Wichtige Anpassungen der Microsoft Service Online Terms im Sinne des Datenschutzes

Microsoft kündigt in einem Blogpost weitrechendere Änderungen der Microsoft Online Service Terms an. Diese resultieren aus dem Feedback der Kunden, genauer gesagt aus der Diskussion mit dem niederländischen Ministerium für Justiz und Sicherheit (niederländisches MoJ). Dazu kommt Feedback von Enterprise Unternehmen und Experten, wie mir. Microsoft hat das Ziel mit den Anpassungen mehr Transparenz für ihre Kunden über die Datenverarbeitung in der Microsoft Cloud zu schaffen.

Vom Auftragsdatenverarbeiter zum teilweisen Joint Controller und Verantwortlichen

Bisher hat Microsoft auch im Zuge der DSGVO seine Dienste immer als AVV (Auftragsdatenverarbeiterung) im Rahmen als Auftragsdatenverarbeiter gesehen. Diese Rolle zeige sich auch in den Verträgen insbesondere in den Microsoft Online Service Terms.

Die Diskussion um die Auslegung, Vertragsgestaltung und tatsächliche Ausgestaltung und Nutzung ist jedoch seit einigen Monaten ausgeprägt. Es wird um den Punkt gestritten, ob für Azure und Microsoft 365 insgesamt AVV oder Joint Controller besteht und welche Vertragspartei nun Verantwortlicher im Sinne des Datenschutzes ist, und somit zum Beispiel auch Auskunftsverpflichtungen hat. Dies führt soweit, dass einige Steuerbehörden europäischer Länder bei Joint Contoller auch eine Steuerpflicht in ihrem Land sehen.

Die EU Kommission äußerte sich am 21. Oktober 2019 zu dem Sachverhalt:

“Though the investigation is still ongoing, preliminary results reveal serious concerns over the compliance of the relevant contractual terms with data protection rules and the role of Microsoft as a processor for EU institutions using its products and services. Similar risk assessments were carried out by the Dutch Ministry of Justice and Security confirmed that public authorities in the Member States face similar issues.”

-> DE “Obwohl die Untersuchung noch nicht abgeschlossen ist, zeigen vorläufige Ergebnisse ernsthafte Bedenken hinsichtlich der Einhaltung der einschlägigen Vertragsbedingungen mit den Datenschutzbestimmungen und der Rolle von Microsoft als Verarbeiter für EU-Institutionen, die ihre Produkte und Dienstleistungen nutzen. Ähnliche Risikobewertungen wurden vom niederländischen Justiz- und Sicherheitsministerium durchgeführt, wobei bestätigt wurde, dass die Behörden in den Mitgliedstaaten mit ähnlichen Problemen konfrontiert sind.”

 

Microsoft schreibt hierzu:

In Antizipation der Datenschutz-Grundverordnung (DS-GVO) hat Microsoft die meisten seiner Dienste für Unternehmen als Dienste konzipiert, bei denen wir für unsere Kunden Auftragsverarbeiter sind und hat die notwendigen Schritte unternommen, um die neuen Datenschutzgesetze in Europa einzuhalten. Dies bedeutet grundsätzlich, dass Microsoft personenbezogene Daten in seinen Diensten für Unternehmen erhebt und verwendet, um die von unseren Kunden angeforderten Online-Dienstleistungen für die von unseren Kunden vorgegebenen Zwecke zu erbringen. Als Auftragsverarbeiter gewährleistet Microsoft die Integrität und Sicherheit der Kundendaten, wobei diese Daten selbst im Besitz des Kunden sind und von diesem verwaltet und kontrolliert werden.

Dieser Absatz beschreibt eindeutig die AVV und damit die Rolle von Microsoft aus Auftragsdatenverarbeiter. Dies ist zunächst keine Neuerung, es bestätigt lediglich die Aussagen von CELA der verschiedenen europäischen Microsoft Vertretungen inkl. Microsoft Corp, sowie einiger Großkanzleien.

Weiterhin schreibt Microsoft:

Mit dem heute bekanntgegebenen OST-Update werden wir unsere datenschutzrechtliche Verantwortung für eine Teilmenge derjenigen Verarbeitungstätigkeiten klarstellen, an denen Microsoft beteiligt ist, wenn wir Unternehmensdienste anbieten. Im OST-Update werden wir klarstellen, dass Microsoft die Rolle des datenschutzrechtlich Verantwortlichen übernimmt, wenn wir Daten für bestimmte administrative und operative Zwecke im Zusammenhang mit der Erbringung der unter diesen Vertragsrahmen fallenden Cloud-Diensten wie Azure, Office 365, Dynamics und Intune verarbeiten. Diese Teilmenge der Datenverarbeitung dient administrativen oder operativen Zwecken, wie etwa der Kontoführung, Finanzberichterstattung, Bekämpfung von Cyberangriffen auf Microsoft-Produkte oder ‑Dienstleistungen sowie Erfüllung unserer gesetzlichen Verpflichtungen.

