Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

DSGVO-Gazette #21: Microsoft hat eine neue AVV/DPA veröffentlicht

Am 15.09.2021 hat Microsoft einen neuen Datenschutznachtrag zu ihren Produkten und Services veröffentlicht - pünktlich zum Wirksamwerden der neuen EU-Standardvertragsklauseln (ich berichtete dazu). Dieser Nachtrag - der im Englischen "Microsoft Products and Services Data Protection Addendum" (DPA) genannt wird - löst den bisherigen "Microsoft Online Services Data Protection Addendum" ab. Und alleine an der Namensgebung sieht man schon den größten Unterschied: Das neue DPA (oder im Deutschen "Vereinbarung zur Auftragsverarbeitung" - AVV genannt) berücksichtigt nicht nur "Online Services", sondern inkludiert direkt alle Produkte und Dienstleistungen von Microsoft. Also, Vorteil 1: Sie müssen nur noch in ein Dokument schauen, wenn Sie Fragen zur Verarbeitung von Daten im Auftrag bei Mircosoft haben. So schön, so gut.. aber das Dokument weitere Änderungen, die wichtig sind

Hauptgrund der Änderung der DPA ist, dass Microsoft die neuen EU-Standardvertragsklauseln in dieses Dokument integriert hat. Damit folgt Microsoft auch ihrer Ankündigung, die neuen EU-Standardvertragsklauseln anzuwenden. Natürlich ist dieser Schritt zwingend, um weiter Geschäfte in der Europäischen Union zu machen und auch andere Hyperscaler wie Google oder AWS haben dies für Neuverträge umgesetzt. Nur anders als bei AWS muss man sich bei Microsoft selbst (über den Online-Dienst) bemühen, um die neuen DPA auf seinen Vertrag anwendbar zu machen.

Eine wesentliche, inhaltliche Änderung des neuen DPA von Microsoft betrifft die zusätzlichen Garantien. Bisher waren diese "additional safeguards" nur für einen eingeschränkten Anwendungsbereich gültig. Nun, mit den neuen DPA wurde der Anwendungsbereich dieses zusätzlichen Garantien erheblich erweitert. Sie gelten nun für alle von Microsoft verwalteten personenbezogenen Daten, nicht nur für den Fall der Übermittlung personenbezogener Daten auf Grundlage der EU-Standardvertragsklauseln. Diesem Umstand verleiht Microsoft in der Art Ausdruck, dass diese zusätzlichen Garantien als Anhang C nun fester Bestandteil des DPA sind.

Wenn Sie Fragen zu Datenschutz bei großen US-Anbieter oder anderen Dienstleistern innerhalb und ausserhalb der EU haben, treten Sie gerne mit mir in Kontakt.

Viele Grüße aus Bad Aachen

Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen

Photo by Surface on Unsplash. Thank you!

Kommentare  

#2 Ingo Goblirsch LL.M. 2022-02-25 15:48
zitiere Ein User:
"Nur anders als bei AWS muss man sich bei Microsoft selbst (über den Online-Dienst) bemühen, um die neuen DPA auf seinen Vertrag anwendbar zu machen."

Was bedeutet das genau? Das nicht die aktuellste Version für das Unternehmen gilt sondern die, die zum Zeitpunkt der Vertragsunterzeichnung gültig war?

Ja, genau. Es gilt bei Microsoft die bei der Vertragsunterzeichnung gültige DPA. Bestandskunden werden bei Microsoft bis Ende 2022 auf die neuen SCC gebracht - falls sie dies vorher nicht individuell mit MS vereinbaren. Gruß
Zitieren
#1 Ein User 2022-02-25 15:43
"Nur anders als bei AWS muss man sich bei Microsoft selbst (über den Online-Dienst) bemühen, um die neuen DPA auf seinen Vertrag anwendbar zu machen."

Was bedeutet das genau? Das nicht die aktuellste Version für das Unternehmen gilt sondern die, die zum Zeitpunkt der Vertragsunterzeichnung gültig war?
Zitieren