Neue Microsoft Datenschutzbestimmungen
Microsoft hat mit der Version vom Januar 2020 alle datenschutzbezogenen Klauseln aus ihren Bestimmungen für Onlinedienste (Online Services Terms, OST) in einen separaten Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum, DPA) überführt.
Der neue Datenschutzanhang ist hier zu finden: Licensing Terms and Documentation (direkter Download für die Januar-2020-Versionen: EN; DE; FR).
Das neue DPA-Update ersetzt die vorherigen OST Bestimmungen, mit welchen Microsoft zur Verarbeitung von Kundendaten berechtigt wurde „ausschliesslich um dem Kunden die Onlinedienste einschliesslich der mit der Bereitstellung dieser Dienste kompatiblen Zwecke zur Verfügung zu stellen“ durch spezifischere Anweisungen und Einschränkungen. Diese Änderungen resultieren aus Rückmeldungen von Kunden, genauer gesagt aus der Diskussion mit dem niederländischen Ministerium für Justiz und Sicherheit (niederländisches MoJ). Microsoft hat das Ziel mit den Anpassungen mehr Transparenz für ihre Kunden über die Datenverarbeitung in der Microsoft Cloud zu schaffen wie sie in einem Blogpost vom 18. November 2019 ausführen.
Grob zusammengefasst geht es beim DPA-Update insbesondere um folgendes:
. Es ermöglicht Microsoft die Verarbeitung von Kundendaten und personenbezogenen Daten als Auftragsverarbeiterin für drei autorisierte Zwecke: (1) Bereitstellung der Onlinedienste, (2) Fehlerbehebung und (3) ständige Verbesserung;
. Es schliesst die Verarbeitung von Kundendaten und personenbezogenen Daten (1) zu Profiling-Zwecken, (2) für Werbung oder ähnliche kommerzielle Zwecke oder (3) zu Marktforschungszwecken aus (es sei denn, dies erfolge gemäss den dokumentierten Anweisungen des Kunden);
. Es stellt klar, dass Microsoft die Pflichten eines für die Verarbeitung Verantwortlichen hat, wenn Microsoft Kundendaten und personenbezogene Daten für bestimmte zusätzlich aufgelistete „legitime Geschäftsvorgänge“ mit bestimmten Einschränkungen verarbeitet;
. Es schafft auf der Grundlage von Kundenfeedbacks Klarheit darüber, wie Kunden mit Microsoft zusammenarbeiten können, um die Datenverarbeitung von Microsoft gemäss der DSGVO zu prüfen; und
. Es klärt die Benachrichtigungsfristen für das Hinzufügen neuer Unterauftragsverarbeiter (6 Monate für Unterauftragsverarbeiter mit Zugriff auf Kundendaten; 14 Tage für solche mit Zugriff auf andere personenbezogenen Daten als die in Kundendaten enthaltenen).
Microsoft geht die in diesen neuen Datenschutzbestimmungen enthaltenen Verpflichtungen gegenüber allen Kunden mit Volumenlizenzvereinbarungen ein. Die Verpflichtungen sind für Microsoft unabhängig von der Version der OST, die für ein bestimmtes Onlinedienstabonnement gelten, bindend.