Standardvertragsklauseln der Europäischen UnionEuropean Union Model Clauses

Standardvertragsklauseln der Europäischen Union – ÜbersichtEuropean Union Model Clauses overview

Das Datenschutzgesetz der Europäischen Union (EU) regelt die Übertragung personenbezogener Daten von Kunden in der EU in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), wozu alle EU-Länder sowie Island, Liechtenstein und Norwegen gehören.European Union (EU) data protection law regulates the transfer of EU customer personal data to countries outside the European Economic Area (EEA), which includes all EU countries and Iceland, Liechtenstein, and Norway. Die EU-Standardvertragsklauseln sind standardisierte Vertragsklauseln, die in Vereinbarungen zwischen Dienstanbietern (wie Microsoft) und ihren Kunden Anwendung finden und sicherstellen sollen, dass personenbezogene Daten, die den EWR verlassen, unter Einhaltung der europäischen Datenschutzgesetze übertragen werden und die Anforderungen der EU-Datenschutzrichtlinie 95/46/EG erfüllen.The EU Model Clauses are standardized contractual clauses used in agreements between service providers (such as Microsoft) and their customers to ensure that any personal data leaving the EEA will be transferred in compliance with EU data-protection law and meet the requirements of the EU Data Protection Directive 95/46/EC.

In der Praxis bedeutet eine Compliance mit den EU-Datenschutzgesetzen, dass die Kunden weniger Genehmigungen von einzelnen Behörden einholen müssen, um personenbezogene Daten über die Grenzen der EU hinaus zu übertragen. Der Grund hierfür ist, dass die meisten EU-Mitgliedstaaten keine zusätzliche Autorisierung benötigen, wenn die Übertragung auf einer Vereinbarung basiert, die den Musterklauseln entspricht.On a practical level, compliance with EU data protection laws also means that customers need fewer approvals from individual authorities to transfer personal data outside of the EU, since most EU member states do not require additional authorization if the transfer is based on an agreement that complies with the Model Clauses.

Microsoft und Standardvertragsklauseln der Europäischen UnionMicrosoft and European Union Model Clauses

Microsoft hat in die betrieblichen Abläufe investiert, die erforderlich sind, um die hohen Anforderungen der Musterklauseln für die Übertragung von personenbezogenen Daten an Datenverarbeiter zu erfüllen.Microsoft has invested in the operational processes necessary to meet the exacting requirements of the Model Clauses for the transfer of personal data to processors. Microsoft bietet Kunden Modellklauseln, die als Standardvertragsklauseln bezeichnet werden, die spezifische vertragliche Garantien in Bezug auf die Übertragung personenbezogener Daten für im Umfang enthaltene Microsoft-Clouddienste umfassen.Microsoft offers customers Model Clauses, referred to as Standard Contractual Clauses, that make specific guarantees around transfers of personal data for in-scope Microsoft services. So wird sichergestellt, dass die Kunden von Microsoft Daten ungehindert über die Microsoft Cloud aus dem EWR in Drittländer übertragen können.This ensures that Microsoft customers can freely move data through the Microsoft cloud from the EEA to the rest of the world.

Die Unternehmenskunden von Microsoft, die die personenbezogenen Daten selbst kontrollieren, sind jedoch primär zum Schutz dieser Daten verpflichtet.However, Microsoft enterprise customers, who are the controllers of the personal data, carry the primary obligation to protect that data. Das bedeutet, dass Unternehmenskunden im EWR großes Interesse daran haben, dass ihr Clouddienstanbieter die EU-Datenschutzgesetze befolgt. Andernfalls kann der Kunde haftbar gemacht und ggf. von der Nutzung eines Diensts ausgeschlossen werden.This means that EEA enterprise customers have a strong interest in ensuring that their service provider abides by EU data protection laws, or the customer can face liability — and even blockage of its ability to use a service.

Microsoft hat seine Standardvertragsklauseln der Artikel-29-Datenschutzgruppe der EU zur Prüfung und Genehmigung vorgelegt.Microsoft provided its Standard Contractual Clauses to the EU's Article 29 Working Party for review and approval. Der Artikel-29-Datenschutzgruppe gehören u. a. Vertreter des Europäischen Datenschutzbeauftragten, der Europäischen Kommission sowie alle 28 EU-Datenschutzbehörden an.The Article 29 Working Party includes representatives from the European Data Protection Supervisor, the European Commission, and each of the 28 EU data protection authorities (DPAs).

Die Gruppe hat festgestellt, dass die Implementierung der Bestimmungen in den Vereinbarungen von Microsoft ihre strengen Anforderungen erfüllt.The group determined that implementation of the provisions in Microsoft agreements was in line with their stringent requirements. (Microsoft erhielt als erster Clouddienstanbieter ein Bestätigungs- und Genehmigungsschreiben seitens der Datenschutzgruppe.) Die Genehmigung bezog sich auf die in den Standardvertragsklauseln 2010/87/EU dargelegten Vereinbarungen, jedoch nicht auf die Anhänge, die die Übertragung von Daten und die vom Datenimporteur implementierten Sicherheitsmaßnahmen beschreiben.(Microsoft was the first cloud service provider to receive a letter of endorsement and approval from the group.) Approval covered the engagements reflected in Model Clauses 2010/87/EU but not in the appendices, which describe the transfers of data and the security measures implemented by the data importer. Die Anhänge können von der Datenschutzbehörde separat analysiert werden.The appendices may be analyzed separately by the DPA.

