Neuerungen des DPA Anhanges und der OSTs und die Auswirkungen auf Microsoft 365

Die Änderungen des DPA Anhanges und der Microsoft Online Service Terms (OSTs) sind wieder einmal etwas umfangreicher ausgefallen. Diese ist die direkte Folge aus dem Schrems2 Urteil, welches ich genauer und auch die Folgen für Microsoft 365 genauer beschrieben habe.

Aktuelleste Fassung

Microsoft Online Service Terms – 1. August 2020

Data Protection Attachment (DPA) – 21. Juli 2020

Download: LINK

Aktuelle Vertragsdokumente zum direkten Download

MicrosoftOnlineServicesDPA(WW)(English)(July212020)(CR)

MicrosoftOnlineServicesTerms(WW)(German)(August2020)(CR)

und in en MicrosoftOnlineServicesTerms(WW)(English)(August2020)(CR)

Generell können diese immer hier runter geladen werden (inkl. Archiv: https://www.microsoft.com/en-us/licensing/product-licensing/products#:~:text=Online%20Services%20Terms%20%28OST%29%20When%20you%20subscribe%20to,successor%20to%20the%20Microsoft%20Online%20Services%20Use%20Rights.)

Der DPA Anhang zum 21. Juli 2020 soll noch in deutscher Sprache zeitnah erscheinen. Dies wurde mir durch einen Microsoft Mitarbeiter versichert.

Allgemeine Datenschutzbestimmungen: https://privacy.microsoft.com/en-us/privacystatement

Vergleichsdokumente zum Download

Vergleichsdokument – OSts July 2020 zu August 2020 -> OSts Vergleich Juli zu August 2020

DPA 21 Juli 2020 mit DPA Januar DPA – en jan zu 21 Juli

Bitte benutzt die Ansicht Dokumente vergleichen, dann seht ihr jede einzelne Änderung.

Struktur der Verträge, die direkt mit Microsoft geschlossen werden

Die oben bennanten Vertragsteile sind meiner Ansicht nach als Allgemeine Geschäftsbedingungen zu sehen. Diese werden für eine Vielzahl von Verträgen geschlossen und einseitig von Microsoft dem Kunden zur Verfügung gestellt und eingebracht. Eine Verhandlung über diese Vertragsteile, die direkt zwischen Microsoft und dem Kunden wirken findet nicht statt. Es besteht lediglich die Möglichkeit M-Verträge hinzuzubuchen und das Vertragskonstrukt zu erweitern. Zwischen dem Kunden und dem Zwischenhändler/Reseller (oft der CSP /EA Lizenzhändler) gelten die oben genannten Vertragsteile nicht. Sie müssen extra Verträge mit Ihrem Reseller schließen, insbesondere für den Support muss ein AVV vorliegen.

Auswirkungen für Microsoft 365

Ich gehe in diesem Beitrag nicht auf alle Einzelheiten und Änderungen ein, so dass ich mich auf die Schwerpunkte der Änderungen beschränke:

Änderung der Architektur der Verträge und Änderungen im Überblick

Microsoft muss nach dem Schrems2 Urteil des EuGH nun handeln und reagiert zunächst schnell mit einer Vertragsänderung und will technische Änderungen nachziehen. Ebenfalls wurden einige Werkzeuge wie Double-Key nun schneller veröffentlicht.

UPDATE vom 9.08.2020

Microsoft 365 Apps for Enterprise, Azure Cognitive Services, Diagnosedaten und Bing Services – Sachstand August 2020

Non Coredienste zu Corediensten

Es wurden einige Dienste, die vorher Non Coredienste waren und nur unter Privacy Shield vielen unter Coredienste und damit unter EU Standardvertragsklauseln. Dazu zählen:

Cortana
Dynamics 365 Customer Insights

Leider bleiben einige Dienste unter den allgemeinen Datenschutzerklärung von Microsoft und nicht unter den EU Standardvertragsklauseln, dazu zählen:

Bing Dienste
- Translator
- Search Services (allgemeine Bing Suche / Microsoft Search unter EU Modelclauses)
- Bing Maps Mobile Asset Management-Plattform,
- Bing Maps Transactions and Users,
- Bing-Suchdienste,
Cognitive Services in Containern, die auf der dedizierten Hardware des Kunden installiert sind,
GitHub-Angebote,
LinkedIn Sales Navigator,
Azure Stack Hub,
Microsoft Graph data connect für ISVs,
Microsoft Genomics und
Visual Studio App Center Test

Es wurden einige Werkzeuge zu Coretools und unterfallen dem DPA Anhang, aber ausreichend ist dies nicht. Ich beschäftigte mich in einem neuen Blogbeitrag mit Office 365 Pro Plus + Azure Cognitive Services + Bing Diensten. Dieser erscheint in den nächsten Tagen.

