Was bedeutet das neue EU-US Datentransferabkommen für Microsoft Nutzer in Deutschland?

Microsoft und deren Kunden in Deutschland sind von der DSGVO unmittelbar betroffen. Dazu gehören Themen wie Diagnose- und Telemetriedaten, sowie damit auch generell der Datentransfer in ein unsicheres Drittland die USA, die eine Nutzung von Microsoft 365 beeinflusst. 

Versionen des Artikels

1 27.03.2022 Erstellung
2 29.03.2022 Ergänzungen, Warten

Das neue Framework

Das neue Framework zum Datentransfer in die USA und die Datenverarbeitung in den USA bringt die Hoffnung mit sich, dass damit das Datenschutzniveau in den USA so angehoben wird, dass es einen ähnliches Niveau, wie in den EU Mitgliedstaaten hat. Mehr dazu gibt es in einem anderen Blogpost von mir.

Aktuell: Warten wir auf den Text zum Framework! Aber diese Zeit, um dann Genaueres zu sagen, können Sie nutzen, um TOMs zu definieren, Verarbeitungsverzeichnisse auszufüllen und Daten zu klassifizieren.

Microsoft sagt zum neuen Framework

“Microsoft applaudiert der Europäischen Kommission und der US-Regierung für das Erreichen dieses wichtigen Meilensteins. Wir schätzen die enormen Anstrengungen, die für diesen wichtigen Schritt erforderlich sind, sehr und freuen uns darauf, unseren vollen Teil dazu beizutragen, diese neuen Maßnahmen zu unterstützen und sicherzustellen, dass der grundlegende Datenschutz des neuen Rahmens vollständig umgesetzt wird.”

Microsoft ist bestrebt, das neue Framework anzunehmen und wird darüber hinausgehen, indem es alle Anforderungen erfüllt oder übertrifft, die dieses Framework für Unternehmen darstellt. Wir werden dies durch Verbesserungen in der Art und Weise, wie wir mit rechtlichen Anfragen nach Kundendaten umgehen, und durch weitere Unterstützung für Einzelpersonen, die sich um ihre Rechte sorgen, tun.”

DE: https://news.microsoft.com/de-de/neue-massnahmen-zum-schutz-von-daten/ 

Was passiert nun? 

Microsoft will das neue Framework implementieren. Dies gerade in den beiden Schwerpunkten: 

  1. rechtliche Anfragen nach Kundendaten für Unternehmen einfacher zu machen
  2. Unterstützung von Einzelpersonen Anfragen zu stellen

Microsoft bestätigen nun, dass jede Anforderung personenbezogener Daten durch die US-Regierung mit dem kürzlich angekündigten Trans-Atlantic Data Privacy and Security Framework auch übereinstimmen wird. Wenn Microsoft der Meinung ist, dass die Forderung nicht konform ist, werden wir alle rechtmäßigen Mittel nutzen, um sie anzufechten.

Zweitens wird Microsoft das Rechtsbehelfsverfahren im Rahmen des neuen Abkommens unterstützen, indem wir unsere gesamten juristischen Ressourcen einsetzen und versuchen, aktiv an der gerichtlichen Überprüfung der Behauptung einer Person teilzunehmen, dass sie durch Microsofts Cloud-Dienste für den öffentlichen Sektor und für Unternehmen geschädigt wurde.

Wann? keine Aussage

Es gibt keine konkreteren Aussagen, da das Framework heute noch nicht öffentlich ist. Nutzen Sie die Zeit.

 

Fazit und Folge für Microsoft Kunden

Aktuell müssen Sie als Kunde von Microsoft noch nichts tun. Das Framework ist noch nicht veröffentlicht worden und dementsprechend auch noch nicht gültig. Sie müssen das Thema verfolgen, dies bedeutet mit dem Einkauf und der internen Legal sprechen, dass diese mögliche zeitnahe Vertragsänderungen monitoren müssen. Das neue Framework kann dazu führen:

  1. Neue Data Protection Agreement (DPA / aka.ms/DPA)
  2. Neue Product Terms (PT/OSTs)
  3. Neue allgemeine Datenschutzerklärung von Microsoft
  4. neuer Zusatzvertrag zum EA, MPSA, MBSA

Ablauf der empfohlenen Handlung

  1. Neuerungen des Frameworks prüfen und analysieren (heute noch nicht)
  2. Rechtsanwälte (intern/extern) fassen es zusammen mit Blick auf Microsoft 365
  3. vertragliche Anpassung (Einkauf)
  4. technischer Changerequest für Konfigurationen (Anpassungen) erarbeiten
  5. Anpassungen Konfiguration vorbereiten
  6. Prüfung und Anpassungen 
    1. DSFA + TIA
    2. Risikoanalyse
    3. Nutzungserklärungen
    4. Datenschutzerklärung
  7. Gremien bei Änderungen
    1. IT Security
    2. Datenschutz
    3. Betriebsrat
  8. Veränderungen konfigurieren
  9. Abschluss der Handlungen / Dokumentation

ACHTUNG: Das Framework liegt noch nicht vor! 

 

Quelle übersetzt (vom Autor)

Microsoft-Transatlantisch-Statement2022

Quelle

https://blogs.microsoft.com/eupolicy/2022/03/25/eu-us-data-agreement-an-important-milestone-for-data-protection-microsoft-is-committed-to-doing-our-part/