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

  • Azure und Azure GovernmentAzure and Azure Government
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Microsoft 365 for BusinessMicrosoft Professional Services: Premier and On Premises for Azure, Dynamics 365, Intune, and for Medium Business and Enterprise customers of Microsoft 365 for business
  • Dynamics 365Dynamics 365
  • Intune: Clouddienstkomponente des Intune Add-on-Produkts und Verwaltung mobiler Geräte für Office 365Intune: Cloud service portion of the Intune Add-on Product and Mobile Device Management for Office 365
  • Power Automate-Clouddienst (ehemalig Microsoft Flow) als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan bzw. einer -Anwendungssuite enthaltenPower Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Office 365Office 365
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan bzw. einer -Anwendungssuite enthaltenPowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan bzw. einer -Anwendungssuite enthaltenPower BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite
  • Azure DevOps ServicesAzure DevOps Services
  • Microsoft Defender Advanced Threat Protection für die folgenden Clouddienstkomponenten: Endpunkterkennung und -reaktion, automatische Untersuchung und Entschärfung, Sicherheitsbewertung.Microsoft Defender for Endpoint for the following cloud service portions: Endpoint Detection & Response, Automatic Investigation & Remediation, Secure Score.

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Microsoft überprüft die EU-Standards kontinuierlich und aktualisiert seine Dienste bei Bedarf.Microsoft continually assesses the EU standards, and updates its services as needed.

Häufig gestellte FragenFrequently asked questions

Was ist die EU-Datenschutzrichtlinie (95/46/EG)?What is the EU Data Protection Directive 95/46/EC?

Diese Richtlinie schafft die Grundlage für den Umgang mit personenbezogenen Daten in der EU.This directive sets the baseline for handling personal data in the EU. Sie bildet einen Rechtsrahmen für Microsoft zur Übertragung von Daten aus der EU.It provides the regulatory framework under which Microsoft transfers personal data out of the EU. Gemäß dieser Richtlinie und unseren Vertragsvereinbarungen agiert Microsoft als Datenverarbeiter von Kundendaten.Under this directive and our contractual agreements, Microsoft acts as the data processor of customer data. Der Kunde agiert als Datenverantwortlicher, der als endgültiger Dateneigentümer die Verantwortung dafür trägt, dass die Daten legal an Microsoft zur Verarbeitung außerhalb des EWR übertragen werden können.The customer acts as the data controller, with final ownership and responsibility for ensuring that the data can be legally provided to Microsoft for processing outside of the EEA.

Warum ist die Compliance mit den Musterklauseln wichtig?Why is compliance with the Model Clauses important?

Ein Dienstanbieter, der sich vertraglich an die Musterklauseln bindet, gibt seinen Kunden die Sicherheit, dass personenbezogene Daten unter Einhaltung des EU-Datenschutzgesetzes übertragen und verarbeitet werden.A service provider that commits contractually to the Model Clauses gives its customers assurance that personal data will be transferred and processed in compliance with EU data protection law. Die Verwendung der Musterklauseln bedeutet auch, dass die Kunden weniger Genehmigungen von einzelnen Datenschutzbehörden einholen müssen, um personenbezogene Daten über die Grenzen der EU hinaus zu übertragen.Use of the Model Clauses also means that customers need to get fewer approvals from individual data-protection authorities to transfer personal data outside the EU.

Wo finde ich die Complianceinformationen für Microsoft-Dienste?Where can I see compliance information for Microsoft services?

Compliance ist eine vertragliche Verpflichtung.Compliance is a contractual commitment. Die Microsoft-Standardvertragsklauseln stehen allen Cloudkunden in den Nutzungsbedingungen für Onlinedienste zur Verfügung. Die Details zu anderen Diensten finden Sie in Ihrer bestehenden Vereinbarung mit Microsoft.Microsoft Standard Contractual Clauses are available to all cloud customers in the Online Services Terms; for other services, see your existing agreement with Microsoft.

Was ist ein „Unter-Datenverarbeiter”?What is a 'sub-processor'?

Ein „Unter-Datenverarbeiter“ verarbeitet personenbezogene Daten auf Weisung des Datenverantwortlichen hin sowie gemäß den Bedingungen der EU-Standardvertragsklauseln und des Untervertrags.A sub-processor is someone who processes personal data following the data controller's instructions, and the terms of the EU Model Clauses and the subcontract. Microsoft-Kunden, insbesondere unabhängige Softwareanbieter (Independent Software Vendors, ISV), sind mitunter selbst Datenverarbeiter.Microsoft customers—independent software vendors (ISVs), in particular — are sometimes themselves data processors. In diesen Fällen ist Microsoft der Unter-Datenverarbeiter.In those instances, Microsoft is the sub-processor.

Wo beginne ich mit dem Complianceprozess für meine eigene Organisation?Where do I start with my own organization's compliance efforts?

Sie können eine Vereinbarung wie die Nutzungsbedingungen für Onlinedienste abschließen, oder Ihre bestehende Vereinbarung dahingehend ändern, dass die Standardvertragsklauseln Aufnahme finden.You can enter an agreement such, as the Online Services Terms, or explore amending your existing agreement to incorporate the Standard Contractual Clauses.

RessourcenResources