Änderungen der OSTs und DPA im Einzelnen

Änderung der OSts

Bei einer genaueren Betrachtung gibt es 537 Änderungen zwischen den OSTs aus Juli 2020 und den im August 2020.

Mobile Versionen

Bisher gab es immer Herausforderungen in Bezug auf die mobilen Office Apps. Diese waren nicht unter dem DPA Anhang oder den EU Standardvertragsklauseln einzugliedern. In den Apps wird immer auf die allgemeine Datenschutzerklärung von Microsoft verwiesen. Die dann z.B. für Microsoft Teams Apps wiederrum in die OSts und den DPA Anhang für Schul- und Geschäftskonten verweist.

Es gibt dementsprechend ein Auseinanderfallen von Diensten und deren mobilen Anwendungen und Apps, es ist nicht alles unter den Dienst zu subsumieren. Hier kommt nun die Änderung zu tragen:

“Onlinedienste

Microsoft 365 Anwendungen: Es wurden Bestimmungen hinzugefügt, um klarzustellen, dass wenn mobile Versionen von Microsoft 365-Anwendungen mit einem Arbeits- oder Schulkonto verwendet werden, um auf von dieser OST geregelte Onlinedienste zuzugreifen, für diese Nutzung der M 365 Mobile Applications die Bestimmungen der OST gelten, die den relevanten Onlinedienst regeln. Die Verpflichtungen von Microsoft in Zusammenhang mit M365 Mobile Applications erstrecken sich nicht auf die Datenverarbeitung, Richtlinien oder Praktiken der Drittanbieter von Mobile-Plattformen, auf denen die mobilen Anwendungen betrieben werden (z. B. Apple, Google).

Anhang 1 – Hinweise

Core-Onlinedienste: Hinzufügung von Dynamics 365 Customer Insights zur Liste von Microsoft Dynamics 365 Core Services. Hinzufügung von Microsoft Virtual Agents zur Liste von Microsoft Power-Plattform-Core Services. Hinzufügung von Cortana zur Liste der Office 365 Core Services.”

“Wenn Versionen der Anwendungen Microsoft Word, Excel, PowerPoint, Outlook, OneDrive und Teams für mobile Geräte („M 365 Mobile Applications“) mit einem Arbeits- oder Schulkonto verwendet werden, um auf von dieser OST geregelte Onlinedienste zuzugreifen, so gelten für diese Nutzung der M 365 Mobile Applications die Bestimmungen der OST, die den relevanten Onlinedienst regeln. Die Verpflichtungen von Microsoft in Zusammenhang mit M 365 Mobile Applications erstrecken sich nicht auf die Datenverarbeitung, Richtlinien oder Praktiken der Drittanbieter von Mobile-Plattformen, auf denen die mobilen Anwendungen betrieben werden (z. B. Apple, Google).“

Dies bedeutet, dass die mobilen Apps, wenn ein Geschäfts- oder Schulkonto verwendet wird unter die OSts und den DPA Anhang fallen und damit auch unter die EU Modelclauses.

Weiterhin in der Änderung zum Anhang 1 ist es nun so, dass Dynamics 365 Customer INsights nun unter Microsoft Dynamics Core Services fällt und damit auch unter OSTs, DPA und EU Standardvertragsklauseln und nicht wie vorher nur unter Privacy Shield.

Cortana wurde ebenfalls unter die Coredienste subsumiert und damit zählen auch die EU Standardvertragsklauseln für Cortana.

Intune

“Wird die Intune Company Portal App zur Verwaltung von Geräten verwendet, so gelten für die Nutzung der Intune Company Portal App die Bestimmungen der OST, die für Microsoft Intune-Onlinedienste gelten (wie in der Tabelle „Core-Onlinedienste“ in Anhang 1 – Hinweise definiert). Die Verpflichtungen von Microsoft in Zusammenhang mit der Intune Company Portal App erstrecken sich nicht auf die Datenverarbeitung, Richtlinien oder Praktiken der Drittanbieter von Mobile-Plattformen, auf denen die Intune Company Portal App betrieben wird (z. B. Apple, Google.”

Dies bedeutet, dass neben dem Dienst Intune nun auch die Company Portal App endlich unter die OSts fällt und damit auch unter die EU Standardvertragsklauseln.

