Standardvertragsklauseln der Europäischen Union

Standardvertragsklauseln der Europäischen Union – Übersicht

Das Datenschutzgesetz der Europäischen Union (EU) regelt die Übertragung personenbezogener Daten von Kunden in der EU in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), wozu alle EU-Länder sowie Island, Liechtenstein und Norwegen gehören. In der Praxis bedeutet eine Compliance mit den EU-Datenschutzgesetzen, dass die Kunden weniger Genehmigungen von einzelnen Behörden einholen müssen, um personenbezogene Daten über die Grenzen der EU hinaus zu übertragen. Der Grund hierfür ist, dass die meisten EU-Mitgliedstaaten keine zusätzliche Autorisierung benötigen, wenn die Übertragung auf einer Vereinbarung basiert, die den Musterklauseln entspricht.

Microsoft und Standardvertragsklauseln der Europäischen Union

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) regelt die Übertragung personenbezogener Kundendaten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), wozu alle EU-Länder sowie Island, Liechtenstein und Norwegen gehören. Microsoft bietet Kunden die Standard-Vertragsklauseln (Standard Contractual Clauses, SCC) der EU (auch als EU-Modellklauseln bezeichnet), die spezifische Garantien für die Übertragung personenbezogener Daten für im Umfang enthaltene Dienste bieten. Die EU-Modellklauseln werden in Vereinbarungen zwischen Dienstanbietern (z. B. Microsoft) und ihren Kunden verwendet, um sicherzustellen, dass alle personenbezogenen Daten, die den EWR verlassen, in Übereinstimmung mit der DSGVO übertragen werden.

Im Juli 2020 hat der Gerichtshof der Europäischen Union (EuGH) das EU-US-Datenschutzschild-Framework für die Übertragung personenbezogener Daten aus der EU an die USA für ungültig erklärt. Die EU-Standardklauseln bieten jedoch weiterhin einen gültigen Mechanismus für die Übertragung personenbezogener Daten aus der EU und dem EWR, sowie aus der Schweiz und dem Vereinigten Königreich. Microsoft stellt Kunden die EU-Modellklauseln zur Verfügung, wie imDatenschutz-Nachtrag (Data Protection Addendum, DPA) der Bedingungen für Microsoft-Onlinedienste (Online Services Terms, OST) beschrieben.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure und Azure Government
  • Azure DevOps Services
  • Dynamics 365
  • Intune: Clouddienstkomponente des Intune Add-on-Produkts und Verwaltung mobiler Geräte für Office 365
  • Microsoft Cloud App Security
  • Microsoft Defender für Endpunkt für die folgenden Clouddienstkomponenten: Endpunkterkennung und -reaktion, automatische Untersuchung und Wartung, Sicherheitsbewertung.
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Microsoft 365 for Business
  • Office 365
  • Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Office 365 Markenplans oder einer Office 365 Suite

Office 365- und Standardklauseln der Europäischen Union

Office 365-Cloudumgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365-Cloudumgebungen behandelt:

  • Office 365 (für Geschäftskunden): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Advanced Threat Protection, Azure Active Directory, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To Do für das Web, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Cloud App Security, Office 365-Gruppen, Office 365 Security & Compliance Center, Office 365 Video, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Yammer Enterprise

Prüfungen, Berichte und Zertifikate

Microsoft überprüft die EU-Standards kontinuierlich und aktualisiert seine Dienste bei Bedarf.

Häufig gestellte Fragen

Warum ist die Compliance mit den Musterklauseln wichtig?

Ein Dienstanbieter, der sich vertraglich an die Musterklauseln bindet, gibt seinen Kunden die Sicherheit, dass personenbezogene Daten unter Einhaltung des EU-Datenschutzgesetzes übertragen und verarbeitet werden. Die Verwendung der Musterklauseln bedeutet auch, dass die Kunden weniger Genehmigungen von einzelnen Datenschutzbehörden einholen müssen, um personenbezogene Daten über die Grenzen der EU hinaus zu übertragen.

Wo finde ich die Complianceinformationen für Microsoft-Dienste?

Compliance ist eine vertragliche Verpflichtung. Die Microsoft-Standardvertragsklauseln stehen allen Cloudkunden in den Nutzungsbedingungen für Onlinedienste zur Verfügung. Die Details zu anderen Diensten finden Sie in Ihrer bestehenden Vereinbarung mit Microsoft.

Was ist ein „Unter-Datenverarbeiter”?

Ein „Unter-Datenverarbeiter“ verarbeitet personenbezogene Daten auf Weisung des Datenverantwortlichen hin sowie gemäß den Bedingungen der EU-Standardvertragsklauseln und des Untervertrags. Microsoft-Kunden, insbesondere unabhängige Softwareanbieter (Independent Software Vendors, ISV), sind mitunter selbst Datenverarbeiter. In diesen Fällen ist Microsoft der Unter-Datenverarbeiter.

Wo beginne ich mit dem Complianceprozess für meine eigene Organisation?

Sie können eine Vereinbarung wie die Nutzungsbedingungen für Onlinedienste abschließen, oder Ihre bestehende Vereinbarung dahingehend ändern, dass die Standardvertragsklauseln Aufnahme finden.

Ressourcen