Die lange erwartete neue Version des Microsoft Data Protection Agreement (DPA) ist nun in englischer Sprache abrufbar. Die deutsche Version wird in der Regel 6-10 Tage später veröffentlicht, da Microsoft CELA auch in Deutschland hier einmal die Übersetzung prüfen muss. Daher schauen wir einmal in die englische Version der DPA.
Neue DPA Februar 2025
Screenshot des neuen Headers des Dokumentes
Kernzahlen
| Änderungen | 409 |
| Layout | Anpassung |
| Stand | Februar 2025 |
| Sprache | English |
Erwartungen
Es sind ganz klar die Erwartungen, dass die DPA weitere Ergänzungen der Wünsche der DSK beinhaltet und auch die Änderungen aus den Verhandlungen mit dem LDSB Niedersachsen, der Arbeitsagentur und der Rentenversicherung hier schon Einfluss erhält. Dies zum Beispiel bei genauerer Betrachtung in den TOMs, der Weisungsbefugnis durch den Auftraggeber und der Datenhaltung (DSK – Nov 2022).
Änderungen
- Es gibt zunächst viele Anpassungen im Layout, Schriftgrößen und Darstellung der DPA.
- EU Boundary
2.1 Dazu einmal unter Location of Customer Data wird ein „und/and“ eingefügt zu Kundendaten und Personal Data innerhalb der EU.
2.2 Microsoft Produkt and Service Data Protection Terms => ruhende Daten / Data At Rest innerhalb der EU.
// Dies steht schon seit Februar in den Produktterms.
Einmal schematisch aufgebaut:
| Verhandlungen Land Niedersachsen, Arbeitsagentur und Rentenversicherung | Änderung eines Zusatzvertrages
keine DPA Änderung |
| DORA | Zusatzvertrag aus Oktober 24
keine DPA Änderung |
| NIS 2 | Zertifizierungen Update (Service Trust Center)
keine DPA Änderung |
| DSK Kritik | keine DPA Änderung zu Januar 2024 |
| EU Boundary | PT und DPA Februar bestätigt vertraglich auch diese Verarbeitung in Europa. Dennoch ist der letzte Teil des EU Boundary Programmes in Bezug auf den Support noch nicht abgeschlossen. |
Feedback und Kritik
Im Rahmen der Veröffentlichung der neuen DPA wurde die Erwartung jedenfalls in dieser Änderung nicht erfüllt. Es heißt Feedback an Microsoft geben und auf die nächste Anpassung drängen. Es ist natürlich auch zu verstehen, dass die DPA zentral und weltweit gilt und so nicht alles so schnell umgesetzt wird, daher auch die aktuellen Anpassungen durch Zusatzverträge.
Streng genommen hätte man hier kein Update veröffentlichen müssen, da dieses keinen relevanten Inhalt hat und Inhalt der nicht auch schon in den PT bereits steht. Es ist damit ein Angleichen an den aktuellen Stand im EU Boudary Programm.
Dokumente zum Abruf
1. aka.ms/DPA (Download des Originals)
2. MicrosoftProductandServicesDPA(WW)(Deutsch per Deepl)(Feb2025)(CR)
3. Vergleich DPA Jan 24 vs Feb 25 oder Vergleich DPA Jan 24 vs Feb 25 2