Zu Beginn des Jahres 2023 hat Microsoft ein neues Product-and-Services-Data-Protection-Addendum (DPA) veröffentlicht. Damit soll effektiv auf die Kritik der Datenschutzaufsichtsbehörden reagiert werden. Mit diesem DPA soll es den Nutzern von Microsoft 365 erleichtert werden, ihre Konformität mit dem Datenschutzrecht nachzuweisen.
Das DPA regelt die Verarbeitung personenbezogener Daten zwischen dem Unternehmen Microsoft und den Nutzern. Dabei dient es mitunter als Auftragsverarbeitungsvertrag gemäß der Datenschutz-Grundverordnung (DSGVO). Das DPA wurde von den Datenschutzaufsichtsbehörden mehrfach kritisiert. Zuletzt stellte die Datenschutzkonferenz (DSK) fest, dass Verantwortliche mithilfe des alten DPA nicht nachweisen konnten, dass sie bei der Nutzung von Microsoft 365 die datenschutzrechtlichen Bestimmungen einhalten.
Die wichtigsten Änderungen im Überblick
Microsoft führt mit dem neuen DPA weitere Anpassungen durch, um den strengen Anforderungen der DSGVO gerecht zu werden. Dabei sind insgesamt fünf wesentliche Änderungen anzuführen. Zunächst werden Kunden bei der Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO unterstützt. Das Unternehmen stellt den Kunden die erforderlichen Dokumente zur Verfügung, um den datenschutzkonformen Einsatz von Microsoft 365 nachzuweisen. Weiterhin wird beim Umgang mit personenbezogenen Daten, welche Microsoft erhält und die nicht der DSGVO unterliegen, festgehalten, dass Microsoft die jeweils gültigen gesetzlichen Vorgaben einhält.
Um das Sicherheitsniveau von Microsoft zu steigern, wird das neue DPA die Umsetzung der TOM aus den Standardvertragsklauseln zwischen Microsoft Irland und Microsoft USA garantieren. Das neue DPA gilt letztlich nicht nur für Kunden mit Volumenlizenzverträgen. Die Regelung bezieht sich auf alle Kunden mit einem aktuellen Produkt- und Dienstleistungsvertrag.
Insgesamt sorgt das neue DPA dafür, dass Unternehmen bei der Nutzung von Microsoft 365 den Kritiken der Datenschutzaufsichtsbehörden Rechnung tragen und ihr Datenschutzniveau erhöhen. Dies bietet Verantwortlichen Klarheit und Unterstützung, um datenschutzrechtliche Anforderungen einzuhalten. Auch wenn die Frage nach einer datenschutzkonformen Nutzung noch nicht abschließend geklärt ist, wird das neue DPA als wichtiger Schritt gesehen.