Microsoft veröffentlicht das erste Mal ein Transfer-Impact-Assessment (TIA)?

Seit dem Ende von Privacy Shield auf Grund von Schrems 2 äußerte sich auch der EPDB dazu und nehmen Additional Safeguards dazu, sowie auch das Transfer-Impact-Assessment (TIA). Dieses hat den Grund das Risiko für den Datentransfer von personenbezogen Daten in ein unsicheres Drittland, also in diesem Fall in die USA. 

Update 28.09

-> Klarstellungen und Verdeutlichungen.

Microsoft TIA?

Microsoft überträgt, wie aus der DPA vom 15.09.2022 zu entnehmen ist einige Daten zu bestimmten Zwecken in die USA. Dies war in der DPA vom 15.09.2021 noch so, dass Microsoft dies zu eigenen Zwecken verarbeitet, nun autorisiert der Kunde Microsoft Daten zu eigenen Zwecken zu verarbeiten. Also von der Rolle im Vertrag eine deutliche Änderung hin zu einer Auftragsdatenverarbeitung nach Art. 28 DSGVO. (https://beck-online.beck.de/?vpath=bibdata/komm/PaalPaulyKoDSGVO_1/EWG_DSGVO/cont/PaalPaulyKoDSGVO.EWG_DSGVO.a28.htm)

So heißt es nun in der DPA: 

“Der Kunde autorisiert Microsoft:

  • (i.) aggregierte statistische, nicht personenbezogene Daten aus Daten zu erstellen, die pseudonymisierte Identifikatoren enthalten (z. B. Nutzungsprotokolle mit eindeutigen, pseudonymisierten Identifikatoren); und
  • (ii.) um Statistiken in Bezug auf Kundendaten oder Professional Services-Daten zu berechnen

in jedem Fall ohne Zugriff auf oder Analyse des Inhalts von Kundendaten oder Professional Services-Daten und beschränkt auf die Erreichung der folgenden Zwecke, jeweils als Vorfall bei der Bereitstellung der Produkte und Dienstleistungen für den Kunden.

Diese Zwecke sind:

  • Abrechnung und Kontoführung;
  • Vergütungen wie die Berechnung von Mitarbeiterprovisionen und Partneranreizen;
  • internes Reporting und Geschäftsmodellierung, wie Forecasting, Umsatz, Kapazitätsplanung und Produktstrategie; und

Es ist nicht zu 100% bekannt, welche Daten verarbeitet werden, durch die TIA werden die Datenkategorien jedoch benannt (siehe Anhang). Wir gehen davon aus, dass es hauptsächlich Telemetrie- und Diagnosedaten sind und wie vertraglich in der DPA und auch in diversen Zusatzvereinbarungen steht, definitiv keine Kundendaten selber. Die verbleiben in der Region des Tenants, also für uns in Europa, so  auch die Initiative des EU Boundary Program.

Parteien: Microsoft Irland -> Microsoft Corp

EU-Standardvertragsklauseln: Modul 3 / Controller to Controller

TOMs: Gleiche wie in der DPA vom 15.09.2022 (z.B. Verschlüsselung)

Stand des Addendum zum Datentransfer:15.09.2022

Eigene Versendung in die USA

Dabei muss man auch bedenken, dass Microsoft Irland nicht die Einzigen sind, die Daten in die USA senden könnten. Es sind auch wie die Nutzer:innen von Werkzeugen, wie Microsoft 365. Dies passiert durch die Nutzung von Produkten, wie Sway oder auch durch das Absetzen von Feedback oder auch im Defender durch die Überstellung von Schadsoftware an Microsoft, um diese zu prüfen. 

Es benötigt für diese Übertragungsmodelle eine eigene TIA. Die nun durch die von Microsoft ergänzt werden kann und mehr Einblicke erlaubt.

Download

Der Download wird im Microsoft Service Trust Portal bereitgestellt. 

https://servicetrust.microsoft.com/viewpage/GDPR

Für den Download müsst ihr, wie beim Trust Center üblich, einen O365 Account haben. Dies geht mit jedem Testtenant oder Tenant oder fragt euren CSP Partner oder Microsoft Account Manager/in.

TIA oder nicht? 

