Im Januar 2023 veröffentlichte Microsoft nach Kritik der deutschen Aufsichtsbehörden eine neue DPA. Diese wurde nun erneut überarbeitet, um die regulatorischen Anforderungen noch besser zu erfüllen und für die neue Situation auch mit AI angepasst zu sein. In diesem Blogpost schauen wir uns die Änderungen genau an.
Die neue DPA
Nach nun 11 Monaten gibt es eine neue DPA. Diese wurde nicht zu Beginn des Monates veröffentlicht, da nun alle Übersetzungen gemeinsam veröffentlicht wurden, dies liegt hier immer an der deutschen Übersetzung, dass es ca. 15 Tage dauert diese anzufertigen.
Änderungen der DPA
- 65 Änderungen insgesamt
Wir konzentrieren uns auf die wichtigsten Änderungen und wollen euch nicht alle 65 Änderungen zeigen. Hierfür ladet euch bitte die Vergleichsdatei runter.
Wo/Was? | Änderung | Neu oder verändert oder gelöscht |
Umfang | Anpassung des Umfangs | Jan
Die DPA-Bestimmungen gelten nicht für Produkte, die oder
Nov (fett- neu, durchgestrichten – entfernt) |
Anhang C | Anpassung des Namen |
Nov In Bezug auf die Verarbeitung personenbezogener Daten gemäß diesem Absatz übernimmt Microsoft die in „Anhang C – Nachtrag zu zusätzlichen Schutzmaßnahmen“ aufgeführten Verpflichtungen; für diese Zwecke (i) gilt jede Offenlegung personenbezogener Daten, wie in „Anhang C – Nachtrag zu zusätzlichen Schutzmaßnahmen“ beschrieben, durch Microsoft, die im Zusammenhang mit Geschäftstätigkeiten übertragen wurden, als „Relevante Offenlegung“ und (ii) finden die in „Anhang C – Nachtrag zu zusätzlichen Schutzmaßnahmen“ beschriebenen Verpflichtungen Anwendung auf diese personenbezogenen Daten. |
Gegenstand | Konkretisierung auf Datenverarbeitung | Nov
Der Gegenstand der Verarbeitung ist auf personenbezogene Daten innerhalb des Geltungsbereichs des Abschnitts dieses DPA mit dem Titel „Art der
|
Nov Microsoft verschlüsselt auch ruhende Kundendaten in Onlinediensten und ruhende Professional Services-Daten. Im Fall von Onlinediensten, in denen der Kunde oder ein Dritter, der im Namen des Kunden handelt, Anwendungen erstellen kann (z. B. bestimmte Azure-Dienste), kann die Verschlüsselung der in diesen Anwendungen gespeicherten Daten nach Ermessen des Kunden erfolgen, unter Verwendung von Funktionen, die von Microsoft |
||
Pflichten des Kunden | sprachliche Anpassung | Nov
Der Kunde ist |
Datenüermittlung | Super!
Das neue Abkommen ist nun in den Verträgen enthalten. |
Nov
Darüber hinaus ist Microsoft nach den EU-U.S. und Schweiz-U.S. Data Privacy Frameworks und den damit verbundenen Verpflichtungen zertifiziert. Microsoft verpflichtet sich, den Kunden zu benachrichtigen, falls Microsoft feststellt, dass es seiner Verpflichtung nicht mehr nachkommen kann, das gleiche Schutzniveau zu bieten, wie es nach den Grundsätzen der Data Privacy Frameworks erforderlich ist. |
Betroffene Personen | Nun haben wir eine abschließende Liste, da nun „den“ und nicht mehr einer den. sehr gut! |
Betroffene Personen: Betroffene Personen sind die Vertreter des Kunden und Endnutzer sowie Angestellte, Auftragnehmer, Mitarbeiter und Kunden des Kunden. Zu den betroffenen Personen können auch Personen gehören, die personenbezogene Daten an Nutzer der von Microsoft bereitgestellten Services übermitteln oder Kontakt zu solchen Nutzern aufnehmen möchten. Microsoft bestätigt, dass sich der Kunde je nach Nutzung der Produkte und Services dafür entscheiden kann, personenbezogene Daten von den folgenden Arten von betroffenen Personen in die personenbezogenen Daten aufzunehmen: |
Datenkategorien | Nun haben wir eine abschließende Liste, da nun „den“ und nicht mehr einer den. sehr gut! |
Kategorien von Daten: Die übermittelten personenbezogenen Daten, die in E-Mails, Dokumenten und anderen Daten in elektronischer Form im Rahmen der Produkte und Services enthalten sind. Microsoft bestätigt, dass der Kunde je nach Nutzung der Produkte und Services die Möglichkeit hat, personenbezogene Daten aus den folgenden Kategorien in die personenbezogenen Daten aufzunehmen:
|
Änderungsmitteilungen | sprachliche Konkretiserung | Nov
|
One comment
Comments are closed.