Additional Safe Guards nun ein Teil des Data Protection Addendum von Microsoft

Seit dem Urteil des EuGH Schrems 2 und den Hinweisen des Europäischen Data Protection Board, hat Microsoft regiert und die Additional Safe Guards angekündigt. Dies im Rahmen des Projektes Defending your data, welches Julie Brill ankündigte.

Neue DPA mit Additional Safe Guards verfügbar

Seit dem 09. Dezember 2020 sind nun die Additional Safe Guards als Teil des DPA Anhanges verfügbar. Diese wurden in den Appendix 3 to the Standard Contractual Clauses Additional Safeguards Addendum hinzugefügt. Die Standardvertragsklauseln werden dadurch nicht abgeändert, sondern nur ergänzt, wie der EDPB es als Voraussetzung gebeten hat.

Mit diesem Zusatz zu den Standardvertragsklauseln (dieser “Zusatz”) bietet die Microsoft Corporation (“Microsoft”) dem Kunden zusätzliche Sicherheitsvorkehrungen und den betroffenen Personen, auf die sich die personenbezogenen Daten des Kunden beziehen, zusätzliche Rechtsmittel.
Dieser Nachtrag ergänzt die Standardvertragsklauseln und wird zu einem Teil von ihnen gemacht, stellt jedoch keine Abänderung oder Änderung derselben dar.

Der englische und eine deutsche Übersetzung findet ihr an Ende dieses Beitrages.

Weiterhin lohnt es sich die Änderungen der DPA genauer zu betrachten. In den nächsten Tagen folgt eine ausführliche Analyse der Änderungen der DPA vom 21. Juli zu denen vom 09.12.

Die Landesdatenschutzbeauftragten haben sich bereits wie folgt geäußert:

Äußerungen der Landesdatenschutzbehörden zu den Neuerungen von Microsoft – RaKöllner (rakoellner.de)

Downloadlink

Microsoft Volume Licensing – Product Licensing Search

Vergleichsdokumente

Comparing_DPA_July_Dec_2020

DPA-Juli-Dez-2020-Vergleich

DPA_Dez_DE

Achtung: Die Übersetzung der aktuell nur in englischer Sprache vorliegenden DPAs aus Dezember 2020 wurde maschinell übersetzt und ist nicht gültig. Es dient nur zur Unterstützung des Verständnisses.

Screens

Text in englischer Sprache

Appendix 3 to the Standard Contractual Clauses

Additional Safeguards Addendum

By this Additional Safeguards Addendum to Standard Contractual Clauses (this “Addendum”), Microsoft Corporation (“Microsoft”) provides additional safeguards to Customer and additional redress to the data subjects to whom Customer’s personal data relates.

This Addendum supplements and is made part of, but is not in variation or modification of, the Standard Contractual Clauses.

  1. Challenges to Orders. In addition to Clause 5(d)(i) of the Standard Contractual Clauses, in the event Microsoft receives an order from any third party for compelled disclosure of any personal data that has been transferred under the Standard Contractual Clauses, Microsoft shall:
  2. use every reasonable effort to redirect the third party to request data directly from Customer;
  3. promptly notify Customer, unless prohibited under the law applicable to the requesting third party, and, if prohibited from notifying Customer, use all lawful efforts to obtain the right to waive the prohibition in order to communicate as much information to Customer as soon as possible; and
  4. use all lawful efforts to challenge the order for disclosure on the basis of any legal deficiencies under the laws of the requesting party or any relevant conflicts with the law of the European Union or applicable Member State law.

For purpose of this section, lawful efforts do not include actions that would result in civil or criminal penalty such as contempt of court under the laws of the relevant jurisdiction. 

  1. Indemnification of Data Subjects. Subject to Sections 3 and 4, Microsoft shall indemnify a data subject for any material or non-material damage to the data subject caused by Microsoft’s disclosure of personal data of the data subject that has been transferred under the Standard Contractual Clauses in response to an order from a non-EU/EEA government body or law enforcement agency (a “Relevant Disclosure”). Notwithstanding the foregoing, Microsoft shall have no obligation to indemnify the data subject under this Section 2 to the extent the data subject has already received compensation for the same damage, whether from Microsoft or otherwise.
  2. Conditions of Indemnification. Indemnification under Section 2 is conditional upon the data subject establishing, to Microsoft’s reasonable satisfaction, that:
  3. Microsoft engaged in a Relevant Disclosure;
  4. the Relevant Disclosure was the basis of an official proceeding by the non-EU/EEA government body or law enforcement agency against the data subject; and
  5. the Relevant Disclosure directly caused the data subject to suffer material or non-material damage.

