Liebe Leserinnen und liebe Leser,

gerne informiere ich Sie zu dem aktuellen Stand der Datenschutzkonformität von Microsoft-Diensten in Wirtschaft und Verwaltung. Stand dieser Informationen ist der 9. Oktober 2022

Management Summary

Den drei bekannten Kritikpunkten,

• dass Microsoft Daten in die USA beim Einsatz von Clouddiensten übermittelt,
• dass hierfür keine Rechtsgrundlage vorhanden ist und
• das Telemetriedaten intransparent verarbeitet werden,

haben sich Microsoft und die EU-Kommission gestellt. Für alle drei Kritikpunkte sind rechtliche Lösungen vorhanden wie das

Weitere Infos...DSGVO-Gazette #25: US-Datentransfer mit Microsoft 365 - das sind die rechtlich erlaubten Optionen

Zusammenfassung:

• Microsoft hat neue DPA am 15.09.2022 veröffentlicht.
• Anpassungen betreffen die Einbindung der neuen EU-Standardvertragsklauseln (Modul 3). Damit wir Microsoft Limited (Irland) zum Datenexporteur und erfüllt eine wesentliche Anforderung der Datenschutzaufsichtsbehörden.
• Nun muss Microsoft Limited eine Datenübermittlungs-Folgenabschätzung durchführen und für die datenschutzkonforme Übermittlung der Daten in Drittstaaten garantieren.
• Eine weitere Forderung der Datenschutz-Aufsichtsbehörden wird erfüllt: Ab sofort werden die Kunden aktiv informiert, wenn sich Unterauftragsverarbeiter ändern („will give Customer notice“).
• Eine Offenbarung von personenbezogenen Daten an internationale Institutionen muss den in der EU geltenden Maßstäben genügen analog zu Art. 23 Abs. 1 DSGVO.
• Die bisher bekannten Forderungen der Datenschutz-Aufsichtsbehörden scheinen somit adressiert worden zu sein – gemeinsam mit dem angekündigten EU Data Boundary for the Microsoft Cloud wendet sich das Blatt „pro Microsoft“.

Liebe Leserinnen und liebe Leser,

Microsoft hat (wie immer abrufbar unter https://aka.ms/dpa) zum 15.09.2022 einen neuen DPA veröffentlicht. Anbei erhalten Sie eine Übersicht zu den Änderungen des neuen Microsoft Products and Services Data Protection Addendum[1] (DPA). Die Überarbeitungen haben mehr rechtliche Auswirkungen auf die Kunden, welche die Produkte von Microsoft nutzen, als die Veröffentlichung der initialen Fassung der DPA aus dem Jahr 2020 und die letzte Überarbeitung der DPA aus dem Jahr 2021.

Weiterlesen: DSGVO-Gazette #24: BOOM! Microsoft ist Datenexporteur // Überarbeitete Microsoft-AVV schreiben die...

Eine Abmahnung oder eine Anfrage der Datenschutz-Aufsichtsbehörde ist für viele Unternehmerinnen und Unternehmer ein Grund, sich die Frage zu stellen, ob man datenschutzkonform aufgestellt ist. Diese ex-post-Betrachtung ist aus meiner Sicht viel zu spät. In diesem Fall ist das Unternehmen bereits im "Fadenkreuz" und der DSGVO-Verstoß ist offensichtlich. Weitere Compliance-Fälle gegen die Anforderungen der DSGVO lassen sich in dieser Defensiv-Haltung nicht mehr rechtzeitig beheben und führen zu weiteren Untersuchungen der Datenschutz-Aufsichtsbehörde.

Deswegen ist es sehr wichtig, dass Sie sich frühzeitig um die Einhaltung der DSGVO in Ihrem Unternehmen kümmern. Gerade wenn es um Verstöße geht, die von Außen direkt erkennbar und offensichtlich sind. Und das beste Werkzeug dafür ist eine

Datenschutz-Due-Diligence.

Weiterlesen: DSGVO-Gazette #23: Ihr Status-Quo zur DSGVO-Compliance // Datenschutz-Due-Diligence

Wie sie sicherlich schon den Medien entnommen haben, gilt ab dem 24.11.21 am Arbeitsplatz nach § 28b Absatz 1 IfSG die 3G-Regel. Doch was bedeutet das aus Sicht des Datenschutzes? Wie begegnen Sie Mitarbeiterinnen und Mitarbeitern, die mit Datenschutz-Fragen versuchen, Sie als Arbeitgeber "auflaufen" zu lassen?

Weiterlesen: DSGVO-Gazette #22: Datenschutz und 3G am Arbeitsplatz