Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Zusammenfassung:

  • Microsoft hat neue DPA am 15.09.2022 veröffentlicht.
  • Anpassungen betreffen die Einbindung der neuen EU-Standardvertragsklauseln (Modul 3). Damit wir Microsoft Limited (Irland) zum Datenexporteur und erfüllt eine wesentliche Anforderung der Datenschutzaufsichtsbehörden.
  • Nun muss Microsoft Limited eine Datenübermittlungs-Folgenabschätzung durchführen und für die datenschutzkonforme Übermittlung der Daten in Drittstaaten garantieren.
  • Eine weitere Forderung der Datenschutz-Aufsichtsbehörden wird erfüllt: Ab sofort werden die Kunden aktiv informiert, wenn sich Unterauftragsverarbeiter ändern („will give Customer notice“).
  • Eine Offenbarung von personenbezogenen Daten an internationale Institutionen muss den in der EU geltenden Maßstäben genügen analog zu Art. 23 Abs. 1 DSGVO.
  • Die bisher bekannten Forderungen der Datenschutz-Aufsichtsbehörden scheinen somit adressiert worden zu sein – gemeinsam mit dem angekündigten EU Data Boundary for the Microsoft Cloud wendet sich das Blatt „pro Microsoft“.

Liebe Leserinnen und liebe Leser,

Microsoft hat (wie immer abrufbar unter https://aka.ms/dpa) zum 15.09.2022 einen neuen DPA veröffentlicht. Anbei erhalten Sie eine Übersicht zu den Änderungen des neuen Microsoft Products and Services Data Protection Addendum[1] (DPA). Die Überarbeitungen haben mehr rechtliche Auswirkungen auf die Kunden, welche die Produkte von Microsoft nutzen, als die Veröffentlichung der initialen Fassung der DPA aus dem Jahr 2020 und die letzte Überarbeitung der DPA aus dem Jahr 2021.

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Eine Abmahnung oder eine Anfrage der Datenschutz-Aufsichtsbehörde ist für viele Unternehmerinnen und Unternehmer ein Grund, sich die Frage zu stellen, ob man datenschutzkonform aufgestellt ist. Diese ex-post-Betrachtung ist aus meiner Sicht viel zu spät. In diesem Fall ist das Unternehmen bereits im "Fadenkreuz" und der DSGVO-Verstoß ist offensichtlich. Weitere Compliance-Fälle gegen die Anforderungen der DSGVO lassen sich in dieser Defensiv-Haltung nicht mehr rechtzeitig beheben und führen zu weiteren Untersuchungen der Datenschutz-Aufsichtsbehörde.

Deswegen ist es sehr wichtig, dass Sie sich frühzeitig um die Einhaltung der DSGVO in Ihrem Unternehmen kümmern. Gerade wenn es um Verstöße geht, die von Außen direkt erkennbar und offensichtlich sind. Und das beste Werkzeug dafür ist eine

Datenschutz-Due-Diligence.

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Am 15.09.2021 hat Microsoft einen neuen Datenschutznachtrag zu ihren Produkten und Services veröffentlicht - pünktlich zum Wirksamwerden der neuen EU-Standardvertragsklauseln (ich berichtete dazu). Dieser Nachtrag - der im Englischen "Microsoft Products and Services Data Protection Addendum" (DPA) genannt wird - löst den bisherigen "Microsoft Online Services Data Protection Addendum" ab. Und alleine an der Namensgebung sieht man schon den größten Unterschied: Das neue DPA (oder im Deutschen "Vereinbarung zur Auftragsverarbeitung" - AVV genannt) berücksichtigt nicht nur "Online Services", sondern inkludiert direkt alle Produkte und Dienstleistungen von Microsoft. Also, Vorteil 1: Sie müssen nur noch in ein Dokument schauen, wenn Sie Fragen zur Verarbeitung von Daten im Auftrag bei Mircosoft haben. So schön, so gut.. aber das Dokument weitere Änderungen, die wichtig sind

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Wie sie sicherlich schon den Medien entnommen haben, gilt ab dem 24.11.21 am Arbeitsplatz nach § 28b Absatz 1 IfSG die 3G-Regel. Doch was bedeutet das aus Sicht des Datenschutzes? Wie begegnen Sie Mitarbeiterinnen und Mitarbeitern, die mit Datenschutz-Fragen versuchen, Sie als Arbeitgeber "auflaufen" zu lassen?

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Zwei von drei Unternehmen in Deutschland meinen, dass Datenschutz die Digitalisierung erschwere, so eine Aussage einer Studie von Bitkom Research aus dem Jahr 2021. Fast jedes Unternehmen (9 von 10) hätte bereits "innovative" Projekte wegen Datenschutzanforderungen stoppen müssen. Neben der üblichen Einladung zur der zufälligerweise ab Montag stattfindenden "Bitkom Privacy Conference 2021" hat der Branchenverband auch noch eine Wunschliste für die nächste Bundesregierung beim Datenschutz.

Doch ist das tatsächlich so? Scheitern innovative Projekte an Datenschutz-Anforderungen? Welche "Innovationen" hätten denn da umgesetzt werden sollen? Wieso wird Datenschutz häufig als "Bremser" oder "Verhinderer" aufgeführt? Und was hat vor der DSGVO die Projekte gebremst und verhindert? Ich habe da so eine Vermutung - und die möchte ich an dieser Stelle einmal loswerden.