Ein neues Jahr bedeutet auch ein neuer Monat und dies oft neue AGB bei Microsoft und damit neue Bestimmungen und Vereinbarungen, die einzuhalten sind. In diesem Blogpost betrachte ich diese und zeige Neuerungen auf:
Geändert wurden
- DPA (nur in Englisch 1.1.2023)
- Produktterms (PT, 1.1.2023)
Damit haben wir den Stand
| AGB | Datum | Link |
| SLA | Dezember 2022 | Service Level Agreement for Microsoft Online Services (WW) |
| PT | Januar 2023 | Microsoft Product Terms |
| DPA | Januar 2023 | Licensing Documents (microsoft.com) |
| Services Provider Use Rights (SPUR) | Oktober 2021 | Licensing Documents (microsoft.com) |
NEU 31.01.2023
Nun sind die DPA auch in deutscher Sprache verfügbar.
Download unter: aka.ms/dpa
Neue Produktterms
Die neuen PT sind aktuell nur in englisch verfügbar.
Hier gibt es ein Vergleichsdokument von mir:
Änderung 1:
Dies bedeutet, dass nun alle Verträge die DPA zugeordnet werden können und nicht nur Volumenlizensing Verträge für Enterprise Unternehmen. Diese Änderung geht durch die gesamte DPA an allen Stellen.
Damit löst sich die Frage, ob die DPA nun für alle Azure und M365 Verträge gilt oder nicht. -> Ja, es gilt für alle.
Änderung 2
Diese längst überfällige Änderung erweitert die DPA um die Sektion der Daten der Telefonie/Kommunikation.
Hier kommt der Abschnitt neu zwischen HIPAA und California Consumer Privacy Act:
“Telekommunikationsdaten
Soweit Microsoft bei der Bereitstellung von Produkten und Diensten, die nach geltendem Recht als Telekommunikationsdienste gelten, Datenverkehr, Inhalte und andere personenbezogene Daten verarbeitet, können besondere gesetzliche Verpflichtungen gelten. Microsoft wird alle telekommunikationsspezifischen Gesetze und Vorschriften einhalten, die für die Bereitstellung der Produkte und Dienste gelten, einschließlich der Benachrichtigung über Sicherheitsverletzungen, der Datenschutzanforderungen und des Fernmeldegeheimnisses.”
Hiermit kommt nun der Punkt der Telekommunikationsdaten in die DPA und die Verpflichtung der Einhaltung dieser. Darunter fallen nicht nur für den Kunden positive Pflichten, sondern auch Pflichten, wie die Schaffung von Zugängen für Sicherheitsbehörden.
Einhaltung
-> Datenschutzregelungen und -gesetze und -verordnungen
-> Telekommunikationsgesetz
Änderung 3
“Microsoft setzt die in Anhang II der Standardvertragsklauseln von 2021 festgelegten Sicherheitsmaßnahmen zum Schutz personenbezogener Daten im Geltungsbereich der Datenschutz-Grundverordnung um und hält sie ein.”
Diese Ergänzung verfestigt nun vertraglich die Einhaltung der Standardvertragsklauseln und deren TOMs. Eine Nichteinhaltung würde nun auch eine deutliche Verletzung der DPA zur Folge haben. Es ist aber schon vorher eine Verletzung gewesen, es dient hier nur der Verdeutlichung.
Änderung 4: Update EU Boundary
“Bei Onlinediensten mit EU-Datengrenze speichert und verarbeitet Microsoft die Kundendaten innerhalb der Europäischen Union, wie in den Produktbedingungen dargelegt.”
Dies bedeutet, dass das EU Boundary Program nun konkret Einzug in die DPA hält und verdeutlicht, dass Transit und AtRest Daten nun innerhalb von Europa verarbeitet werden.
Änderung 5: Hinzufügen unter Attachment 1: European Union General Data Protection Regulation Terms
Dieser Absatz wurde neu hinzugefügt.
“Microsoft unterstützt die Rechenschaftspflichten des Kunden durch diese DPA und die dem Kunden zur Verfügung gestellte Produktdokumentation und wird dies auch weiterhin während der Laufzeit des Abonnements des Kunden oder des entsprechenden Professional Services-Auftrags gemäß Unterabschnitt 3(h) unten tun. (Artikel 5(2))”
Dieser Absatz kann auf die Festlegung der DSK zurückgeführt werden. Hier bestätigt Microsoft die Rechenschaftspflicht der Kunden mitzuerfüllen und diese dahin zu unterstützen.
NEU EU Data Boundary Services
“The term “EU Data Boundary” means the Microsoft computers, computing environment, and physical data centers located solely in the European Union (EU) and the European Free Trade Association (EFTA). The term “EU Data Boundary Services” applies only to the Online Services in the table below, excluding any Previews.
Inkludierte Dienste:
| Microsoft 365 | Cortana, Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (on SharePoint), Microsoft Teams, Microsoft To-Do, Office for the web, Online Services provided as part of Microsoft 365 Apps, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Yammer Enterprise, Communications Compliance, eDiscovery and Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Sales, and Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Power Virtual Agents |
Use of EU Data Boundary Services may result in limited transfers of Customer Data outside the EU Data Boundary, as set forth below and further detailed in transparency documentation for the EU Data Boundary located at https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn or successor location. Any such transfers will be conducted in accordance with the Data Protection Addendum and the Product Terms.
- Remote Access. Microsoft personnel located outside the EU Data Boundary may remotely access data processing systems in the EU Data Boundary as necessary to operate, troubleshoot, and secure the EU Data Boundary Services.
- Customer-Initiated Transfers. Customers may initiate transfers outside the EU Data Boundary, such as by accessing EU Data Boundary Services from locations outside the EU Data Boundary, sending an email to a recipient located outside the EU Data Boundary, or use of EU Data Boundary Services in combination with other services not in the EU Data Boundary.
- Protecting Customers. Microsoft transfers limited data outside of the EU Data Boundary as necessary to detect and protect Customers against security threats.
- Directory Data. Microsoft may replicate limited directory data from Azure Active Directory (including username and email address) outside the EU Data Boundary to provide the service.
- Network Transit. To reduce routing latency and to maintain routing resiliency, Microsoft uses variable network paths that may occasionally result in transit of data outside the EU Data Boundary.
- Service-Specific Transfers. See transparency documentation referenced above for information about transfers applicable to specific EU Data Boundary Services.”
Interessant sind hier die folgenden Punkte:
- Produkte: Yammer Enterprise und Sway sind bisher nie genannt worden und auch meiner direkten Informationen von der jeweiligen Produktgruppe, werden diese Produkte nicht umgezogen. Ich frage hier nochmal genau nach.
- Azure Active Directory: Diese wird innerhalb der Region verarbeitet, aber man kann diese auch außerhalb der Region synchronisieren, wenn bestimmte Produkte und Dienste eingesetzt werden oder an die AAD gebunden, z.B. über Unternehmenanwendungen oder z.B. Teams Telefonie oder MFA per SMS )
Neue DPA
DAP Abruf immer unter: aka.ms/DPA
direkter Abruf:
MicrosoftProductandServicesDPA(WW)(English)(Jan2023)(CR).docx (live.com)
Übersetzung der DPA (per deepl) kann abgerufen werden unter: