Nun zum 01. September 2025 kommt eine neuer DPA Anhang zu den AGB und ersetzt die Version aus April 2025. Zunächst handelt es sich um die englische Version. Die deutsche Version dauert immer bis ca. 15. September 2025, da diese übersetzt und von CELA geprüft werden muss.
Versionen
| 01.09.2025 | Version 1 |
| 15.09.025 | Version 2
Update DE Version der DPA verfügbar |
Neue DPA
Änderungen laut Dokument zum 01. September 2025
„09/01/2025 –Added European Free Trade Association (EFTA) to locations where Microsoft will store and process Customer Data, Personal Data, and store Professional Services Data at rest for EU Data Boundary Services. Added language to Telecommunication Data about Customer obligations to obtain end user consent. Added language regarding the EU Data Act. Added language in Appendix D regarding Microsoft’s EU Digital Resilience Commitment.“
Übersetzung
„01.09.2025 – Die Europäische Freihandelsassoziation (EFTA) wurde zu den Standorten hinzugefügt, an denen Microsoft Kundendaten, personenbezogene Daten und Professional Services-Daten für EU-Datengrenzdienste speichert und verarbeitet. Die Telekommunikationsdaten wurden um einen Hinweis auf die Verpflichtung des Kunden ergänzt, die Zustimmung des Endbenutzers einzuholen. Es wurde ein Hinweis zum EU-Datenschutzgesetz hinzugefügt. In Anhang D wurde ein Hinweis zur EU-Verpflichtung von Microsoft zur digitalen Resilienz hinzugefügt.“
Änderungen im Detail
Übersetzungen mit Deepl Enterprise / Pro
Neu in den Begriffen
„EU-Kunde“ bezeichnet einen Kunden mit einer Rechnungsadresse im Europäischen Wirtschaftsraum („EWR“).
„EU-Datengesetz“ bezeichnet die Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für den fairen Zugang zu und die Nutzung von Daten und zur Änderung der Verordnung (EU) 2020/1828 (Datengesetz).
„EU-Datenschutzgesetz-Dienst“ bezeichnet einen Online-Dienst, für den ein EU-Kunde eine Lizenz erworben hat, mit Ausnahme eines Online-Dienstes, für den der EU-Kunde sich dafür entschieden hat, Kundendaten außerhalb des EWR zu speichern.
„Exportierbare Daten und digitale Assets“ (EDDA) bezeichnet Kundendaten. Zur Klarstellung: EDDA umfasst keine Geschäftsgeheimnisse oder geistiges Eigentum von Microsoft sowie keine Daten, die die Sicherheit oder Integrität der Online-Dienste gefährden könnten.
Geändert in den Begriffen
„GDPR Terms” means the terms in Attachment 1, under which Microsoft makes binding commitments regarding its processing of Personal Data as required by Article 28 of the GDPR.“
„DSGVO-Bedingungen“ bezeichnet die Bedingungen in Anhang 1, unter denen Microsoft verbindliche Verpflichtungen hinsichtlich der Verarbeitung personenbezogener Daten gemäß Artikel 28 der DSGVO eingeht.“
Neu in den Begriffen
“Switching” means an EU Customer’s one-time transfer of EDDA out of an EU Data Act Service to a non-Microsoft cloud service provider identified by the EU Customer and whose information EU Customer provides to Microsoft, or to the EU Customer’s on-premises ICT environment, when the EU Customer is terminating their subscription and ending their use of the EU Data Act Service.
„Wechsel“ bezeichnet die einmalige Übertragung von EDDA durch einen EU-Kunden aus einem EU-Datenschutzgesetz-Dienst zu einem vom EU-Kunden identifizierten Cloud-Dienstanbieter, der nicht zu Microsoft gehört und dessen Informationen der EU-Kunde Microsoft zur Verfügung stellt, oder zur lokalen IKT-Umgebung des EU-Kunden, wenn der EU-Kunde sein Abonnement kündigt und die Nutzung des EU-Datenschutzgesetz-Dienstes beendet.
EDDA -> Siehe oben unter Begriffe.
Hinzugefügt bei Location of Customer data
(fett markiert ist hinzugekommen und „online“ wurde entfernt.
For EU Data Boundary Services, Microsoft will store and process Customer Data, Personal Data, and store Professional Services Data at rest within the European Union and the European Free Trade Association (EFTA) as set forth in the Product Terms.
Für EU Data Boundary Online Services speichert und verarbeitet Microsoft Kundendaten, personenbezogene Daten und speichert Professional Services-Daten gemäß den Produktbedingungen innerhalb der Europäischen Union und der Europäischen Freihandelsassoziation (EFTA).
Neu EU Data Act
Switching is permitted at any time at no additional cost beyond the fees and other amounts otherwise due pursuant to EU Customer’s agreement. EU Customer may access, export, and delete EDDA at any time, including accessing and exporting EDDA up to 90 days after subscription termination, as set forth in the Data Retention and Deletion provision. EU Customer decides when to start exporting EDDA and on what timeline. More than 30 days may be required for actual extraction and export of EDDA by EU Customer depending on the customer’s specific configuration, quantity of data, the Switching destination, and other circumstances outside of Microsoft’s control. EU Customer should complete Switching prior to termination of the EU Data Act Service, which EU Customer may do with 60 days’ notice to Microsoft and payment of any amount still owed pursuant to EU Customer’s agreement. Microsoft will provide reasonable assistance for Switching and will act with due care as set forth in the Data Security and other sections of the DPA and under Customer’s agreement in providing the EU Data Act Services during Switching and in parallel use. An EU Customer may obtain a reduction in data egress fees associated with Switching and in parallel use as provided under the law. These EU Data Act terms do not apply to Previews.
Supporting materials on data export and methods and information related to Microsoft ICT infrastructure used to provide EU Data Act Services and how Microsoft responds to government data access requests can be found in the Product Terms.
EU- Data Act
Ein Wechsel ist jederzeit ohne zusätzliche Kosten über die Gebühren und sonstigen Beträge hinaus, die gemäß der Vereinbarung mit dem EU-Kunden fällig sind, zulässig. Der EU-Kunde kann jederzeit auf EDDA zugreifen, diese exportieren und löschen, einschließlich des Zugriffs auf und des Exports von EDDA bis zu 90 Tage nach Beendigung des Abonnements, wie in der Bestimmung zur Datenaufbewahrung und -löschung festgelegt. Der EU-Kunde entscheidet, wann er mit dem Export von EDDA beginnt und in welchem Zeitrahmen dies geschieht. Je nach der spezifischen Konfiguration des Kunden, der Datenmenge, dem Zielort des Wechsels und anderen Umständen, die außerhalb der Kontrolle von Microsoft liegen, kann die tatsächliche Extraktion und der Export von EDDA durch den EU-Kunden mehr als 30 Tage dauern. Der EU-Kunde sollte den Wechsel vor Beendigung des EU-Datenschutzgesetzes-Dienstes abschließen, was er mit einer Frist von 60 Tagen gegenüber Microsoft und der Zahlung aller gemäß der Vereinbarung des EU-Kunden noch ausstehenden Beträge tun kann. Microsoft leistet angemessene Unterstützung bei der Umstellung und handelt mit der gebotenen Sorgfalt, wie in den Abschnitten „Datensicherheit” und anderen Abschnitten der DPA sowie gemäß der Vereinbarung des Kunden zur Bereitstellung der EU-Datenschutzdienstleistungen während der Umstellung und der parallelen Nutzung festgelegt. Ein EU-Kunde kann eine Ermäßigung der mit der Umstellung und der parallelen Nutzung verbundenen Datenausgangsgebühren gemäß den gesetzlichen Bestimmungen erhalten. Diese EU-Datenschutzbestimmungen gelten nicht für Previews.
Unterstützende Materialien zum Datenexport und zu Methoden und Informationen im Zusammenhang mit der Microsoft-ICT-Infrastruktur, die zur Bereitstellung von EU-Datenschutzdienstleistungen verwendet wird, sowie dazu, wie Microsoft auf Datenzugriffsanfragen von Behörden reagiert, finden Sie in den Produktbedingungen.
Neu hinzugefügt (fett)
To the extent Microsoft is processing traffic, content and other Personal Data in the provision of Products and Services that qualify as telecommunication services under applicable law, specific statutory obligations may apply. Microsoft will comply with all telecommunication specific laws and regulations applicable to its providing the Products and Services, including security breach notification, Data Protection Requirements, and telecommunication secrecy. Customer is responsible for obtaining any appropriate consent from end users in connection with use of Products and Services that qualify as telecommunication services.
