Microsoft erhöht erneut den Datenschutz. Welche Verbesserungen das neue Data Protection Addendum bringt, erfahren Sie von den Experten von ABIDAT.
Erhöhter Schutz und mehr Transparenz
Das Products and Services Data Protection Addendum, kurz DPA genannt, regelt die Verarbeitung personenbezogener Daten zwischen Microsoft und seinen Kunden. Die letzte Aktualisierung stammt aus dem September 2022. Die neueste Version vom 1. Januar 2023 ist Microsofts Antwort auf die Forderungen der deutsche Datenschutzkonferenz zur Einhaltung der Datenschutz-Grundverordnung (DSGVO).
Obwohl die Kritik der Datenschutzaufsichtsbehörden von Fachleuten als unberechtigt angesehen wird, hat das Unternehmen erneut und kurzfristig mit einem Update darauf reagiert. Damit wird der Datenschutz nochmals verbessert und die Transparenz der Datenflüsse erhöht.
Die wichtigsten Änderungen auf einen Blick
Erhöhte Datensicherheit
Als langjähriger Gold Partner von Microsoft können wir bestätigen, dass das Unternehmen schon jetzt ein sehr hohes Sicherheitsniveau garantiert und praktisch alle relevanten Zertifizierungen für Cybersicherheit vorweisen kann.
Neu beim aktuellen DPA ist, dass Microsoft auf vertraglicher Ebene klarstellt, dass sowohl die technischen als auch die organisatorischen Maßnahmen aus den Standardvertragsklauseln zwischen Microsoft Irland und Microsoft USA umgesetzt werden. Das erleichtert vor allem die sekundäre Prüfpflicht für die Daten, die nicht ausschließlich in der EU verarbeitet werden.
Diese Prüfpflicht gibt vor, dass Verantwortliche nur mit jenen Auftragsverarbeitern zusammenarbeiten können, die entsprechende Garantien für die Einhaltung der DSGVO bieten. Microsoft tut dies mit umfangreichen Dokumenten, darunter ein Whitepaper zur Compliance bei Drittlandübermittlungen sowie einem Transparenzbericht und zahlreichen weiteren Informationen.
Datenverarbeitung in Europa
Ebenfalls zum 1. Januar 2023 gab Microsoft bekannt, mit der schrittweisen Einführung seiner EU Data Boundary-Lösung für Kunden des öffentlichen Sektors und Unternehmen in der Europäischen Union (EU) und der Europäischen Freihandelszone (EFTA) zu beginnen. Das EU Data Boundary wird also im neuen DPA umgesetzt. Es regelt eindeutig, dass Microsoft Kundendaten ausschließlich in der EU speichern und verarbeiten wird, wenn diese vom EU Data Boundary erfasst sind. Das ist wichtig, da die europäische Microsoft Cloud aufgrund ihres Leistungsumfangs viel Potential für Unternehmen und öffentliche Stellen bietet.
Unterstützung bei der Compliance
Seit dem 1. Januar können Microsoft-Kunden leichter nachweisen, dass sie Microsoft 365 datenschutzkonform einsetzen. Denn in Anhang 1 des DPA ist jetzt explizit geregelt, dass das Unternehmen Kunden bei der Erfüllung ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO unterstützt und die hierfür erforderlichen Dokumente zur Verfügung stellt.
Telekommunikationsdaten
Das Fernmeldegeheimnis nach § 3 TTDSG wird ebenfalls garantiert, obwohl es nicht unter die DSGVO fällt. Dazu wird klargestellt, dass personenbezogene Daten, die Microsoft als Anbieter von Telekommunikationsdiensten erfasst, den einschlägigen gesetzlichen Vorgaben unterliegen.
Vertragsschwächen
Ein Ende der Angriffe auf Kryptowährungsbörsen und Smart Contracts auf den verschiedenen Blockchains ist nicht in Sicht. Selbst nationalstaatliche Angreifer versuchen, Hunderte von Millionen in digitalen Währungen zu stehlen. Die raffinierteren Attacken auf Smart Contracts, algorithmische Münzen und DeFi-Lösungen gehen weiter, zusätzlich zu den klassischen Phishing- und Malware-Angriffen auf ihre Nutzer.
Erweiterung des Anwendungsbereichs
Mit dem neuen DPA wird auch der Anwendungsbereich erweitert. So gilt es nicht nur für Kunden mit Volumenlizenzverträgen, sondern auch für alle Kunden mit einem laufenden Produkt- oder Dienstleistungsvertrag.
Unsere Empfehlung
Eines ist klar, das neue DPA erhöht das Datenschutzniveau. Damit wird Microsoft seinem Ruf als verantwortungsbewusstes Unternehmen gerecht. Für Organisationen und Einrichtungen, die mit Microsoft 365 arbeiten, bedeutet das mehr Klarheit und Unterstützung bei der Einhaltung der datenschutzrechtlichen Anforderungen. Diesen Vorteil sollten Sie nutzen.
Als Gold Microsoft Partner und Cloud Solution Provider zeigen wir Ihnen, wie Sie von dem Abschluss des neuen DPA profitieren und wie Sie die neuen Klauseln in ihrer Datenschutzdokumentation berücksichtigen, um auf der sicheren Seite zu bleiben.