Im Daten-Dschungel: Nach welchen Regeln wir bei Microsoft Daten verarbeiten

Unsere Online Services Terms (OST) und das Data Protection Addendum (DPA) sind das Herzstück für unseren Umgang mit Daten. Nach welchen Regeln verarbeitet Microsoft die Daten seiner Kund*innen? Wofür verwenden wir die Daten? Und wo lässt sich all das nachlesen? In diesem Beitrag unserer Reihe „Im Daten-Dschungel“ geben wir die Antwort und werfen einen Blick auf die Datenschutzbestimmungen von Microsoft.

In einer immer stärker digitalisierten Welt ist der Schutz persönlicher Daten ein hohes Gut. Bei Microsoft nehmen wir diesen Schutz sehr ernst. Wie wir bereits in der ersten Folge unserer Serie gezeigt haben, folgen wir in Sachen Datenschutz bei all unseren Produkten und Dienstleistungen weltweit sechs Prinzipien. Eines dieser Prinzipien: Transparenz. Wir sind davon überzeugt, dass mündige Nutzer*innen wissen sollten, wie ihre Daten verarbeitet werden. Aus diesem Grund wollen wir es ihnen so einfach und transparent wie möglich machen, unsere Datenschutzbestimmungen zu finden und zu verstehen. Um die Transparenz zu stärken und bei unseren Kund*innen für Klarheit zu sorgen, haben wir seit Anfang des Jahres für Geschäftskunden nicht mehr nur ein, sondern zwei Dokumente, mit denen wir die vertraglichen Grundlagen des Datenschutzes bei Microsoft regeln: die Online Services Terms (OST) und das Data Protection Addendum (DPA).

Zwei Dokumente für mehr Transparenz im Datenschutz

Der Hintergrund dieser Änderung, die wir gemeinsam mit einem unserer Kunden, dem niederländischen Justizministerium erarbeitet haben, ist schnell erklärt. Die Online Services Terms regeln die Geschäftsbedingungen für die Nutzung unserer Produkte und Services. Sie enthalten neben einer vorangestellten Definition der verwendeten Dienste auch die spezifischen Bestimmungen für den Einsatz unserer drei Microsoft Clouds, also von Azure, Dynamics 365 und Microsoft 365. Wir nehmen das Feedback unserer Kunden sehr ernst und haben deshalb Anpassungen vorgenommen.

Bis zum Ende des vergangenen Jahres waren auch sämtliche Datenschutzregelungen Teil dieses Dokuments. Allerdings sind die Online Services Terms regelmäßigen Veränderungen und Anpassungen unterworfen. Wir entwickeln unsere Produkte und Services kontinuierlich weiter und arbeiten an neuen Lösungen für unsere Kund*innen. Das hat auch stetige Anpassungen der OST zur Folge. Unsere Datenschutzbestimmungen (DPA) hingegen erfordern nur selten eine Änderung – beispielsweise aufgrund von Änderungen oder Anpassungen geltender Gesetze oder neuer Rechtsprechung.  Um für unsere Kund*innen hier Klarheit zu schaffen, haben wir zwei Dokumente erstellt: eines für den Einsatz der Produkte (OST), das andere für die Datenschutzbestimmungen (DPA). Zwar findet sich auch in den OST ein Kapitel „Datenschutz und Sicherheit“, doch dieses verweist im Wesentlichen auf das DPA.

Datenschutzbestimmungen: Wofür nutzen wir die Daten unserer Kund*innen?

Bei Microsoft nutzen wir kunden- und personenbezogene Daten nur aus zweierlei Gründen: Zum einen, um unseren Kund*innen die gewünschten Online-Dienste bereitstellen zu können. Mehr dazu erfahrt ihr in der zweiten Folge unserer Serie. Im Detail zählt das DPA neben dem Bereitstellen konkreter Funktionen in dem Zusammenhang auch die Verbesserung von Produkten und Problembehandlungen mit auf.

Zum anderen nutzen wir die Daten für die legitimen Geschäftstätigkeiten von Microsoft. Was ist damit gemeint? Die legitimen Geschäftstätigkeiten sind durch eine abschließend definierte Liste im DPA festgelegt. Sie umfasst sechs Punkte, beispielsweise die Bekämpfung der Cyberkriminalität. So hat Microsoft durch das Auswerten entsprechender Daten gemeinsam mit Strafverfolgungsbehörden das weltgrößte Botnetz zerschlagen können. Ein weiterer Punkt auf der Liste betrifft die Finanzberichterstattung, zu der wir als börsennotierte Aktiengesellschaft verpflichtet sind und für die wir genaue Vorgaben einhalten müssen. Weitere legitime Geschäftstätigkeiten sind die Abrechnungs- und Kontoverwaltung sowie die Vergütung – hier geht es beispielsweise um die Berechnung von Provisionen unserer Beschäftigten –, die interne Berichterstattung und Geschäftsmodellierung sowie die Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz. Wichtig zu wissen: Microsoft-Kund*innen bleiben in all diesen Fällen Eigentümer*innen der Kundendaten.

Weitere Links und nützliche Informationen gibt es hier. Bei Fragen in Sachen Datenschutz bieten wir hier Unterstützung.

Weitere Beiträge der Serie „Im Daten-Dschungel“:


Ein Beitrag von Thomas Langkabel
National Technology Officer bei Microsoft Deutschland
Thomas Langkabel

Weitere Infos zu diesem Thema

17. März 2020
Das 1×1 der IT-Sicherheit

In unserer Serie „Das 1×1 der IT-Sicherheit“ widmen wir uns zentralen Begriffen und Vorgängen der IT-Sicherheit.