Bing Search

“Datenschutz in Microsoft Search in Bing

Wenn ein Nutzer eine Suchanfrage in Microsoft Search in Bing eingibt, werden zwei gleichzeitige Suchanfragen ausgeführt: (1) eine Suche nach internen Ressourcen des Kunden, für die die Abfrage und die Ergebnisse, die zurückgegeben werden, Kundendaten im Sinne dieser Bestimmungen für Onlinedienste sind, und (2) eine separate Suche nach öffentlichen Ergebnissen von Bing.com, für die die Abfrage und die Ergebnisse, die zurückgegeben werden, keine Kundendaten sind. Diese Bestimmungen für Onlinedienste und der DPA gelten nur für Microsoft Search in Bing. Die Datenschutzerklärung von Microsoft unter https://go.microsoft.com/fwlink/?LinkId=521839 gilt für die öffentliche Suche auf Bing.com.”

Es ist nun so, dass für die Bing Suche unter der allgemeinen Datenschutzerklärung läuft, aber die Microsoft Search auf die Unternehmensressourcen über die OSTs / DPA und damit unter EU Standardvertragsklauseln.

Anhang A / Core Services

Cortana, ein Dynamics365 Dienst und in der PowerPlattform hat sich einiges getan. Dies seht ihr an den rot markierten Änderungen, nicht an den rot unterkringelten, dies ist nur die fehlende Sprachenerkennung).

Änderung des DPA Anhanges

Der DPA Anhang wurde schon am 21. Juli 2020 geändert und diese Änderung in englischer Sprache veröffentlicht. Eine weitere Änderung steht wohl an und auch die Veröffentlichung in deutscher Sprache. Bei der genaueren Betrachtung der deutschen und englischen OSts erkennt man, dass in der deutschen Version einigen Stellen Erweiterungen gemacht wurden, die laut der jetztigen Betrachtung den Inhalt nicht verändern.

Diese Änderung ist somit schon länger öffentlich und die aktuellen OSts ergänzen diese:

Datenverarbeitung und Datenverschlüsselung

In diesem Bezug gibt es einige neue Änderungen. So gibt Microsoft nun grundsätzlich an, dass Daten im Ruhezustand und in der Übermittlung zwischen dem Kunden und Microsoft immer standardmäßig verschlüsselt sind. Dies war vorher nur aus dem Security Whitepaper zu erkennen.

Ebenfalls wird der Datenzugriff von Microsoft auf Kundendaten konkreter beschrieben und beleuchtet, z.B:

“Nature and Purpose of the Processing. The nature and purpose of the processing shall be to provide the Online Service pursuant to Customer’s volume licensing agreement and for Microsoft’s legitimate business operations incident to delivery of the Online Service to Customer (as further described in the section of this DPA entitled “Nature of Data Processing; Ownership” above).”

Microsoft fügt weiterhin immer wieder die sogenannten ledigimen Geschäftsprozesse hinzu, die in dem DPA Anhang durch Microsoft definiert werden und in denen Microsoft der Prozess-Owner ist.

Datenverarbeitungsstandort

Diese Änderung ist sehr interessant, bisher konnte Microsoft die Kundendaten inkl. der personenbezogenen Daten in allen Ländern inklusive der Länder der Subcontractor verarbeiten (“oder jedes andere Land, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind“), aber nun heißt es lediglich “an einem bestimmten geographischen Standort“, dies schränkt den Ort ein. Ob es für bestimmte Export- und Importregeln ausreicht ist aber fraglich. Leider löst Microsoft dies wieder auf, da im weiteren Microsoft sagt, dass der Kunde als Auftraggeber Microsoft beauftragt die Daten in den USA und jedem anderen Ort zu verarbeiten. Man kann hier lediglich von einem für Microsoft vorteilien Umbau sprechen, so dass Microsoft “nur” noch klar Auftragsdatenverarbeiter ist und den Kunden als Auftraggebener eindeutig in die Haftung zieht. Jegliche Anmerkung zum Joint Controllership (JC) fehlt und MS bekräftigt die aus seiner Sicht allgegenwärtige Auftragsdatenverarbeitung. Lediglich eine Einschränkung in den DPA (nicht wirklich ersichtlich) soll dies einschränken.

“Data Encryption

Customer Data (including any Personal Data therein) in transit over public networks between Customer and Microsoft, or between Microsoft data centers, is encrypted by default.

Microsoft also encrypts Customer Data stored at rest in Online Services. In the case of Online Services on which Customer or a third-party acting on Customer’s behalf may build applications (e.g., certain Azure Services), encryption of data stored in such applications may be employed at the discretion of Customer, using either capabilities provided by Microsoft or obtained by Customer from third parties.