The data subject bears the burden of proof with respect to conditions a. though c.

Notwithstanding the foregoing, Microsoft shall have no obligation to indemnify the data subject under Section 2 if Microsoft establishes that the Relevant Disclosure did not violate its obligations under Chapter V of the GDPR.

  1. Scope of Damages. Indemnification under Section 2 is limited to material and non material damages as provided in the GDPR and excludes consequential damages and all other damages not resulting from Microsoft’s infringement of the GDPR.
  2. Exercise of Rights. Rights granted to data subjects under this Addendum may be enforced by the data subject against Microsoft irrespective of any restriction in Clauses 3 or 6 of the Standard Contractual Clauses. The data subject may only bring a claim under this Addendum on an individual basis, and not part of a class, collective, group or representative action. Rights granted to data subjects under this Addendum are personal to the data subject and may not be assigned.
  3. Notice of Change. In addition to Clause 5(b) of the Standard Contractual Clauses, Microsoft agrees and warrants that it has no reason to believe that the legislation applicable to it or its sub-processors, including in any country to which personal data is transferred either by itself or through a sub-processor, prevents it from fulfilling the instructions received from the data exporter and its obligations under this Addendum or the Standard Contractual Clauses and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by this Addendum or the Standard Contractual Clauses, it will promptly notify the change to Customer as soon as it is aware, in which case Customer is entitled to suspend the transfer of data and/or terminate the contract.
  4. Termination. This Addendum shall automatically terminate if the European Commission, a competent Member State supervisory authority, or an EU or competent Member State court approves a different lawful transfer mechanism that would be applicable to the data transfers covered by the Standard Contractual Clauses (and if such mechanism applies only to some of the data transfers, this Addendum will terminate only with respect to those transfers) and that does not require the additional safeguards set forth in this Addendum.

 

Text in deutscher Sprache

Anhang 3 zu den Standardvertragsklauseln
Nachtrag zu zusätzlichen Schutzmaßnahmen

Mit diesem Zusatz zu den Standardvertragsklauseln (dieser “Zusatz”) bietet die Microsoft Corporation (“Microsoft”) dem Kunden zusätzliche Sicherheitsvorkehrungen und den betroffenen Personen, auf die sich die personenbezogenen Daten des Kunden beziehen, zusätzliche Rechtsmittel.
Dieser Nachtrag ergänzt die Standardvertragsklauseln und wird zu einem Teil von ihnen gemacht, stellt jedoch keine Abänderung oder Änderung derselben dar.

1. Anfechtung von Aufträgen. Zusätzlich zu Klausel 5(d)(i) der Standardvertragsklauseln wird Microsoft, falls Microsoft von einem Dritten eine Anordnung zur zwangsweisen Offenlegung von personenbezogenen Daten erhält, die gemäß den Standardvertragsklauseln übertragen wurden,
a. alle angemessenen Anstrengungen unternehmen, um den Dritten umzuleiten, die Daten direkt vom Kunden anzufordern;
b. den Kunden unverzüglich benachrichtigen, es sei denn, dies ist nach dem für den anfragenden Dritten geltenden Recht verboten, und, falls die Benachrichtigung des Kunden verboten ist, alle rechtmäßigen Anstrengungen unternehmen, um das Recht zu erhalten, auf das Verbot zu verzichten, um dem Kunden so schnell wie möglich so viele Informationen wie möglich zu übermitteln; und
c. alle rechtmäßigen Anstrengungen unternehmen, um die Anordnung zur Offenlegung auf der Grundlage von Rechtsmängeln nach den Gesetzen der anfragenden Partei oder von relevanten Konflikten mit dem Recht der Europäischen Union oder dem Recht des jeweiligen Mitgliedstaats anzufechten.
Für die Zwecke dieses Abschnitts umfassen rechtmäßige Bemühungen keine Handlungen, die zivil- oder strafrechtliche Sanktionen wie z. B. Missachtung des Gerichts nach den Gesetzen der jeweiligen Gerichtsbarkeit nach sich ziehen würden.

