Vorschau: Das sind die Änderungen im neuen Microsoft-DPA vom 01.04.2025
Über ein Jahr gab es keine neue DPA-Fassung von Microsoft. Nach der Neufassung vom 18.02.2025 gab es nun erneute eine neue Version.
Was sind die Änderungen in der Fassung vom 1. April?
Wie bereits berichtet, handelt es sich nicht um einen Aprilscherz: Am 01.04.2025 hat Microsoft erneut eine neue DPA-Fassung veröffentlicht. Diesmal sogar gleich in allen Sprachversionen.
Das Data Protection Addendum (DPA) ist das zentrale AVV- und Datenschutz-Dokument von Microsoft für Onine-Dienste wie Microsoft 365 (M365, MS365). Die Übersicht über die DPA-Fassungen finden Sie über https://use365.ms/DPA.
Was wird von Microsoft im DPA neu geregelt?
Die Änderungen betreffen nur eine Thematik: Es geht um den Umgang mit Versionen von Programmen bzw. Services, die allgemein als Beta-Versionen bezeichnet werden - also frühen Stadien, bei die noch nicht zu Ende getestet und nicht offiziell freigegeben wurden. Diese heißen bei Microsoft nicht (mehr) Beta-Versionen, sondern bislang Preview und nun (in der deutschen DPA-Fassung) Vorschau. Davon abgeleitet gibt es Begriffe wie "Vorschaudaten", Vorschauversionen und Vorschauen.
Es ist nachvollziehbar, wenn ein Dienstleister hierfür nur eingeschränkte rechtliche Verantwortung gewähren möchte. Meist betrifft dies die technsch-rechtliche Verantwortung , also Themen wie SLA und KPI, Stabilität und Mängelhaftung ("Gewährleistung"). Hier geht um die Frage, welche Datenschutzzusagen von Microsoft gelten.
Was sind die konkreten Änderungen?
In den Definitionen wurde der Begriff der "Vorschaudaten" neu aufgenommen und ein neues Kapitel zu "Vorschauen" eingefügt (meine Vergleichsversion finden Sie über use365.ms/DPA-APR25):
Was galt bislang für "Previews"?
Für den bisherigen Begriff der Previews galten Ausnahmen von der Anwendbarkeit des DPA bezüglich:
Umfang der Datenschutz. und Sicherheitsmaßnahmen
DPA-Teil "Verarbeitung personenbezogener Daten"
DSGVO
Datensicherheit und HIPAA
Hinweis: Wenn nicht anders angegeben, sollten Preview-Versionen nicht zur Verarbeitung personenbezogener Daten (...) verwendet werden.
Neu: Die "Vorschauen"
In der neuen Fassung gibt es hieran zunächst nur eine marginal erscheinende sprachliche Änderung: Statt "wenn nicht anders angegeben" heißt es nun nun "Vorschauen, die die Verarbeitung personenbezogener Daten ... zulassen").
Diese "zulassenden" Vorschauen werden nun aber ausdrücklich geregelt - siehe die beiden DPS-Punkte zu Vorschauen. Mit der Formulierung "Vorschaudaten dürfen in die USA ... übertragen ... werden" ist nicht gemeint, dass der Verantwortliche dies darf, also Microsoft das Vorliegen einer Rechtsgrundlage garantiert. Es ist natürlich so zu lesen, dass Microsoft berechtigt sein soll, die Daten in die USA bzw. die anderen dort referenzierten Länder zu übermitteln.
Umgekehrt kann man formulieren: Lassen Sie in Vorschauen keine Daten verarbeiten, die die EU nicht verlassen sollen.
Was ist nun zu tun?
Wenn man die (Nicht-)Freigabe von Beta-Versionen aka Vorschauen ernst nimmt, sollte dies ohnehin bedacht werden. Dies geht nur in der Praxis sehr oft unter. Wie bereits zu Recht zu meinem LinkedIn-Post von den geschätzten Kollegen Dom Côté und Johannes Nehlsen angemerkt wurde, können Vorschauen (eigentlich) technisch blockiert werden - im realen (Admin-)Leben ist es dann aus verschiedenen Gründen oft doch nicht ganz einfach.
Der Umgang von M365-Diensten, die nicht den vollen Schutz von DPA und EU Data Boundary haben, ist auch Teil der LegalCheck-Dokumentation zu Microsoft 365. Hierzu gehören nicht nur Previews/Vorschauen, sondern auch Angebote von Drittdienstleistern, lokal gespeicherte Daten und weitere Teile.
