Kommentar und Einschätzung – Transfer-Impact-Assessment von Microsoft oder was ist es nun?

Microsoft hat in der vergangenen Woche ein Addendum zum Datentransfer oder doch eine TIA veröffentlicht ? Eine TIA wurde schon seid gut zwei Jahren nach Schrems2 von den Kunden und Nutzer:innen angefordert. 

Update: 28.09.2022

-> Einarbeitungen von Klarstellungen und verdeutlichen von Inhalten.

Der Weg zur TIA

Ein Transfer-Impact-Assessment ist ein Risiko-Assessment und konzentriert sich auf den Datentransfer in ein unsicheres Drittland. Es gilt den Transfer so genau wie möglich zu bestimmen, die Rechtsgrundlagen für den Transfer festzulegen und das Risiko der Übertragung und Verarbeitung in z.B. den USA einzuschätzen. Im Rahmen Zusammenarbeit wurden den Businesskunden Unterlagen zur Verfügung gestellt (z.B. EU Standardvertragsklauseln), aber keine TIA an sich. 

Die Microsoft Veröffentlichung- eine TIA?

Das Addendum zum Internationalem Datentransfer (Titel) muss im Verbund mit der neuen DPA und den EU Standardvertragsklauseln gesehen werden, dann wird klar, dass es keine vollständige TIA ist, sondern nur ein Addendum zu den EU Standardvertragsklauseln (Contoller to Contoller).
 
Interessant ist dann auch geschickte Änderung, dass die Daten nach Autorisierung den Kunden, also durch das Unternehmen (und verbundener Unternehmen) erfolgt, liegt hierfür eine Auftragsverarbeitung in der Rolle des Vertrages vor, die Microsoft erlaubt die Daten zu den bestimmten Zwecken (siehe DPA von Abrechnung zu Finanzberichterstattung) zu verarbeiten. Diese Zwecke sind in der aktuellen DPA eingeschränkt worden und so fiel z.B. der Punkt Datenschutz raus. Konkret geht es um die Erstellung von Statistiken aus pseudonymisierter Daten, die dann so anonymisiert werden.
 
Jedoch muss auch festgestellt werden, dass auch dieses Schriftstück nicht konkret sagt, welche Daten nun zu den eigenen Zwecken verarbeitet werden, da es eine lange und fast allumfassende Tabelle mit Datenkategorien gibt, die eben für die Verarbeitung in Microsofts Zwecken, als auch Kundenzwecken liegen. Aus meiner Sicht eine Öffnung und kleine Verschleierung, denn wir wollten wissen, welche Daten zu den Zwecken von Microsoft verarbeitet werden. Diese sind in dem Addendum zum Datentransfer nun auf viele Kategorien aufgesetzt worden.
 

Genügt das Addendum-International Data Transfer oder benötigt man noch eine eigene TIA?

Zunächst ist schon festgestellt worden, dass das nun veröffentlichte Dokument keine TIA ist. Es ist nur ein auch benötigtes Addendum-International Data Transfer zu den EU Standardvertragsklauseln. Daher muss man sich doch der Frage stellen:

Die zwei Meinungen zum Erstellen einer TIA für Microsoft 365

Nun gibt es zwei Meinungen zu dem Thema Microsoft TIA für Microsoft 365 und auch die Azure Dienste. Der Transfer findet zwischen Microsoft Irland und Microsoft Corp. USA statt und betrifft Diagnose- und Telemetriedaten und weitere Daten die zu Abrechnungszwecken, aber auch zu Zwecken der Skalierung und Finanzreporting transferiert werden. Dazu kommen noch Daten, die der Kunde selber in die USA schickt, entweder bei der Nutzung der Dienste (mit Auftrag an MS dies zu tun) oder selber durch kopieren von Daten in die USA (Multi-Geo) auch als Auftrag an Microsoft. 

Die eine Meinung sagt, dass sich die Aufsichtsbehörden an Microsoft selber wenden sollen und nicht an den Kunden, da Microsoft selber Verantwortlicher ist für diese Übertragung. Microsoft müsste daher die TIA vorlegen.

Die andere Meinung hat die Auffassung, dass aus der Rolle des Vertrages (DPA, TIA, EA) ein Auftragsverhältnis vorliegt. Dies hat dann das Ergebnis, dass Microsoft im Auftrag / also autorisiert durch den Kunden Daten in die USA versendet. Diese mit TOMs abgesichert, wie Pseudonymisierung, Verschlüsselung und als Transferwerkzeug die EU-Standardvertragsklauseln. Folglich muss in jedem Fall eine TIA durch den Verantwortlichen erstellt werden.

Einschätzung

Die Veröffentlichung des Addendum-International Data Transfer ist keine vollumfängliches Transfer-Impact Assessment, wie wir es uns vielleicht alle gewünscht hätten. Damit muss man sich nun doch wieder mit der obigen Frage beschäftigen eine TIA anzufertigen oder doch auf die von Microsoft (nicht öffentlich) zu verweisen. 

Meiner Auffassung nach ist das nun veröffentlichte Dokument, das Addendum-International Data Transfer, ein wichtiger Schritt und Ergänzung zu den EU Standardvertagsklauseln und der DPA, aber eben keine vollständige TIA. Deshalb muss immer noch eine TIA vom Verantwortlichen  erstellt werden. Dennoch kann man dieses Dokument, die Standardvertragsklauseln, das entsprechende .pdf von Microsoft und einige andere Quellen gut nutzen, um eine TIA zu erstellen.