DSGVO-Zusagen von Microsoft an Kunden unserer allgemein verfügbaren Enterprise Software-Produkte

Einleitung

Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) legt global einen neuen Maßstab für Datenschutzrechte, Informationssicherheit und Compliance fest. Wir bei Microsoft glauben, dass Datenschutz ein Grundrecht ist und dass die DSGVO ein wichtiger Schritt nach vorn beim Schutz und der Ermöglichung der Datenschutzrechte natürlicher Personen ist.

Microsoft hat sich zu ihrer eigenen Einhaltung der DSGVO verpflichtet, aber auch dazu, eine Reihe von Produkten, Features, Dokumentationen und Ressourcen anzubieten, um unsere Kunden dabei zu unterstützen, ihre Compliance-Verpflichtungen im Rahmen der DSGVO zu erfüllen. Im Folgenden finden Sie eine Beschreibung der vertraglichen Zusagen von Microsoft gegenüber ihren Kunden im Hinblick auf personenbezogene Daten, die aus Enterprise-Software erhoben werden:

Gibt Microsoft ihren Kunden gegenüber Zusagen im Hinblick auf die DSGVO ab?

Ja. Gemäß der DSGVO sind Verantwortliche (z. B. Unternehmen bzw. Organisationen und Entwickler, welche die Enterprise-Onlinedienste von Microsoft nutzen) verpflichtet, nur Auftragsverarbeiter (wie Microsoft) einzusetzen, die personenbezogene Daten im Namen des Verantwortlichen verarbeiten und hinreichende Garantien bieten, um Schlüsselanforderungen der DSGVO zu erfüllen. Microsoft hat den proaktiven Schritt ergriffen, diese Zusagen allen Kunden von Enterprise-Onlinediensten im Rahmen ihrer Abonnement-Vereinbarungen und Volumenlizenzierungskunden im Rahmen ihrer Enterprise-Vereinbarungen zu gewähren. Auch Kunden anderer allgemein verfügbarer Enterprise Software, die von Microsoft oder unseren Affiliate-Partnern lizenziert wurde, kommen in den Genuss der in dieser Erklärung beschriebenen Vorteile der DSGVO-Zusagen von Microsoft, soweit von der Software personenbezogene Daten verarbeitet werden.

Wo finde ich die vertraglichen Zusagen von Microsoft im Hinblick auf die DSGVO?

Sie finden die vertraglichen Zusagen von Microsoft in Bezug auf die DSGVO im Online Services Data Protection Addendum – Onlinedienste-Datenschutznachtrag, der die Datenschutz- und Sicherheitsverpflichtungen von Microsoft sowie die Datenverarbeitungs- und DSGVO-Bestimmungen für die Microsoft-Hostingdienste enthält, die Kunden im Rahmen eines Volumenlizenzvertrags abonnieren. Diese Bestimmungen verpflichten Microsoft zur Einhaltung der Anforderungen an Auftragsverarbeiter in Artikel 28 der DSGVO und anderen relevanten Artikeln der DSGVO.

Ab dem 25. Mai 2018 gewährt Microsoft die DSGVO-Bedingungen allen Kunden von allgemein verfügbaren Enterprise Software-Produkten, die von uns oder unseren Affiliate-Partnern im Rahmen von Microsoft-Software-Lizenzbedingungen lizenziert wurden, ungeachtet der jeweiligen Version der Enterprise-Software, soweit Microsoft Auftragsverarbeiter oder Unterauftragsverarbeiter personenbezogener Daten in Verbindung mit der betreffenden Software ist und solange wie Microsoft das Angebot oder die Unterstützung für die Version fortsetzt. Details zur Unterstützung finden Sie in der Microsoft Lifecycle-Richtlinie unter https://support.microsoft.com/en-us/lifecycle.

Zur Klarstellung sei angemerkt, dass unter Umständen andere oder weniger umfangreiche Zusagen für Folgendes gelten: Beta- oder Vorschauversionen von Software, Software, die in wesentlichem Masse geändert wurde, oder Software, die von Microsoft oder unseren Affiliate-Partnern lizenziert wurde, welche nicht allgemein der Öffentlichkeit zur Verfügung gestellt wird oder anderweitig nicht im Rahmen von Microsoft-Software-Lizenzbedingungen lizenziert wird. Einige Produkte können Telemetrie- oder andere Daten standardmäßig erheben und an Microsoft senden; die Produktdokumentation enthält Informationen und Anweisungen zur Deaktivierung oder Konfiguration einer solchen Erhebung von Telemetriedaten.

Welche Zusagen sind in den DSGVO-Bedingungen enthalten?

Die DSGVO-Bedingungen von Microsoft reflektieren die Zusagen, die von Auftragsverarbeitern in Artikel 28 der DSGVO verlangt werden. Laut Artikel 28 müssen sich Auftragsverarbeiter zu Folgendem verpflichten:

  • Unterauftragsverarbeiter nur mit der Zustimmung des Verantwortlichen einzusetzen und weiterhin für Unterauftragnehmer zu haften;
  • personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen zu verarbeiten, auch im Hinblick auf eine Übermittlung der Daten;
  • sicherzustellen, dass sich Personen, die personenbezogene Daten verarbeiten, zur Geheimhaltung solcher Daten verpflichtet haben;
  • angemessene technische und organisatorische Maßnahmen einzurichten, um ein Sicherheitsniveau für personenbezogene Daten zu gewährleisten, das für das jeweilige Risiko angemessen ist;
  • den Verantwortlichen bei seinen Verpflichtungen zu unterstützen, Anfragen von betroffenen Personen in Bezug auf deren Wahrnehmung ihrer Rechte gemäß der DSGVO zu beantworten;
  • die Anforderungen der DSGVO in Bezug auf Benachrichtigungen und Unterstützung bei einer Verletzung des Schutzes personenbezogener Daten zu erfüllen;
  • den Verantwortlichen bei der Datenschutz-Folgenabschätzung und der Konsultation der Aufsichtsbehörden zu unterstützen;
  • personenbezogene Daten am Ende der Erbringung der Dienste zu löschen oder zurückzugeben; und
  • den Verantwortlichen durch Nachweise bezüglich der Einhaltung der DSGVO zu unterstützen.