Eine neue DPA – Data Protection Agreement ist öffentlich – November 2023

Im Januar 2023 veröffentlichte Microsoft nach Kritik der deutschen Aufsichtsbehörden eine neue DPA. Diese wurde nun erneut überarbeitet, um die regulatorischen Anforderungen noch besser zu erfüllen und für die neue Situation auch mit AI angepasst zu sein. In diesem Blogpost schauen wir uns die Änderungen genau an.

Die neue DPA

Nach nun 11 Monaten gibt es eine neue DPA. Diese wurde nicht zu Beginn des Monates veröffentlicht, da nun alle Übersetzungen gemeinsam veröffentlicht wurden, dies liegt hier immer an der deutschen Übersetzung, dass es ca. 15 Tage dauert diese anzufertigen.

 

Änderungen der DPA

  • 65 Änderungen insgesamt

Wir konzentrieren uns auf die wichtigsten Änderungen und wollen euch nicht alle 65 Änderungen zeigen. Hierfür ladet euch bitte die Vergleichsdatei runter.

Wo/Was? Änderung Neu oder verändert oder gelöscht
Umfang Anpassung des Umfangs Jan

Die DPA-Bestimmungen gelten nicht für Produkte, die oder soweit sie in den Produktbestimmungen ausdrücklich als ausgeschlossen gekennzeichnet werden, die den Datenschutz- und Sicherheitsbestimmungen in den jeweiligen produktspezifischen Bedingungen unterliegen.

 

Nov
Die DPA-Bestimmungen gelten nicht für Produkte oder Professional Services, die ausdrücklich als ausgeschlossen gekennzeichnet sind, oder in dem Maße, in dem sie in den Produktbestimmungen oder im jeweiligen Arbeitsauftrag als ausgeschlossen gekennzeichnet sind; für sie gelten die Datenschutz- und Sicherheitsbedingungen in den jeweiligen Bestimmungen für die Produkte bzw. den Arbeitsauftrag.

(fett- neu, durchgestrichten – entfernt)
Anhang C Anpassung des Namen  

Nov

In Bezug auf die Verarbeitung personenbezogener Daten gemäß diesem Absatz übernimmt Microsoft die in „Anhang C – Nachtrag zu zusätzlichen Schutzmaßnahmen“ aufgeführten Verpflichtungen; für diese Zwecke (i) gilt jede Offenlegung personenbezogener Daten, wie in „Anhang C – Nachtrag zu zusätzlichen Schutzmaßnahmen“ beschrieben, durch Microsoft, die im Zusammenhang mit Geschäftstätigkeiten übertragen wurden, als „Relevante Offenlegung“ und (ii) finden die in „Anhang C – Nachtrag zu zusätzlichen Schutzmaßnahmen“ beschriebenen Verpflichtungen Anwendung auf diese personenbezogenen Daten.
Gegenstand Konkretisierung auf Datenverarbeitung Nov

Der Gegenstand der Verarbeitung ist auf personenbezogene Daten innerhalb des Geltungsbereichs des Abschnitts dieses DPA mit dem Titel „Art der Verarbeitung Datenverarbeitung; Eigentumsverhältnisse“ weiter oben sowie der DSGVO eingeschränkt.

 
 

Nov

Microsoft verschlüsselt auch ruhende Kundendaten in Onlinediensten und ruhende Professional Services-Daten. Im Fall von Onlinediensten, in denen der Kunde oder ein Dritter, der im Namen des Kunden handelt, Anwendungen erstellen kann (z. B. bestimmte Azure-Dienste), kann die Verschlüsselung der in diesen Anwendungen gespeicherten Daten nach Ermessen des Kunden erfolgen, unter Verwendung von Funktionen, die von Microsoft bereitstellt bereitgestellt werden oder die der Kunden von Dritten erlangt.
Pflichten des Kunden sprachliche Anpassung Nov

