Neue Subprocessor-List von Microsoft: Ein Fehler - und was ist nun zu tun?
Microsoft hat eine neue Liste der Subunternehmer herausgegeben. Was ändert sich und was ist zu tun?
Microsoft hat die Liste seiner Subunternehmer für Online Services (wie Microsoft 365 oder Azure) aktualisiert. Dies erfolgt alle paar Monate. So sieht das Dokument (pdf) aus:
Der erste Blick geht immer zu der Aufstellung "Summary of Changes Since the Last Disclosure":
Es gibt nur drei (oder zwei) Änderungen:
👉 Anthropic wurde hinzugefügt, weil in Copilot neben den GPT-LLMs von OpenAI nun auch Claude verfügbar ist
👉 ATOS wurde gelöscht
👉 Capgemini America wurde hinzugefügt.
Bemerkenswert: Eigentlich sind es nur zwei Änderungen. Capgemini USA wurde offensichtlich versehentlich gelöscht und nun als Korrektur wieder hinzugefügt. Das eignet sich prächtig für Häme und Microsoft-Bashing, aber ich finde es vorbildlich, damit so offen umzugehen. Wer ohne Schuld ist, werfe den ersten Stein.
Oft sehe ich datenschutzrechtliche Aspekte nicht ganz zu streng wie manche Aufsichtsbehörden. Aber bei der Unterauftragsnehmer-Information ist meine Lesart von Art 28. Abs. 2 S. 2 DSGVO, dass eine proaktive Information des Auftragnehmers an den Kunden zwingend erforderlich ist:
"Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, ..."
Daher reicht es mE nicht aus, wenn der Kunde sich die Informationen selbst auf Webseiten des Anbieters heraussuchen muss. Statt dessen kann man im Service Trust Portal aber auch das Dokument und dessen Änderungen "abonnieren". Dann bekommt man Mails wie diese:
Damit genügt man m.E. den Anforderungen des Art, 28 Abs. 2 DSGVO. LegalCheck informiert aber auch über die Änderungen.
Wie geht das? Hier Passagen aus "Datenschutz bei M365 und Copilot", Rn. 322 ff. (S. 105 f.):