2. Entschädigung der betroffenen Personen. Vorbehaltlich der Abschnitte 3 und 4 stellt Microsoft eine betroffene Person von jeglichem materiellen oder immateriellen Schaden frei, der der betroffenen Person dadurch entsteht, dass Microsoft personenbezogene Daten der betroffenen Person, die gemäß den Standardvertragsklauseln auf Anordnung einer Nicht-EU/EWR-Regierungsstelle oder einer Strafverfolgungsbehörde übermittelt wurden (eine “Relevante Offenlegung”), offenlegt. Ungeachtet des Vorstehenden ist Microsoft nicht verpflichtet, die betroffene Person gemäß diesem Abschnitt 2 zu entschädigen, soweit die betroffene Person bereits eine Entschädigung für denselben Schaden erhalten hat, sei es von Microsoft oder anderweitig.

3. Bedingungen der Entschädigung. Die Schadloshaltung gemäß Abschnitt 2 ist an die Bedingung geknüpft, dass die betroffene Person zur angemessenen Zufriedenheit von Microsoft nachweist, dass
a. Microsoft eine Relevante Offenlegung vorgenommen hat;
b. die Relevante Offenlegung die Grundlage für ein offizielles Verfahren der Nicht-EU/EWR-Regierungsstelle oder Strafverfolgungsbehörde gegen die betroffene Person war; und
c. die Relevante Offenlegung hat der betroffenen Person unmittelbar einen materiellen oder immateriellen Schaden zugefügt.
Die betroffene Person trägt die Beweislast in Bezug auf die Bedingungen a. bis c.
Ungeachtet des Vorstehenden ist Microsoft nicht verpflichtet, die betroffene Person gemäß Abschnitt 2 zu entschädigen, wenn Microsoft nachweist, dass die Relevante Offenlegung nicht gegen ihre Verpflichtungen gemäß Kapitel V der DSGVO verstoßen hat.

4. Umfang des Schadensersatzes. Die Entschädigung gemäß Abschnitt 2 ist auf materielle und immaterielle Schäden beschränkt, wie in der DSGVO vorgesehen, und schließt Folgeschäden und alle anderen Schäden aus, die nicht aus der Verletzung der DSGVO durch Microsoft resultieren.

5. Ausübung von Rechten. Rechte, die betroffenen Personen gemäß diesem Nachtrag gewährt werden, können von der betroffenen Person gegenüber Microsoft geltend gemacht werden, ungeachtet jeglicher Einschränkung in Klauseln 3 oder 6 der Standardvertragsklauseln. Die betroffene Person kann einen Anspruch unter diesem Nachtrag nur auf individueller Basis und nicht als Teil einer Sammel-, Gruppen- oder repräsentativen Klage geltend machen. Die Rechte, die den betroffenen Personen unter diesem Nachtrag gewährt werden, sind persönlich und können nicht abgetreten werden.

6. Mitteilung von Änderungen. Zusätzlich zu Klausel 5(b) der Standardvertragsklauseln stimmt Microsoft zu und gewährleistet, dass sie keinen Grund zu der Annahme hat, dass die für sie oder ihre Unterauftragsverarbeiter geltende Gesetzgebung, einschließlich in jedem Land, in das personenbezogene Daten entweder von ihr selbst oder durch einen Unterauftragsverarbeiter übermittelt werden, es daran hindert, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus diesem Nachtrag oder den Standardvertragsklauseln zu erfüllen, und dass es im Falle einer Änderung dieser Gesetzgebung, die wahrscheinlich eine wesentliche nachteilige Auswirkung auf die in diesem Nachtrag oder den Standardvertragsklauseln vorgesehenen Garantien und Verpflichtungen hat, dem Kunden die Änderung unverzüglich mitteilen wird, sobald es davon Kenntnis hat, wobei der Kunde berechtigt ist, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen.

7. Beendigung. Dieser Nachtrag endet automatisch, wenn die Europäische Kommission, eine zuständige Aufsichtsbehörde eines Mitgliedstaates oder ein Gericht der EU oder eines zuständigen Mitgliedstaates einen anderen rechtmäßigen Übermittlungsmechanismus genehmigt, der auf die von den Standardvertragsklauseln abgedeckten Datenübermittlungen anwendbar wäre (und wenn ein solcher Mechanismus nur auf einige der Datenübermittlungen anwendbar ist, endet dieser Nachtrag nur in Bezug auf diese Übermittlungen) und der nicht die in diesem Nachtrag dargelegten zusätzlichen Garantien erfordert.