Nun zeigt sich, dass Microsoft von seiner starren Haltung der AVV abweicht und für einige Datenverarbeitungen, wie zum Beispiel administrativen oder operativen Zwecken, wie etwa der Kontoführung, Finanzberichterstattung, Bekämpfung von Cyberangriffen auf Microsoft-Produkte oder ‑Dienstleistungen sowie Erfüllung ihrer gesetzlichen Verpflichtungen, die Verantwortung übernimmt. Also als Verantwortlicher für diese Datenverarbeitung im Datenschutz gilt. Dies ist nun auch keine wirkliche Neuerung, denn es ist einheitliche Meinung, dass jedenfalls für Kontoführung, Finanzberichterstattung und Erfüllung gesetzlicher Verpflichtungen Daten zu eigenen Zwecken verarbeitet werden und nicht für einen Auftraggeber. Microsoft konnte und kann sich seiner Verantwortung hier nicht entziehen. Dies ist nun jedoch einmal schriftlich fixiert. 

Die Änderung, Microsoft als Verantwortlichen für diesen spezifischen Satz an Datennutzungen zu benennen, wird unseren Kunden zugutekommen, indem sie weitere Klarheit darüber schafft, wie wir Daten verwenden und wie wir unsere DS-GVO Rechenschaftspflicht erfüllen, um sicherzustellen, dass die Daten in einer konformen Weise behandelt werden.” so Microsoft weiter.

Ich kann diesem Satz nur zustimmen. Dennoch hätte ich mir in den kritischeren Bereichen wie den Cognitive Services genau diese Klarheit gewünscht. 

Unterdessen bleibt Microsoft der Auftragsverarbeiter für die Bereitstellung der Dienste, die Ausbesserung und Behebung von Fehlern oder anderen Problemen im Zusammenhang mit einem Dienst, die Gewährleistung der Sicherheit der Dienste und die Aktualisierung der Dienste.”

In diesem Abschnitt bestätigt Microsoft die AVV als Auftragsdatenverarbeiter für die Bereitstellung der Dienste und auch der Diagnosedaten (Ausbesserung, Behebung von Fehlern und anderen Problemen).  Dies sehe ich etwas anders, denn in diesen Punkten kann auch ein Joint Controller oder auch eine Verantwortung bei Microsoft alleine liegen. 

“Wie oben beschrieben, spiegeln die aktualisierten OST die vertraglichen Änderungen wider, die wir mit dem niederländischen MOJ entwickelt haben. Die einzigen substanziellen Unterschiede in den aktualisierten Bedingungen beziehen sich auf kundenspezifische Änderungen, die vom niederländischen MOJ gefordert wurden und die für die breite globale Kundenbasis angepasst werden mussten.

Die Arbeit an der Bereitstellung unserer aktualisierten OST hat bereits begonnen. Wir gehen davon aus, dass wir die neuen Vertragsbedingungen Anfang 2020 weltweit allen öffentlichen und kommerziellen Kunden anbieten können.”

Die Änderungen sollen also Anfang 2020 greifen. In dem aktuellen OSTs sind diese Änderungen im Stand von November 2019 nicht zu sehen.

“Beispielsweise hat seit der Geltung der DS-GVO das Kundenfeedback des niederländischen MoJ und Anderer zur globalen Einführung einer Reihe neuer Datenschutzinstrumente in unseren wichtigsten Diensten, zu spezifischen Änderungen an Office 365 ProPlus sowie zu mehr Transparenz im Hinblick auf die Nutzung von Diagnosedaten geführt.”

 

Zusammenfassend bringt der Blogbeitrag nur ein wenig Klarheit. 

 

Links

https://news.microsoft.com/de-de/einfuehrung-von-mehr-datenschutztransparenz-fuer-unsere-kommerziellen-cloud-kunden/

https://blogs.microsoft.com/eupolicy/2019/11/18/introducing-privacy-transparency-commercial-cloud-customers/

https://www.microsoft.com/en-us/licensing/product-licensing/products

https://www.microsoft.com/de-de/berlin/artikel/datenschutz-als-fundamentales-menschenrecht.aspx