Cloud-Dienste: Microsoft bessert bei Datenschutzklauseln für große Kunden nach
Microsoft übernimmt bei erbrachten Clouddiensten künftig selbst die Rolle des datenschutzrechtlich Verantwortlichen.
Nach viel Druck von Datenschützern überarbeitet Microsoft die Geschäftsbedingungen für Cloud-Dienste bei kommerziellen Kunden, um Vorgaben aus der Datenschutz-Grundverordnung (DSGVO) klarer zu erfüllen. Der US-Konzern übernimmt damit selbst die Rolle des datenschutzrechtlich Verantwortlichen, wenn Mitarbeiter "Daten für bestimmte administrative und operative Zwecke im Zusammenhang mit der Erbringung der unter diesen Vertragsrahmen fallenden Cloud-Dienste wie Azure, Office 365, Dynamics und Intune verarbeiten".
Microsoft steht damit bei der Klientel der öffentlichen Verwaltung und im privaten Sektor künftig für einen Teil der EDV ein, an denen das Unternehmen selbst die Hand im Spiel hat. Es muss so auch selbst mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die (DSGVO) eingehalten wird. Die entsprechenden Nutzer sind hier aus dem Schneider.
Microsoft gewährleistet "Integrität und Sicherheit"
Das entsprechende "Update" der "Microsoft Online Services Terms" (OST) bezieht sich etwa auf Datenverarbeitungen für Zwecke wie die Kontoführung, Finanzberichterstattung, den Kampf gegen Cyberangriffen auf eigene Produkte oder Dienstleistungen sowie auf solche, mit denen gesetzliche Pflichten erfüllt werden sollen. Die Korrektur "wird unseren Kunden zugutekommen, indem sie weitere Klarheit darüber schafft, wie wir Daten verwenden", erläutert Julie Brill, Chief Privacy Officer bei Microsoft, in einem Blogeintrag vom Montag. Es werde gewährleistet, dass der Konzern Informationen in einer DSGVO-konformen Weise behandle.
Die meisten ihrer Dienste für Unternehmen hat das Unternehmen so konzipiert, dass sie dabei als Auftragsverarbeiter fungieren. Personenbezogene Daten werden dabei verwendet, um die von den Kunden geforderten Online-Services für die von diesen vorgegebenen Zwecke zu erbringen. Microsoft gewährleiste dabei "die Integrität und Sicherheit" der Informationen, führt Brill aus. Diese bleiben bei dieser Variante aber im Besitz des Auftraggebers und würden von diesem verwaltet sowie kontrolliert.
Verstoß gegen DSGVO beklagt
Die Spezialregeln für die weitergehende Verarbeitung etwa der umstrittenen Telemetriedaten für Diagnosezwecke spiegeln im Kern Vertragsänderungen wider, die Microsoft mit dem niederländischen Justizministerium entwickelt hat. Die Beratungsfirma Privacy Company hatte im Auftrag des Ressorts voriges Jahr zunächst Alarm geschlagen, dass Microsoft in großem Umfang personenbezogene Daten von Office-Nutzern sammelten, ohne sie darüber zu informieren. Dies komme einem massiven Verstoß gegen die DSGVO gleich. Im Sommer zeigten sich die Experten versöhnlicher, nachdem Microsoft nachgebessert hatte. Ganz zufrieden waren sie aber auch damals noch nicht wegen fehlender Zweckangaben, worauf der Konzern noch einmal juristisch nachjustiert hat.
Zuletzt hatte auch der europäische Vize-Datenschutzbeauftragte Wojciech Wiewiórowski "schwere Bedenken" geäußert, dass Microsoft mit seinen Klauseln und Verarbeitungsregeln in Verträgen mit EU-Behörden die DSGVO nicht komplett einhalte. Die niederländische Lösung war ihm dagegen als besseres Modell erschienen. Direkt besprochen hat Microsoft die neue Vertragslösung für größere Cloud-Kunden mit der Aufsichtsinstanz jedoch noch nicht, da diese nicht direkt für die Wirtschaft zuständig ist, sondern darauf achtet, dass die EU-Institutionen europäisches Recht einhalten.
Ab Anfang 2020 im Angebot
Brill geht davon aus, dass Microsoft die neuen Vertragsbedingungen "Anfang 2020 weltweit allen öffentlichen und kommerziellen Kunden anbieten" kann. Sie erinnerte zugleich daran, dass man bereits global eine Reihe zusätzlicher Datenschutzinstrumente eingeführt und die Nutzung von Telemetriedaten transparenter gemacht habe. Zugleich gibt es bei kommunalen IT-Dienstleistern und im Bundesinnenministerium aber zunehmende generelle Sorgen vor einer zu großen Abhängigkeit gegenüber dem Softwarehersteller, was der "digitalen Souveränität" entgegenstehe. (axk)