Telekommunikationsdaten
Soweit Microsoft im Rahmen der Bereitstellung von Produkten und Diensten, die nach geltendem Recht als Telekommunikationsdienste gelten, Datenverkehr, Inhalte und andere personenbezogene Daten verarbeitet, können bestimmte gesetzliche Verpflichtungen gelten. Microsoft hält alle für die Bereitstellung der Produkte und Dienste geltenden telekommunikationsspezifischen Gesetze und Vorschriften ein, einschließlich der Meldepflicht bei Sicherheitsverletzungen, Datenschutzanforderungen und Telekommunikationsgeheimnis. Der Kunde ist dafür verantwortlich, alle erforderlichen Einwilligungen von Endbenutzern im Zusammenhang mit der Nutzung von Produkten und Diensten einzuholen, die als Telekommunikationsdienste gelten.
Neu Appendix D
Appendix D – Challenges to Order or Binding Legal Obligation Suspending Online Services
By this Appendix, Microsoft provides the following commitments to National, Federal, and Regional Government Customer entities of the European Union (“EU”) Member States, as well as EU accession countries, members of the European Free Trade Association, the United Kingdom, Monaco, the Vatican, and the European Commission (“Protected Government Customer”).
- In the event that Microsoft receives an order or is otherwise subject to a binding legal obligation from any government, agency, commission, or quasi-governmental body requiring Microsoft to suspend or cease the provision, in whole or in part, of Online Services (including, but not limited to, the provision of Microsoft Azure Services, Microsoft Dynamics 365 Services, or Office 365 Services) to the Protected Government Customer – Microsoft, on behalf of itself and its Affiliates, shall:
- use available means to secure the voluntary withdrawal, revocation, or rescission of such order; and
- use all lawful efforts to challenge the order in the courts of the country whose government issued the order on the basis of any legal deficiencies under the laws of the ordering party or any relevant conflicts with applicable law of the European Union or applicable law of the countries listed above.
Microsoft will seek permanent and interim injunctive relief if needed to ensure the continuous and uninterrupted provision of the relevant Online Services pending the full and final adjudication of lawful efforts to challenge the order or other binding legal obligation referred to above.
- Rights granted to Customer under this provision are personal to the Protected Government Customer and may not be assigned.
Anhang D – Anfechtung von Anordnungen oder verbindlichen rechtlichen Verpflichtungen zur Aussetzung von Onlinediensten
Mit diesem Anhang gibt Microsoft gegenüber nationalen, föderalen und regionalen Regierungskunden in den Mitgliedstaaten der Europäischen Union („EU“) sowie in EU-Beitrittsländern, Mitgliedern der Europäischen Freihandelsassoziation, dem Vereinigten Königreich, Monaco, dem Vatikan und der Europäischen Kommission („geschützte Regierungskunden“) die folgenden Zusagen.
- Falls Microsoft eine Anordnung erhält oder anderweitig einer verbindlichen rechtlichen Verpflichtung seitens einer Regierung, Behörde, Kommission oder quasi-staatlichen Einrichtung unterliegt, die Microsoft dazu verpflichtet, die Bereitstellung von Online-Diensten (einschließlich, aber nicht beschränkt auf die Bereitstellung von Microsoft Azure-Diensten, Microsoft Dynamics 365-Diensten oder Office 365-Diensten) für den geschützten Regierungskunden ganz oder teilweise auszusetzen oder einzustellen – Microsoft wird in seinem eigenen Namen und im Namen seiner verbundenen Unternehmen:
- alle verfügbaren Mittel einsetzen, um die freiwillige Rücknahme, Aufhebung oder Aufhebung einer solchen Anordnung zu erreichen; und
- alle rechtmäßigen Anstrengungen unternehmen, um die Anordnung vor den Gerichten des Landes, dessen Regierung die Anordnung erlassen hat, auf der Grundlage von Rechtsmängeln nach dem Recht der anordnenden Partei oder von relevanten Konflikten mit dem geltenden Recht der Europäischen Union oder dem geltenden Recht der oben genannten Länder anzufechten.