Natürlich haben wir uns zu früh gefreut und Microsoft hat keine TIA veröffentlicht, sondern nur ein Addendum-International Data Transfer zu den EU Standardvertragsklauseln und der aktuellen DPA. Eine ausführlichere Darstellung ist hier zu finden:

Kommentar und Einschätzung – Transfer-Impact-Assessment von Microsoft

Weitere Informationen

https://learn.microsoft.com/en-us/compliance/regulatory/gdpr

 

Datenkategorien, der durch den Transfer betroffenen Daten sein könnten, durch die Nutzung des Kunden:

  • Grundlegende personenbezogene Daten (z. B. Geburtsort, Straßenname und Hausnummer (Adresse), Postleitzahl, Wohnort, Wohnsitzland, Mobiltelefonnummer, Vorname, Nachname, Initialen, E-Mail-Adresse, Geschlecht, Geburtsdatum), einschließlich grundlegender personenbezogener Daten über Familienmitglieder und Kinder;
    – Authentifizierungsdaten (z. B. Benutzername, Passwort oder PIN-Code, Sicherheitsfrage, Prüfpfad);
    – Kontaktinformationen (z. B. Adressen, E-Mail, Telefonnummern, Identifikatoren für soziale Medien; Kontaktangaben für Notfälle);
    – Eindeutige Identifikationsnummern und Unterschriften (z. B. Sozialversicherungsnummer, Bankkontonummer, Reisepass- und
  • Personalausweisnummer, Führerscheinnummer und Kfz-Zulassungsdaten, IP-Adressen, Mitarbeiternummer, Studentennummer, Patientennummer, Unterschrift, eindeutige Kennung in Tracking-Cookies oder ähnlichen Technologien);
    – Pseudonyme Identifikatoren;
    – Finanz- und Versicherungsdaten (z. B. Versicherungsnummer, Name und Nummer des Bankkontos, Name und Nummer der Kreditkarte,
  • Rechnungsnummer, Einkommen, Art der Versicherung, Zahlungsverhalten, Kreditwürdigkeit);
    – Kommerzielle Informationen (z. B. Kaufhistorie, Sonderangebote, Abonnementinformationen, Zahlungsverhalten);
    – Biometrische Informationen (z. B. DNA, Fingerabdrücke und Iris-Scans);
    – Standortdaten (z. B. Cell ID, Geolocation-Netzwerkdaten, Standort bei Gesprächsbeginn/-ende. Standortdaten aus der Nutzung von WLAN-Zugangspunkten);
    – Fotos, Video und Audio;
    – Internetaktivitäten (z. B. Browserverlauf, Suchverlauf, Lesen, Fernsehen, Radiohören);
    – Geräteidentifizierung (z. B. IMEI-Nummer, SIM-Kartennummer, MAC-Adresse);
    – Profiling (z. B. auf der Grundlage von beobachteten kriminellen oder asozialen Verhaltensweisen oder pseudonymen Profilen auf der Grundlage von besuchten URLs, Klickströmen, Browsing-Protokollen, IP-Adressen, Domänen, installierten Anwendungen oder Profilen auf der Grundlage von Marketingpräferenzen);
    – Personal- und Einstellungsdaten (z. B. Erklärung zum Beschäftigungsstatus, Einstellungsinformationen (wie Lebenslauf, Beschäftigungsgeschichte, Details zur Ausbildung), Job- und Positionsdaten, einschließlich Arbeitsstunden, Bewertungen und Gehalt, Details zur Arbeitserlaubnis, Verfügbarkeit,
  • Beschäftigungsbedingungen, Steuerdetails, Zahlungsdetails, Versicherungsdetails sowie Standort und Organisationen);
    – Bildungsdaten (z. B. Bildungsgeschichte, aktuelle Ausbildung, Noten und Ergebnisse, höchster erreichter Abschluss, Lernbehinderung);
    – Informationen zur Staatsangehörigkeit und zum Wohnsitz (z. B. Staatsangehörigkeit, Einbürgerungsstatus, Familienstand, Nationalität, Einwanderungsstatus, Passdaten, Einzelheiten zur Wohnsitz- oder Arbeitserlaubnis);
    – Informationen, die zur Erfüllung einer Aufgabe verarbeitet werden, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt ausgeführt wird;
    – Besondere Datenkategorien (z. B. rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person oder Daten über strafrechtliche Verurteilungen oder Straftaten); oder
    – alle anderen personenbezogenen Daten, die in Artikel 4 der DSGVO genannt werden.

Anmerkung: Durch die Änderung in der DPA und die Aufnahme, dass der Kunde dies veranlasst, könnten es theoretisch alle Daten sein. Man begrenzt dies in der TIA nicht nur genau auf die Daten, die zu Zwecken von Microsoft verarbeitet werden. 

Wichtig zu wissen ist, dass Microsoft Daten zu eigenen Zwecken nur pseudonymisiert überträgt und verwendet und Werte/Statistiken zu den Zwecken nur ohne personenbezogene Daten, also anonymisiert verwendet. Die Anonymisierung passiert aktuell noch in den USA. die Pseudonymisierung schon auf dem Rechner des Nutzers, in EU aber auch noch in US Rechenzentren. Mit dem EU Boundary Program wird dies in die EU verschoben.