und Auftragsverarbeiter verpflichtend. Die SCC gelten dabei im Modul 3 (Processor-Processor) zwischen der Microsoft Ireland Operations Limited als Auftragnehmer und der US-Gesellschaft als Unterauftragnehmer. In englischer Sprache stellt Microsoft inzwischen auch weitere Informationen für den SCC bereit, inklusive Betroffenen- und Datenkategorien sowie eingesetzter technischer und organisatorischer Sicherheitsmaßnahmen.
Zusätzlicher verpflichtender Bestandteil zur Prüfung und Dokumentation des adäquaten Datenschutzniveaus in einem Drittland ist seit Schrems-II ein Transfer Impact Assessment (TIA). In dem neuen DPA wird deutlich, dass ein solches TIA nicht durch den Auftraggeber (die verantwortliche Stelle) durchgeführt werden muss, sondern (auch hier) durch den Vertragspartner für europäische Kund:innen, die Microsoft Ireland Operations Limited. Diese wiederum transferiert die Daten an den Subunternehmer Microsoft in die USA. Als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO müssen sich europäische Kund:innen vergewissern, dass in der gesamten Kette geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorliegen und sollten ein solches TIA daher bestenfalls anfordern und mindestens prüfen und dokumentieren.
Das müssen Verantwortliche wissen
Das neue DPA wird in der Regel nicht automatisch Vertragsbestandteil und muss daher aktiv in den Vertrag einbezogen werden. Spätestens mit dem Ablauf der alten Standardvertragsklauseln am 27.12.2022 müssen die Verträge umgestellt sein. Insgesamt besteht mit den alten Verträgen bereits jetzt ein erhöhtes Risiko einer unzulässigen Auftragsverarbeitung und eines unrechtmäßigen Datentransfers in die USA. Da es verschiedene Lizenzverträge und Einbindungsformen gibt, ändern sich auch die Möglichkeiten der Einbindung. In der Regel sollte der Abschluss der neuen Zusatzvereinbarung bei Microsoft angefordert werden können.
Wenn Sie Unterstützung benötigen, können Sie sich gerne an uns wenden.
Philipp Lehmann ist Wirtschaftsjurist (LL.M) und Senior Legal Consultant bei der Datenschutzkanzlei am Standort Köln.