Das Data Protection Agreement (DPA) wurde von Microsoft im Rahmen von Schrems 1 und dem End von Privacy Shield erstellt und veröffentlicht. Es ergänzt als Anhang die Product Terms und reiht sich in die AGB ein. Nun hat Microsoft das dritte Update der DPA genau ein Jahr nach der Letzten und nach Schrems 2 und dem Hinzufügen Additional Safeguards und dem EU Boundary Program veröffentlicht.
In diese Variante werden von Datenschützern, Nutzern und Unternehmen viel Hoffnung gesetzt die Nutzung von Microsoft Cloud Werkzeugen und Angeboten mit geringerem Risiko nutzen zu können.
UPDATE
deutsche offizielle Version ist verfügbar: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA?lang=14
Vergleich der deutschen Version: Vergleich 2021 zu 2022 DPA offiziell
& Update des Vergleiches unten
Die neue Variante im Vergleich
| Variante 21.09.2021 | Variante 21.09.2022 | |
| Wörter | 14975 | 11100 |
| Seiten | 26 | 20 |
266 Änderungen im Dokument
Auffälligkeiten in der neuen Version
Microsoft hat einiges an der DPA getan, es gilt nun die wichtigen Inhalte rauszuarbeiten. Also betrachten wir die DPA einmal genauer.
I. Definitionen und Wegfall des Anhangs EU Modelclauss 2010.
In diesem Bereich sind die EU-Modelclauses von 2010 rausgefallen. Diese galten für UK und EWR und sind nun rausgefallen. Microsoft spricht nur noch von den EU-Modelclauses von 2021, also der aktuelleren Variante, die auch nur gültig ist. Diese sind auch aus dem Anhang der DPA verschwunden.
II. Neu Geschäftsbetrieb bei Vorfall
“Verarbeitung für den Geschäftsbetrieb Vorfall zur Bereitstellung der Produkte und Dienstleistungen für den Kunden
Für die Zwecke dieser DPA bezeichnet “Geschäftsbetrieb” die vom Kunden in diesem Abschnitt autorisierten Verarbeitungsvorgänge.
Der Kunde autorisiert Microsoft:
- (i.) aggregierte statistische, nicht personenbezogene Daten aus Daten zu erstellen, die pseudonymisierte Identifikatoren enthalten (z. B. Nutzungsprotokolle mit eindeutigen, pseudonymisierten Identifikatoren); und
- (ii.) um Statistiken in Bezug auf Kundendaten oder Professional Services-Daten zu berechnen
in jedem Fall ohne Zugriff auf oder Analyse des Inhalts von Kundendaten oder Professional Services-Daten und beschränkt auf die Erreichung der folgenden Zwecke, jeweils als Vorfall bei der Bereitstellung der Produkte und Dienstleistungen für den Kunden.
Diese Zwecke sind:
- Abrechnung und Kontoführung;
- Vergütungen wie die Berechnung von Mitarbeiterprovisionen und Partneranreizen;
- internes Reporting und Geschäftsmodellierung, wie Forecasting, Umsatz, Kapazitätsplanung und Produktstrategie; und
Bei der Verarbeitung für diese Geschäftsvorgänge wendet Microsoft die Grundsätze der Datenminimierung an und verwendet oder verarbeitet keine Kundendaten, Professional Services-Daten oder personenbezogenen Daten für: (a) Benutzerprofilerstellung, (b) Werbung oder ähnliche kommerzielle Zwecke oder (c) andere Zwecke, außer für die in diesem Abschnitt genannten Zwecke. Darüber hinaus unterliegt die Verarbeitung für den Geschäftsbetrieb wie bei allen Verarbeitungen im Rahmen dieser DPA den Vertraulichkeitsverpflichtungen und Verpflichtungen von Microsoft im Rahmen der Offenlegung verarbeiteter Daten.“
Diesem Absatz werden genau definiert, was bisher nur mit tieferen Einblicken in die Dokumentation klar wurde. Es werden nur die oben beschrieben Daten zu den oben angegeben Zwecken verarbeitet ohne Zugriff oder Analyse des Inhalts von Kundendaten selber. Microsoft schreibt deutlich, dass auf Kundendaten nicht zugegriffen wird. Dazu gehört auch
Vergleichsdokument der beiden Originaldokumente
III. Privacy Shield Hinweise
Diese Hinweise sind immer noch in der DPA und man verweist auf die Prinzipien.
