Sind die Enterprise Cloud-Verträge von Microsoft mit den Datenschutzaufsichtsbehörden abgestimmt?

Antwort: Ja. Die Artikel 29-Datenschutzgruppe, ein Abstimmungsgremium aller 28 nationalen Datenschutzaufsichtsbehörden der EU Mitgliedstaaten, hat Microsoft mit Schreiben vom 2. April 2014 bestätigt, dass das vorgelegte Microsoft-Vertragswerk eine ordnungsgemäße Umsetzung der EU Modell Clauses ist und damit ein angemessenes Datenschutzniveau bei Empfängern außerhalb der EU herstellt (Ref. Ares(2014)1033670 - 02/04/2014).

Die Datenschutzbehörden haben damit festgestellt, dass das Vertragswerk alle Inhalte aufweist, die für eine weisungsgebundene Beauftragung von Dienstleistern erforderlich ist. Für Unternehmen in Deutschland bedeutet dies, dass die Nutzung nicht durch die Aufsichtsbehörden genehmigt werden muss.

Die letzte Änderung (ein fester Zeitrahmen, in dem die Kundendaten nach Vertragsbeendigung gelöscht werden müssen), die Microsoft mit den Datenaufsichtsbehörden abgestimmt hat, wurde zum 01.07.2014 in die Standardverträge aufgenommen. Altverträge können aktualisiert werden.

Ändert sich etwas an den Vertragsbeziehungen, wenn die Cloud-Services von verschiedenen Konzerngesellschaften des Kunden genutzt werden?

Antwort: Die Services können weiterhin von einer zentralen Konzerngesellschaft, beispielsweise der IT-Dienstleistungsgesellschaft des Konzerns, bezogen werden. Der Servicevertrag wird zwischen dieser Konzerngesellschaft und MIOL abgeschlossen. Die EU-Standardvertragsklauseln und die Auftragsdatenverarbeitungsvereinbarung (ADV-Vereinbarung bzw. Data Processing Agreement (DPA)) sollten auf Kundenseite alle nutzenden Konzerngesellschaften unterzeichnen. Diese sind aus Sicht der Datenschutzaufsichtsbehörden die sogenannten verantwortlichen Stellen, die die unmittelbare Vertragsbeziehung zu der nicht in der EU ansässigen Microsoft Corporation haben sollen. Hierfür bietet Microsoft eine Zusatzvereinbarung an.

Welchen Inhalt haben die Vertragsbeziehungen, wenn Unternehmen eine Microsoft-Plattform wie Microsoft Azure nutzen und darauf aufbauend Services ihren Kunden anbieten?

Antwort: Beim sogenannten "Platform as a Service" (PaaS) hängt die Vertragsgestaltung vom Einzelfall ab. Sofern der Microsoft Partner die von ihm entwickelten Applikationen als Service anbieten möchte, ist es zweckmäßig, dass er insofern in seinen Vertragsbedingungen die Maßgaben von Microsoft berücksichtigt, weil er nur die Leistungen weitergeben kann, die er selbst bezieht.

Mehr Informationen zu rechtlichen Aspekten sowie zum technologischen und prozessualen Aufbau der Microsoft Cloud erhalten Sie auf dem Microsoft Event "Die Microsoft Cloud - Rechtliche Aspekte und technische Informationen. Renommierte IT-Rechtler und Microsoft informieren". Er findet in München am 9. März, in Hamburg am 16. April und in Köln am 22. April statt. Anmelden können Sie sich kostenfrei unter www.mscloudevent.de. Die Agenda finden Sie hier.

Hier geht's zu den weiteren Compliance-Fragen und -Antworten:
Cloud Compendium - Teil 1: Datenspeicherung
Cloud Compendium - Teil 2: Datenschutz