Microsoft hat eine neue Version des Data Protection Addendum (DPA) veröffentlicht – das zentrale Datenschutz-Vertragsdokument für Microsoft-Dienste. Angesichts der wiederholten Kritik von Datenschutzbehörden in der Vergangenheit waren die Erwartungen an diese Aktualisierung hoch. Doch was hat sich tatsächlich geändert?
Der Hintergrund
Die DPA-Fassungen von Microsoft standen wiederholt in der Kritik der Datenschutzaufsichtsbehörden, unter anderem im DSK-Beschluss vom November 2022 und durch die niedersächsische sowie weitere Aufsichtsbehörden im September 2023. Viele Updates des DPA entstanden als Reaktion auf diese Kritik oder aufgrund von Änderungen der Rechtslage, wie dem EU-US Data Privacy Framework.
Die bisherige Fassung stammte vom Januar 2024. Nachdem die niedersächsische Aufsichtsbehörde die Nutzung von Teams mit einer Zusatzvereinbarung für rechtskonform erklärt hatte, erwarteten viele ein neues DPA, das zahlreiche Punkte aus dieser Zusatzvereinbarung aufgreifen würde.
Die Änderungen – oder eher: Das Fehlen von Änderungen
Die heute veröffentlichte neue DPA-Fassung überrascht durch ihren Mangel an substanziellen Änderungen. Tatsächlich beschränken sich die Neuerungen auf:
Neue Farben auf dem Deckblatt
Geänderte Formatierungen
Eine inhaltliche Änderung im Bereich "Professional Services" – ein Bereich, den normale M365-Kunden in der Regel nicht nutzen
Die Rechtslage bleibt damit genauso unklar wie zuvor. Die sonst bei neuen Fassungen übliche Frage – wie wird mein Vertrag auf die neue DPA-Fassung umgestellt? – erübrigt sich in diesem Fall.
Was bedeutet das für Anwender?
Fehlende und eigentlich erwartete Änderungen im Standard-DPA müssen weiterhin durch eigene Dokumentation oder weitere Arbeiten ausgeglichen werden. Zudem wird den Zusatzvereinbarungen, die Microsoft in bestimmten Branchen, Konzernen oder Zielgruppen abschließt, mehr Gewicht zukommen. Dies erfordert entsprechendes Expertenwissen.
Microsoft bietet hierfür übrigens kostenlose und öffentliche Sprechstunden für verschiedene Zielgruppen an – eine Ressource, die nicht jedem bekannt ist.
Fazit
Die neue DPA-Fassung ist ein wenig enttäuschend für alle, die auf mehr Klarheit gehofft hatten. Andererseits gibt es auch einen kleinen Vorteil: Bestehende Dokumentationen und Analysen – wie etwa die knapp 300 Seiten Druckfahnen zu meinem Buch über Datenschutz bei M365 und Copilot – müssen nicht in letzter Sekunde überarbeitet werden.