IV. Offenlegung der Daten
“Microsoft wird verarbeitete Daten nur wie gesetzlich vorgeschrieben offenlegen oder zugänglich machen, vorausgesetzt, dass die Rechtsvorschriften und Gepflogenheiten den Wesensgehalt der Grundrechte und -freiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft erforderlich und verhältnismäßig sind, um gegebenenfalls eines der in Artikel 23 Absatz 1 der DSGVO aufgeführten Ziele sicherzustellen. Bei Erhalt einer sonstigen Anfrage von Dritten zur Offenlegung verarbeiteter Daten benachrichtigt Microsoft den Kunden unverzüglich, es sei denn, dies ist gesetzlich untersagt. Microsoft wird die Anfrage ablehnen, sofern nicht gesetzlich vorgeschrieben. Wenn die Anfrage zulässig ist, wird Microsoft versuchen, den Dritten zu verweisen, um die Daten direkt beim Kunden anzufordern.”
Kommentar: Konkretisierung der Offenlegung von Daten, die sich im Wortlaut zur Klarstellung geändert hat.
V. rechtmäßiger Geschäftsbetrieb
Es wurde der Geschäftsbetrieb, also die Verarbeitung von Microsoft zu eigenen Zwecken, zu denen der Kunde diese autorisiert hat, als rechtmäßig hinzugefügt.
VI. Update Datenübermittlung UK
Update der Datenübermittlung zu UK von EU Standardvertragsklauseln 2010 auf die IDTA.
VII. Update Unterauftragnehmer
30 Tage können neue Unterauftragnehmer vorher angekündigt werden.
Was müssen Unternehmen nun tun, um die neue DPA zu bekommen?
Unternehmen, Schulen und Universitäten haben verschiedene Lizenzverträge und beziehen die Microsoft Cloud Software über verschiedene Wege. Somit müssen auch verschiedene Wege gegangen werden, da die DPA in der Regel nicht automatisch erneuert werden.
“Microsoft geht die Verpflichtungen in dieser DPA gegenüber allen Kunden mit Volumenlizenzvereinbarungen ein. ”
| Lizenzvertrag / Bezug | Erneuerung |
| direkt Bezug | keine Möglichkeit, da keine Volumenlizenzvereinbarung |
| CSP / Cloud Solution Provider | Anforderung beim CSP |
| MCA / Microsoft Customer Agreement | Anforderung beim CSP |
| EA / Enterprise Agreement | a) Anforderung bei Microsoft b) Anforderung beim Vermittler / Microsoft Partner c) Zusatzvertrag: Es gelten immer die aktuellen AGB. Keine Anforderung nötig. |
| EDU / Rahmenvertrag | a) Anforderung bei Microsoft b) Anforderung beim Vermittler / Microsoft Partner c) Zusatzvertrag: Es gelten immer die aktuellen AGB. Keine Anforderung nötig. |
Kommentar zu den Änderungen
Die Änderungen und Anpassungen in der DPA sind auf den ersten Blick nicht so groß, wie es zu erwarten war oder besser gehofft wurde. Es wurden einige Erweiterungen und Erläuterungen gemacht, die EU Standardvertragsklauseln von 2010 entfernt und sonst keinerlei größere Änderungen durchgeführt. Ich werde mir einen zweiten Blick weitere Änderungen suchen und Wort für Wort vergleichen.
Neuer Blogpost am Wochenende ab 17.09.2022 DPA und die AVV Checkliste des Berliner Landesdatenschutzes [LINK]