Data Access

Microsoft employs least privilege access mechanisms to control access to Customer Data (including any Personal Data therein). For Core Online Services, Microsoft maintains Access Control mechanisms described in the table entitled “Security Measures” in Appendix 1 – Notices, and there is no standing access by Microsoft personnel to Customer Data. Role-based access controls are employed to ensure that access to Customer Data required for service operations is for an appropriate purpose, for a limited time, and approved with management oversight.”

“Data Transfers

Except as described elsewhere in the DPA, Customer Data and Personal Data that Microsoft processes on Customer’s behalf may not be transferred to, andor stored and processed in, a geographic location except in accordance with the DPA Terms and the safeguards provided below in this section. Taking into account such safeguards, Customer appoints Microsoft to transfer Customer Data and Personal Data to the United States or any other country in which Microsoft or its Subprocessors operate. Customer appoints Microsoft to perform any such transfer of Customer Data and Personal Data to any such country and to store and process Customer Data and Personal Data to provide the Online Services., except as described elsewhere in the DPA Terms.

All transfers of Customer Data and Personal Data out of the European Union, European Economic Area, United Kingdom, and Switzerland byto provide the Core Online Services shall be governed by the Standard Contractual Clauses in Attachment 3, unless the Customer has opted out of those clauses.Attachment 2.

Microsoft will abide by the requirements of European Economic Area and Swiss data protection law regarding the collection, use, transfer, retention, and other processing of Personal Data from the European Economic Area, United Kingdom, and Switzerland. All transfers of Personal Data to a third country or an international organization will be subject to appropriate safeguards as described in Article 46 of the GDPR and such transfers and safeguards will be documented according to Article 30(2) of the GDPR.

In addition, Microsoft is certified to the EU-U.S. and Swiss-U.S. Privacy Shield Frameworks and the commitments they entail., although Microsoft does not rely on the EU-U.S. Privacy Shield Framework as a legal basis for transfers of Personal Data in light of the judgment of the Court of Justice of the EU in Case C-311/18. Microsoft agrees to notify Customer if it makes a determination that it can no longer meet its obligation to provide the same level of protection as is required by the Privacy Shield principles.”

“Data Transfers

With respect to Professional Services Data, Microsoft makes the commitments applicable to Personal Data in the “Data Transfers” provision of the Data Protection Terms section of the DPA.

Professional Services Data that Microsoft processes on Customer’s behalf may not be transferred to, or stored and processed in a geographic location except in accordance with the Professional Services Terms and the safeguards provided below in this section. Taking into account such safeguards, Customer appoints Microsoft to transfer Professional Services Data to the United States or any other country in which Microsoft or its Subprocessors operate and to store and process Professional Services Data to provide the Professional Services, except as described elsewhere in the Professional Services Terms.

All transfers of Professional Services Data out of the European Union, European Economic Area, United Kingdom, and Switzerland to provide the Professional Services shall be governed by the Standard Contractual Clauses in Attachment 2.

In addition, Microsoft is certified to the EU-U.S. and Swiss-U.S. Privacy Shield Frameworks and the commitments they entail, although Microsoft does not rely on the EU-U.S. Privacy Shield Framework as a legal basis for transfers of Personal Data in light of the judgment of the Court of Justice of the EU in Case C-311/18. Microsoft agrees to notify Customer if it makes a determination that it can no longer meet its obligation to provide the same level of protection as is required by the Privacy Shield principles.”

Biometrische Daten

Ganz neu hinzugefügt wurde der Absatz über biometrosche Daten:

“Biometric Data

If Customer uses an Online Service to process Biometric Data, Customer is responsible for: (i) providing notice to data subjects, including with respect to retention periods and destruction; (ii) obtaining consent from data subjects; and (iii) deleting the Biometric Data, all as appropriate and required under applicable Data Protection Requirements. Microsoft will process that Biometric Data following Customer’s documented instructions (as described in the “Processor and Controller Roles and Responsibilities” section above) and protect that Biometric Data in accordance with the data security and protection terms under this DPA. For purposes of this section, “Biometric Data” will have the meaning set forth in Article 4 of the GDPR and, if applicable, equivalent terms in other Data Protection Requirements.”

