Einführung von mehr Datenschutztransparenz für unsere kommerziellen Cloud-Kunden

Laptop showing data graphics

Bei Microsoft sind wir bestrebt, unseren Kunden zuzuhören und ihre Fragen und ihr Feedback zu berücksichtigen, denn eines unserer Grundprinzipien ist es, unseren Kunden zum Erfolg zu verhelfen. Heute kündigt Microsoft ein Update der Datenschutzbestimmungen in den Microsoft Online Services Terms (OST) unserer kommerziellen Cloud-Verträge an, das aus dem zusätzlichen Feedback unserer Kunden resultiert.

Unsere aktualisierten OST werden Vertragsänderungen widerspiegeln, die wir mit einem unserer Kunden aus dem öffentlichen Sektor entwickelt haben, nämlich dem niederländischen Ministerium für Justiz und Sicherheit (niederländisches MoJ). Die von uns vorzunehmenden Änderungen schaffen für unsere Kunden mehr Transparenz über die Datenverarbeitung in der Microsoft-Cloud.

Microsoft ist derzeit der einzige große Cloud-Anbieter, der solche Bedingungen im Europäischen Wirtschaftsraum (EWR) und darüber hinaus anbietet.

Wir kündigen außerdem an, dass wir die neuen Vertragsbedingungen allen unseren kommerziellen Kunden – im öffentlichen und privaten Sektor, großen Unternehmen sowie kleinen und mittleren Unternehmen – weltweit anbieten werden. Bei Microsoft betrachten wir den Datenschutz als Grundrecht und wir glauben, dass ein stärkerer Datenschutz durch mehr Transparenz und Verantwortlichkeit unseren Kunden überall zugutekommen sollte.

Klarstellung der Verantwortlichkeiten von Microsoft für Cloud-Services im Rahmen des OST-Updates

In Antizipation der Datenschutz-Grundverordnung (DS-GVO) hat Microsoft die meisten seiner Dienste für Unternehmen als Dienste konzipiert, bei denen wir für unsere Kunden Auftragsverarbeiter sind und hat die notwendigen Schritte unternommen, um die neuen Datenschutzgesetze in Europa einzuhalten. Dies bedeutet grundsätzlich, dass Microsoft personenbezogene Daten in seinen Diensten für Unternehmen erhebt und verwendet, um die von unseren Kunden angeforderten Online-Dienstleistungen für die von unseren Kunden vorgegebenen Zwecke zu erbringen. Als Auftragsverarbeiter gewährleistet Microsoft die Integrität und Sicherheit der Kundendaten, wobei diese Daten selbst im Besitz des Kunden sind und von diesem verwaltet und kontrolliert werden.

Mit dem heute bekanntgegebenen OST-Update werden wir unsere datenschutzrechtliche Verantwortung für eine Teilmenge derjenigen Verarbeitungstätigkeiten klarstellen, an denen Microsoft beteiligt ist, wenn wir Unternehmensdienste anbieten. Im OST-Update werden wir klarstellen, dass Microsoft die Rolle des datenschutzrechtlich Verantwortlichen übernimmt, wenn wir Daten für bestimmte administrative und operative Zwecke im Zusammenhang mit der Erbringung der unter diesen Vertragsrahmen fallenden Cloud-Diensten wie Azure, Office 365, Dynamics und Intune verarbeiten. Diese Teilmenge der Datenverarbeitung dient administrativen oder operativen Zwecken, wie etwa der Kontoführung, Finanzberichterstattung, Bekämpfung von Cyberangriffen auf Microsoft-Produkte oder ‑Dienstleistungen sowie Erfüllung unserer gesetzlichen Verpflichtungen.

Die Änderung, Microsoft als Verantwortlichen für diesen spezifischen Satz an Datennutzungen zu benennen, wird unseren Kunden zugutekommen, indem sie weitere Klarheit darüber schafft, wie wir Daten verwenden und wie wir unsere DS-GVO Rechenschaftspflicht erfüllen, um sicherzustellen, dass die Daten in einer konformen Weise behandelt werden.

Unterdessen bleibt Microsoft der Auftragsverarbeiter für die Bereitstellung der Dienste, die Ausbesserung und Behebung von Fehlern oder anderen Problemen im Zusammenhang mit einem Dienst, die Gewährleistung der Sicherheit der Dienste und die Aktualisierung der Dienste.

Wie oben beschrieben, spiegeln die aktualisierten OST die vertraglichen Änderungen wider, die wir mit dem niederländischen MOJ entwickelt haben. Die einzigen substanziellen Unterschiede in den aktualisierten Bedingungen beziehen sich auf kundenspezifische Änderungen, die vom niederländischen MOJ gefordert wurden und die für die breite globale Kundenbasis angepasst werden mussten.

Die Arbeit an der Bereitstellung unserer aktualisierten OST hat bereits begonnen. Wir gehen davon aus, dass wir die neuen Vertragsbedingungen Anfang 2020 weltweit allen öffentlichen und kommerziellen Kunden anbieten können.

Zusammenarbeit mit unseren Kunden zur Stärkung des Datenschutzes

Bevor und nachdem die DS-GVO in der EU galt, hat Microsoft Maßnahmen ergriffen, um sicherzustellen, dass wir die Privatsphäre aller schützen, die unsere Produkte und Dienstleistungen nutzen. Wir arbeiten weiterhin im Auftrag unserer Kunden, um mit den sich entwickelnden rechtlichen Interpretationen der DS-GVO in Einklang zu bleiben.

Beispielsweise hat seit der Geltung der DS-GVO das Kundenfeedback des niederländischen MoJ und Anderer zur globalen Einführung einer Reihe neuer Datenschutzinstrumente in unseren wichtigsten Diensten, zu spezifischen Änderungen an Office 365 ProPlus sowie zu mehr Transparenz im Hinblick auf die Nutzung von Diagnosedaten geführt.

Wir fühlen uns weiterhin verpflichtet, den Anforderungen und Bedenken unserer Kunden im Hinblick auf den Datenschutz genau zuzuhören. Wann immer Fragen von Kunden auftauchen, sind wir bereit, unsere technischen, rechtlichen und wirtschaftlichen Ressourcen auf die Umsetzung von Maßnahmen zu konzentrieren, die unsere Kunden benötigen. Bei Microsoft ist dies Teil unserer Mission, jeden Einzelnen und jede Organisation auf dem Planeten zu befähigen, mehr zu erreichen.


Ein Beitrag von Julie Brill
Corporate Vice President für den Bereich Global Privacy and Regulatory Affairs
und Chief Privacy Officer bei Microsoft

Profilbild von Abdalla Abakar, Support Escalation Engineer bei Microsoft

Tags:

Weitere Infos zu diesem Thema

13. November 2019
Die Zukunft der IT-Sicherheit: Eine Welt ohne Passwörter

Im zweiten Teil unserer Reihe erklären unsere Experten im „Cyber Security 1×1“, was es für eine Welt ohne Passwörter braucht und warum Identity & Access Management (IAM) für die Zukunft der IT-Sicherheit so wichtig ist.