Der Kunde ist alleine allein für eine unabhängige Beurteilung verantwortlich, ob die technischen und organisatorischen Maßnahmen für die Produkte und Services den Anforderungen des Kunden entsprechen, einschließlich seiner Sicherheitsverpflichtungen gemäß geltenden Datenschutzvorschriften. Der Kunde bestätigt und erklärt, dass (unter Berücksichtigung des Stands der Technik, der Einführungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung seiner personenbezogenen Daten sowie der Risiken für Einzelpersonen) die von Microsoft eingeführten und unterhaltenen Sicherheitsverfahren und Sicherheitsrichtlinien ein Sicherheitsniveau bieten, das dem Risiko in Bezug auf seine personenbezogenen Daten angemessen ist. Der Kunde ist verantwortlich für Implementierung und Aufrechterhaltung von Datenschutzvorrichtungen und Sicherheitsmaßnahmen für Komponenten, die der Kunde zur Verfügung stellt oder kontrolliert (z. B. Geräte, die bei Microsoft Intune oder im virtuellen Computer eines Microsoft-Azure-Kunden oder in einer Anwendung registriert sind).
Datenüermittlung Super!

Das neue Abkommen ist nun in den Verträgen enthalten.

 Nov

Darüber hinaus ist Microsoft nach den EU-U.S. und Schweiz-U.S. Data Privacy Frameworks und den damit verbundenen Verpflichtungen zertifiziert.  Microsoft verpflichtet sich, den Kunden zu benachrichtigen, falls Microsoft feststellt, dass es seiner Verpflichtung nicht mehr nachkommen kann, das gleiche Schutzniveau zu bieten, wie es nach den Grundsätzen der Data Privacy Frameworks erforderlich ist.
Betroffene Personen Nun haben wir eine abschließende Liste, da nun “den” und nicht mehr einer den.
sehr gut!		 Betroffene Personen: Betroffene Personen sind die Vertreter des Kunden und Endnutzer sowie Angestellte, Auftragnehmer, Mitarbeiter und Kunden des Kunden. Zu den betroffenen Personen können auch Personen gehören, die personenbezogene Daten an Nutzer der von Microsoft bereitgestellten Services übermitteln oder Kontakt zu solchen Nutzern aufnehmen möchten. Microsoft bestätigt, dass sich der Kunde je nach Nutzung der Produkte und Services dafür entscheiden kann, personenbezogene Daten von den folgenden Arten von betroffenen Personen in die personenbezogenen Daten aufzunehmen:
Datenkategorien Nun haben wir eine abschließende Liste, da nun “den” und nicht mehr einer den.
sehr gut!		 Kategorien von Daten: Die übermittelten personenbezogenen Daten, die in E-Mails, Dokumenten und anderen Daten in elektronischer Form im Rahmen der Produkte und Services enthalten sind. Microsoft bestätigt, dass der Kunde je nach Nutzung der Produkte und Services die Möglichkeit hat, personenbezogene Daten aus den folgenden Kategorien in die personenbezogenen Daten aufzunehmen:

 
Änderungsmitteilungen sprachliche Konkretiserung Nov

  1. Änderungsmitteilung. Microsoft stimmt zu und gewährleistet, dass Microsoft keinen Grund zu der Annahme hat, dass die für Microsoft oder seine Unterauftragsverarbeiter geltenden Rechtsvorschriften, einschließlich in jedem Land, in das Microsoft oder seine Unterauftragsverarbeiter personenbezogene Daten übermitteln, es daran hindern, die vom Kunden erhaltenen Weisungen und seine Verpflichtungen aus dieser Ergänzung oder aus den Standardvertragsklauseln 2021 zu erfüllen, und dass Microsoft im Fall einer Änderung dieser Rechtsvorschriften, die wahrscheinlich erhebliche nachteilige Auswirkungen auf die in dieser Ergänzung oder in den Standardvertragsklauseln vorgesehenen Zusicherungen und Verpflichtungen haben werden, den Kunden unverzüglich über die Änderung informieren wird, sobald diese Microsoft bekannt ist; in diesem Fall ist der Kunde berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen.

 

 

 

Download

Download DPA November 2023 in Deutsch

https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

Download der Word Vergleichsdatei

Vergleich DPA von Jan 2023 zu Nov 2023