Microsoft wird gegebenenfalls eine dauerhafte und einstweilige Unterlassungsverfügung beantragen, um die kontinuierliche und ununterbrochene Bereitstellung der relevanten Online-Dienste sicherzustellen, bis die rechtmäßigen Bemühungen zur Anfechtung der Anordnung oder anderer oben genannter verbindlicher rechtlicher Verpflichtungen vollständig und endgültig entschieden sind.
- Die dem Kunden gemäß dieser Bestimmung gewährten Rechte sind persönlich für den geschützten Regierungskunden und können nicht abgetreten werden.
Kommentar
Microsoft hat im Gegensatz zu April 2025 in der heutigen September Update der DPA massivere Änderungen vorgenommen. So wurde neben dem neuen Begriffen und Definitionen zu EU Kunden, der EU Data Act eingebaut und auch Anpassungen zu Regierungskunden. Ob es sich schon zu den Anpassungen für das Land Niedersachsen oder der EU Kommission handelt, kann ich leider nicht abschließend bewerten. Dies muss ich genauer prüfen und habe bei Microsoft schon eine Rückfrage gestellt.
Bewertung
| Änderung | Bedeutung | Anmerkung |
| Begriffsanpassungen wie EU-Kunde | EU Kunden sind alle Kunden mit Rechnungsadressen im EWR. | Es stellt eine Klarstellung und damit Erweiterung auf den EWR Raum da. Es bedeutet aber auch eine Trennung von Regelungen in der DPA zwischen EU-Kunden und allen anderen. Es gelten nicht mehr alle Regelungen für alle Kunden weltweit. |
| EDDA | „„Exportierbare Daten und digitale Assets“ (EDDA) bezeichnet Kundendaten. Zur Klarstellung: EDDA umfasst keine Geschäftsgeheimnisse oder geistiges Eigentum von Microsoft sowie keine Daten, die die Sicherheit oder Integrität der Online-Dienste gefährden könnten.“ | Neue Datenklasse in Bezug auf den Data Act |
| “Switching” means an EU Customer’s one-time transfer of EDDA | Datentransfer der EDDA Daten durch den EU Kunden | Neu in den Begriffen der DPA und dies im Data Act. Es gilt nicht für Kunden außerhalb der EU. |
|
Location of Customer data |
„Für EU Data Boundary |
Erweiterungen: b) EFTA Erweiterung/Klarstellung |
|
EU Data Act |
Auszug: – Einarbeitung des EU Data Acts wichtige Beispiele
|
Es war wichtig, dass der EU Data Act eingebaut und Microsoft dieses auch in der DPA, also in der AGB umgesetzt hat. Die ersten Probleme tragen mit dem OneDrive Zwang auf und wurden aus diesem Grund auch beendet. |
|
Telekommunikationsdaten |
Klarstellung „Der Kunde ist dafür verantwortlich, alle erforderlichen Einwilligungen von Endbenutzern im Zusammenhang mit der Nutzung von Produkten und Diensten einzuholen, die als Telekommunikationsdienste gelten.“ |
Klarstellung und Verschiebung auf Microsoft |
|
Anhang D – Anfechtung von Anordnungen oder verbindlichen rechtlichen Verpflichtungen zur Aussetzung von Onlinediensten |
Verpflichtungen für die Aussetzung von Onlinediensten
Microsoft geht gegen z.B. Einstellungsanweisungen vor und schöpft alle Möglichkeiten aus. |
Achtung: Keine Unternehmen, Microsoft begrenzt auf
„nationalen, föderalen und regionalen Regierungskunden in den Mitgliedstaaten der Europäischen“ EDU: Hinweis staatliche Hochschulen können darunter fallen |
Quelle:
Deutsche Variante an 15.09.2025 verfügbar: Licensing Documents
Änderungen
| Datum | DPA | Änderungen |
| 01. September 2025 | Neu | siehe oben |
| 01. April 2025 | Neu | LINK |
deutsche Version mit Deepl übersetzt
MicrosoftProductandServicesDPA(WW)(English)(September2025)(CR) de
// eignet sich nicht für einen Vergleich zur DE Version aus April 2025 siehe:
massive Änderungen in der Einleitung und erstem Teil der DPA Auszug?
// Achtung es kommt von Deepl Übersetzung, deshalb nicht beachten.
Deshalb müssen wir die englische Version nehmen. Ich habe dennoch oben für euch die Übersetzungen darunter geschrieben.