Privacy Shield

Microsoft verwies noch im Januar und in der ersten Juli Version (1.07) auf die Privacy Shield, nun wurde dieser Satz ergänzt mit “nicht auf diese Zertifizierung angeweisen”. Dieses Verweis führt Microsoft nun mehrfach in dem neuen DPA Anhang.

weitere Folgen aus Schrems2

Microsoft erläutert deutlich, dass alle Verarbeitungen, die unter den DPA Anhang fallen nun über die EU Standardvertragsklauseln fallen. Ebenfalls gibt Microsoft in dem DPA Anhang vom 21. Juli 2020 an, dass diese alle Regelungen zur Datenübermittlung nach Art 46 DSGVO einhalte und auch ein Verarbeitungsverzeichnis nach Art 30. Abs. 2 DSGVO führe. Hier rate ich an, fordern sie dieses doch einmal an.

“All transfers of Customer Data and Personal Data out of the European Union, European Economic Area, United Kingdom, and Switzerland byto provide the Core Online Services shall be governed by the Standard Contractual Clauses in Attachment 3, unless the Customer has opted out of those clauses.Attachment 2.

Widerspruch gegen die EU Standardvertragsklauseln

In der Version von Januar, war ein Hinweis auf den Widerspruch noch in dem DPA Anhang vorhanden. Dieser Hinweis auf den Widerspruch gegen die EU Standardvertragsklauseln inst nun im DPA Anhang vom 21. Juli nicht mehr vorhanden.

Der folgende Text ist im 21 Juli 2020 nicht mehr vorhanden:

“To opt out of the “Standard Contractual Clauses”, Customer must send the following information to Microsoft in a written notice (under terms of the Customer’s volume licensing agreement):

· the full legal name of the Customer and any Affiliate that is opting out;

· if Customer has multiple volume licensing agreements, the volume licensing agreement to which the Opt Out applies; and

· a statement that Customer (or Affiliate) opts out of the Standard Contractual Clauses.”

Änderungen innerhalb der EU Standardvertragsklauseln

Microsoft hat ebenfalls Änderungen in dem Anhang der EU Standardvertragsklauseln gemacht. Gerade Kundendaten wurde in personenbezogene Daten geändert.

Letztlich gibt es auch weiterhin Ungenauigkeiten, wie z.B.:

Angemerkt sei auch, dass Microsoft leider immernoch ungenau zwischen Anhang 1 und Anhang A nicht korrekt verweist. Dieser Fehler ist auch in der Version zum 21 Juli nicht aufgelöst wurden.

Leider sind es nicht nur Ungenauigkeiten, die man als Flüchtigkeitsfehler verbinden könnte, sondern auch aus meiner Sicht einige Ungenauigkeiten, die die Haftung von Microsoft beschränken sollen.

Ergebnis der Änderungen und Kommentar

Im Ergebnis sind die Änderungen ein weitere Schritt in die richtige Richtung, aber nicht ausreichend. Aus meiner Sicht muss Microsoft klar alle Dienste (inkl. Azure und auch Bing) unter EU Standardvertragsklauseln stellen oder diese alle zu Corediensten umwandeln.

Diese Änderung löst leider nicht die Problematik, dass ihr euch jeden Dienst einzeln ansehen müsst.

Ebenfalls wird ebenfalls nicht das Problem gelöst, ob Microsoft nun auch tatsächlich die europäischen Datenschutzstandards in den USA erfüllen kann und damit die EU Standardvertragsklauseln im Einsatz gültig sind.

Eine sorglose Nutzung von Microsoft 365 ist auch durch die Änderungen nicht möglich. Ihr müsst immernoch im einzelnen die Werkzeuge und Apps prüfen und auch die Frage der tatsächlichen Umsetzbarkeit der europäischen Standards in den USA durch Microsoft ist nicht abschließend geklärt.

In meinem nächsten Blogpost gehe ich auf einzelne Dienste wie Office 365 Pro Plus/Azure Cognitive Servies und Diagnosedaten ein.

Mein Vorschlag ist ganz klar:

Alle Dienste (inkl. Azure, Bing und alle Apps) unter EU Standardvertragsklauseln
tatsächliche Umsetzung der EU Standardvertragsklauseln und Einhaltung

Alternativer Vorschlag

Europäische Verträge zu Microsoft 365 laufen alle über die lokale Subsideriy wie die irländische Sub oder eben die deutsche Sub in München.
Der Support wird nur aus der EU erbracht. Dazu kann man die bereits geschulten Supportengineers der alten MCD nutzen und z.B. weitere von Telekom, Bechlte und Co bis Microsoft eigene ausbilden kann.
Support (Level 4-5) nur unter ausdrücklicher Genehmigung des Kunden durch das Core Team in den USA
Ansprechpartner ist immer die europäische Sub.

Hinweis

fett markiert = Autor

Change Log des Artikels

2. August 2020 – Erstellung des Artikels