Microsoft hat mit Datum 8. Juli 2020 die Datenschutzbestimmungen für Microsoft-Onlinedienste (DPA) als Reaktion auf das Urteil des EuGH vom aktualisiert. Wir haben die Änderungen gegenüber der Version vom Januar (Stand 9. Juni 2020) dokumentiert.
Die stillschweigende vermeintliche Änderung der Standardvertragsklauseln hate im Juni des Jahres auf Grund der Diskussion zwischen Microsoft und der Berliner Beauftragten für Datenschutz und Informationsfreiheit für einiges Aufsehen und Irritationen gesorgt.
Diesmal werden in den Standardvertragsklauseln (Anlage 2) nur ein paar kleinere sprachliche Fehler korrigiert. Die eigentlichen Änderungen finden in den anderen Teilen statt.
Die erste spannende Änderung ist der Absatz "Behördliche Vorschriften und Verpflichtungen". Microsoft behält sich vor einen Onlinedienst zu kündigen, wenn er in einem Land nicht rechtskonform angeboten werden kann.
Es werden "Diagnosedaten" (umgangssprachlich auch Telemetriedaten) definiert und zu Kundendaten und Dienstgenerierten Daten abgegrenzt.
Auch zum Thema Datenverschlüsslung von im Netz übertragen und von gespeicherten Daten ("in Ruhe") gibt es Aussagen. Leider wird nicht gesagt, wer über die Schlüssel verfügt. Es wird wohl Microsoft sein.
Der Zugriff auf Daten des Kunden erfolgt nur soweit wie erforderlich ("Grundsatz der geringsten Berechtigung").
Ein Thema ist auch der Speicherort der Daten ("Ort der ruhenden Kundendaten").
Eine unmittelbare Reaktion auf das EuGH-Urteil dürfte der folgende Absatz sein: "Microsoft hält sich an die datenschutzrechtlichen Anforderungen des Europäischen Wirtschaftsraums und der Schweiz in Bezug auf die Erhebung, Nutzung, Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz. Alle Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unterliegen geeigneten Garantien, wie sie in Artikel 46 DSGVO beschrieben sind, und solche Übertragungen und Garantien werden nach Artikel 30 Absatz 2 DSGVO dokumentiert." Ob die deutschen Aufsichtsbehörden damit zufrieden sind?
Neu sind auch Absätze zum Thema "Biometrie".
Die Datenschutzbestimmungen für Microsoft Online Dienste entwickeln sich in die richtige Richtung. Ein von den Datenschutzaufsichtsbehörden als unbedenklich eingestufter Einsatz von Office 365 bedarf allerdings immer noch begleitender technisch-organisatorischer Maßnahmen durch die Unternehmen.