Datenschutzergänzung: Microsoft setzt “EU-Datengrenze” um
[ad_1]
Pünktlich zum neuen Jahr hat Microsoft am 1. Januar eine überarbeitete Version seines Auftragsverarbeitungsvertrags veröffentlicht. Mit dem Datenschutznachtrag in Form des “Microsoft Products and Services Data Protection Anhang” (DPA) setzt dieser US-Konzern dasjenige Versprechen dieser schon Mittelpunkt 2021 angekündigten “EU-Datengrenze” offiziell um. In diesem Zusammenhang geht es drum, Transfers persönlicher Informationen von Kunden aus dieser EU in die USA möglichst zu vermeiden, nachdem dieser Europäische Gerichtshof (EuGH) den Privacy Shield gekippt hatte.
“Zwischen Online-Diensten mit EU-Datengrenze speichert und verarbeitet Microsoft die Kundendaten intrinsisch dieser Europäischen Union, wie in den Produktbedingungen festgesetzt”, lautet dieser entsprechende Zusatzklausel im aktuellen Datenschutznachtrag. In einem Begleitperson zu dem Nachtrag sichert dieser Softwareriese ferner nun explizit zu, “die Rechenschaftspflichten des Kunden” nachher dieser Datenschutz-Grundverordnung (DSGVO) zu unterstützen und die zu diesem Zweck nötige Technikdokumentation zur Verfügung zu stellen. Dies gelte z. Hd. die gesamte Spielzeit des Abonnements des Kunden oder des entsprechenden Dienstleistungsauftrags.
Zum Besten von Nachweis von Datenschutzkonformität gedacht
Nutzer sollten so leichter nachweisen können, dass sie etwa dasjenige Office-Päckchen Microsoft 365 datenschutzkonform einsetzen, erläutert dieser Rechtsanwalt Stefan Hessel von dieser Kanzlei Reuschlaw in einem Mitgliedsbeitrag aufwärts Microsofts Social-Media-Netzwerk LinkedIn. Dies ist höchst umstritten: Die Meeting dieser unabhängigen Datenschutzaufsichtsbehörden des Bundes und dieser Länder (DSK) unterstrich Finale November, dass Einrichtungen wie Ämter, Schulen und Unternehmen die Suite z. Hd. Büroanwendungen mit Cloud-Knotenpunkt ohne Weiteres “nicht rechtskonform einsetzen” könnten. Sie müssten aufwärts jeden Kern zusätzliche Schutzvorkehrungen treffen.
Nicht nur Microsoft wies die Einschätzung dieser Kontrolleure brüsk zurück. Fernerhin Experten wie Hessel sowie wirtschaftsnahe Datenschutzrechtler kritisierten sie scharf. Zum Besten von manche Zuschauer drängte sich sogar die Frage aufwärts, “ob die DSK rechtsstaatliche Grundsätze einhält”. Eine behördliche Stellungnahme, in dieser Microsoft 365 letztlich qua rechtswidrig bewertet werde, komm einer Produktwarnung mit massiven Gehorchen z. Hd. Unternehmen gleich. Zielführend wäre es Neben… gewesen, wenn die Aufsichtsbehörden “wichtige Meilensteine in puncto Drittstaatentransfer” wie den angekündigten neuen EU-US-Rahmen oder die EU-Datengrenze abgewartet hätten.
Datenschützer sehen mangelnde Transparenz
Punktum Umwälzen dieser Datenschutzbeauftragten ist dagegen zu wahrnehmen, dass jedwederlei Seiten 14 mehrstündige Videokonferenzen mit Microsoft zuzüglich Vor- und Nachbereitung durchgeführt und die bisherigen Zusicherungen solange bis ins Detail untersucht worden seien. Microsoft habe sich dieserfalls penetrant geweigert, allesamt Verarbeitungen zu kennzeichnen. Dies lege nahe, dass viele davon ohne Rechtsgrundlage erfolgten.
Zum Besten von personenbezogene Datenansammlung, die Microsoft qua Provider von Telekommunikationsdiensten verarbeitet und die so nicht unter die DSGVO stürzen, stellt dasjenige Unternehmen zudem mit dem taufrischen DPA lukulent, dass es einschlägige gesetzliche Schutzvorgaben wie hierzulande dasjenige Fernmeldegeheimnis zu beherzigen gedenke: “Microsoft wird allesamt telekommunikationsspezifischen Gesetze und Vorschriften einhalten, die z. Hd. die Versorgung dieser Produkte und Dienste gelten.” Dies umfasse Neben… eine Mitteilung mehr als Sicherheitsverletzungen und Datenpannen.
Rechtsanwalt rät ungeachtet zur Datenschutzergänzung
Dieser Konzern hebt ferner hervor, dass Neben… die technischen und organisatorischen Schutzmaßnahmen aus den Standardvertragsklauseln (SVK) zwischen Microsofts europäischem Hauptsitz Republik Irland und den Niederlassungen in den USA zum Pfand kämen. Die Datenschutzergänzung gilt zudem nicht mehr nur z. Hd. Kunden mit Volumenlizenzverträgen, sondern z. Hd. allesamt mit einem bestehenden Produkt- und Dienstleistungsvertrag. Die neuen SVK dieser EU hatte dasjenige Unternehmen schon zusammen mit dieser vorausgegangenen DPA-Wandel im September übernommen. Hessel rät Verantwortlichen, sich unabhängig davon, ob dieser Nachtrag die Aufsichtsbehörden überzeuge, “um verdongeln Beendung des neuen DPA” zu bemühen und die Klauseln in ihrer Datenschutzdokumentation zu berücksichtigen.
(mack)