Neues Microsoft DPA | LAUX LAWYERS AG

Microsoft veröffentlicht neues Data Protection Addendum

Am 15. September 2021 hat Microsoft (vorerst in Englisch und einigen weiteren Sprachversionen, die deutsche Sprachversion folgt erfahrungsgemäss kurz danach) eine überarbeitete Version ihres Nachtrags zum Datenschutz (Englisch: Data Protection Addendum oder „DPA“) veröffentlicht.

Das DPA gilt für alle Kunden mit Volumenlizenzverträgen. Es ist automatisch Bestandteil der Universellen Lizenzbestimmungen für Onlinedienste. Dieser Mechanismus entspricht der bisherigen Praxis der Einbindung des DPA in die Onlinedienste-Bestimmungen. Kunden mit Volumenlizenzverträgen müssen also nicht aktiv werden, damit das neue DPA in Bezug auf die Bearbeitung ihrer Daten gilt.

Die folgenden Neuerungen gilt es hervorzuheben:

Einheitliches DPA für Produkte und Dienstleistungen

Neu gibt es für Onlinedienste und Software (zusammen „Produkte“) sowie Professional Services grundsätzlich nur noch ein einheitliches DPA für Produkte und Dienstleistungen. Ausgeklammert werden sog. „Supplemental Professional Services“. Dies sind gemäss neuer Definition Supportanfragen, die der reguläre Support an ein Produkt-Engineering-Team eskaliert hat. Dazu gehören auch weitere, nicht standardisierte Consulting und Supportdienste, die Microsoft im Zusammenhang mit Produkten oder einem Volumenlizenzvertrag erbringt.

Datentransfers unter Processor-to-Processor-Standardvertragsklauseln

Massgeblichen Anlass für die Überarbeitung und Erneuerung des DPA bildete die Implementierung der neuen Standardvertragsklauseln der EU als Mechanismus für den Transfer von Kundendaten (Customer Data), Professional Services Daten und Personendaten in sog. unsichere Drittstaaten.

Hierfür nutzt Microsoft das von der EU-Kommission neu geschaffene Modul 3 der Standardvertragsklauseln (Processor-to-Processor), das Microsoft innerhalb des Konzerns zwischen Microsoft Ireland Operations Ltd. und Microsoft Corp. USA abgeschlossen hat.

Für Transfers aus der Schweiz und dem Vereinigten Königreich bleiben die bestehenden Standardvertragsklauseln von 2010 zwischen Kunden und Microsoft Corp. bestehen. Sie gelten vorläufig als zusätzlicher Transfermechanismus neben den Processor-to-Processor-Standardvertragsklauseln. Dies ist wohl dem Umstand geschuldet, dass der EDÖB die neuen Standardvertragsklauseln der EU erst vor Kurzem auch für die Schweiz als zulässigen Transfermechanismus bestätigt hat. Es ist davon auszugehen, dass diese Besonderheit für die Schweiz demnächst wegfällt.

Es bleibt abzuwarten, ob Microsoft die vom EDÖB in seiner Wegleitung vom 27. August 2021 gewünschten Swiss-Finishes in den gruppenintern abgeschlossenen Standardvertragsklauseln adressieren wird. Bei einem reinen „onward transfer“ aus der EU in ein sogenannt unsicheres Drittland scheint dies a priori nicht notwendig, anerkennt doch der EDÖB in seiner Wegleitung (in der er den Onward Transfer nicht behandelt) die grundsätzliche Gleichwertigkeit des EU Datenschutzregimes im Kontext von Crossborder Transfers.

Update, 15. September 2021, 15.00 Uhr: Mittlerweile sind die Processor-to-Procesor-Standardvertragsklauseln im Service Trust Center aufgeschaltet. Sie enthalten (vgl. letzte Seite) tatsächlich auch die vom EDÖB gewünschten Swiss-Finishes.

Zusätzliche Sicherungsmassnahmen neu auf DPA-Stufe

Der als Reaktion auf das Schrems II-Urteil des EUGH eingeführte Anhang mit zusätzlichen Sicherungsmassnahmen (Additional Safeguards Addendum) bei Transfers ins schutzunsichere Ausland ist neu direkt dem DPA angehängt (und nicht mehr Teil der Standardvertragsklauseln). Dies hat insbesondere zur Folge, dass der Anwendungsbereich der zusätzlichen Sicherungsmassnahmen signifikant erweitert wird. Neu greifen die zusätzlichen Massnahmen nicht nur bei Transfers von Personendaten unter den Standardvertragsklauseln, sondern generell in Bezug auf sämtliche Personendaten, die Microsoft (als der DSGVO direkt unterstellter Auftragsverarbeiter) verarbeitet, also insbesondere bei sämtlichen Auftragsdatenverarbeitungen von Microsoft Ireland Operations Ltd.

Die zusätzlichen Sicherungsmassnahmen an sich bleiben inhaltlich im Wesentlichen gleich wie im Dezember 2020 eingeführt. Insbesondere geht es um die Schadloshaltung betroffener Personen für Schädigungen, die im Kontext von Behördenzugriffen entstehen, sowie um explizite Zusicherungen bezüglich „Challenges to Orders“:

die konsequente Umleitung sämtlicher Behördenanfragen direkt an den Kunden;
die möglichst unmittelbare Information des Kunden und, wo dies untersagt ist, die gerichtliche Erkämpfung möglichst umfassender und schnellstmöglicher nachträglicher Information des Kunden; sowie
die Ausnützung sämtlicher verfügbarer Rechtsbehelfe, um die Herausgabe von Daten zu unterbinden, und zwar sowohl die Rechtsbehelfe unter dem Recht der nachfragenden Behörde als auch das Vorbringen sämtlicher relevanter Normenkonflikte, die sich aus dem Recht der Europäischen Union ergeben.

Für die Schweiz muss der Anhang noch ergänzt werden, insbesondere mit Bezug auf den letzten Punkt. Dies hat Microsoft aber bereits im Rahmen der Erstumsetzung im Dezember 2020 anerkannt. Entsprechend ist eine solche Ergänzung zu erwarten.

Weitergehende Informationen und Kontakt

Bei Fragen zu diesem Policy Alert oder für Unterstützung im Umgang mit dem neuen DPA stehen wir gerne zur Verfügung.

Kontakt: alexander.hofmann@lauxlawyers.ch

15. September 2021