DSGVO-Zusagen von Microsoft an Kunden unserer allgemein verfügbaren Enterprise Software-Produkte
Einleitung
Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) legt global einen neuen Maßstab für Datenschutzrechte, Informationssicherheit und Compliance fest. Wir bei Microsoft glauben, dass Datenschutz ein Grundrecht ist und dass die DSGVO ein wichtiger Schritt nach vorn beim Schutz und der Ermöglichung der Datenschutzrechte natürlicher Personen darstellt.
Microsoft hat sich zu ihrer eigenen Einhaltung der DSGVO verpflichtet, aber auch dazu, eine Reihe von Produkten, Features, Dokumentationen und Ressourcen anzubieten, um unsere Kunden dabei zu unterstützen, ihre Compliance-Verpflichtungen im Rahmen der DSGVO zu erfüllen. Im Folgenden finden Sie eine Beschreibung der vertraglichen Zusagen von Microsoft gegenüber ihren Kunden im Hinblick auf personenbezogene Daten, die von Unternehmenssoftware erfasst werden. (Für Software, die im Rahmen der kommerziellen Lizenzprogramme von Microsoft lizenziert wurde, verweisen wir direkt auf den Datenschutznachtrag zu den Produkten und Services von Microsoft (Microsoft Products and Services Data Protection Addendum, DPA) unter http://aka.ms/dpa)
Macht Microsoft seinen Kunden gegenüber Zusagen im Hinblick auf die DSGVO?
Ja. Gemäß der DSGVO sind Verantwortliche (z. B. Unternehmen bzw. Organisationen und Entwickler, welche die Enterprise-Onlinedienste von Microsoft nutzen) verpflichtet, nur Auftragsverarbeiter (wie Microsoft) einzusetzen, die personenbezogene Daten im Namen des Verantwortlichen verarbeiten und hinreichende Garantien bieten, um Schlüsselanforderungen der DSGVO zu erfüllen. Microsoft stellt diese Verpflichtungen allen Kunden von Microsoft Commercial Licensing-Programmen im DPA zur Verfügung. Auch Kunden anderer allgemein verfügbarer Enterprise Software, die von Microsoft oder unseren Affiliate-Partnern lizenziert wurde, kommen in den Genuss der in dieser Erklärung beschriebenen Vorteile der DSGVO-Zusagen von Microsoft, soweit von der Software personenbezogene Daten verarbeitet werden.
Wo finde ich die vertraglichen Zusagen von Microsoft im Hinblick auf die DSGVO?
Die vertraglichen Verpflichtungen von Microsoft in Bezug auf die DSGVO (DSGVO-Bedingungen) finden Sie im Anhang zum DPA mit der Bezeichnung „Allgemeine Datenschutzbestimmungen der Europäischen Union“. Diese Bedingungen verpflichten Microsoft zur Einhaltung der Anforderungen an Auftragsverarbeiter gemäß Artikel 28 der DSGVO und anderer relevanter Artikel der DSGVO.
Ab dem 25. Mai 2018 gewährt Microsoft die DSGVO-Bedingungen allen Kunden von allgemein verfügbaren Enterprise Software-Produkten, die von uns oder unseren Affiliate-Partnern im Rahmen von Microsoft-Software-Lizenzbedingungen lizenziert wurden, ungeachtet der jeweiligen Version der Enterprise-Software, soweit Microsoft Auftragsverarbeiter oder Unterauftragsverarbeiter personenbezogener Daten in Verbindung mit der betreffenden Software ist und solange wie Microsoft das Angebot oder die Unterstützung für die Version fortsetzt. Details zur Unterstützung finden Sie in der Microsoft Lifecycle-Richtlinie unter https://support.microsoft.com/lifecycle.
Zur Klarstellung sei angemerkt, dass unter Umständen andere oder weniger umfangreiche Zusagen für Folgendes gelten: Beta- oder Vorschauversionen von Software, Software, die in wesentlichem Masse geändert wurde, oder Software, die von Microsoft oder unseren Affiliate-Partnern lizenziert wurde, welche nicht allgemein der Öffentlichkeit zur Verfügung gestellt wird oder anderweitig nicht im Rahmen von Microsoft-Software-Lizenzbedingungen lizenziert wird. Einige Produkte können Telemetrie- oder andere Daten standardmäßig erheben und an Microsoft senden; die Produktdokumentation enthält Informationen und Anweisungen zur Deaktivierung oder Konfiguration einer solchen Erhebung von Telemetriedaten.
Welche Zusagen sind in den DSGVO-Bestimmungen enthalten?
Die DSGVO-Bedingungen von Microsoft reflektieren die Zusagen, die von Auftragsverarbeitern in Artikel 28 der DSGVO verlangt werden. Laut Artikel 28 müssen sich Auftragsverarbeiter zu Folgendem verpflichten:
- Unterauftragsverarbeiter nur mit der Zustimmung des Verantwortlichen einzusetzen und weiterhin für Unterauftragnehmer zu haften;
- personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen zu verarbeiten, auch im Hinblick auf eine Übermittlung der Daten;
- sicherzustellen, dass sich Personen, die personenbezogene Daten verarbeiten, zur Geheimhaltung solcher Daten verpflichtet haben;
- angemessene technische und organisatorische Maßnahmen einzurichten, um ein Sicherheitsniveau für personenbezogene Daten zu gewährleisten, das für das jeweilige Risiko angemessen ist;
- den Verantwortlichen bei seinen Verpflichtungen zu unterstützen, Anfragen von betroffenen Personen in Bezug auf deren Wahrnehmung ihrer Rechte gemäß der DSGVO zu beantworten;
- die Anforderungen der DSGVO in Bezug auf Benachrichtigungen und Unterstützung bei einer Verletzung des Schutzes personenbezogener Daten zu erfüllen;
- den Verantwortlichen bei der Datenschutz-Folgenabschätzung und der Konsultation der Aufsichtsbehörden zu unterstützen;
- personenbezogene Daten am Ende der Erbringung der Dienste zu löschen oder zurückzugeben; und
- den Verantwortlichen durch Nachweise bezüglich der Einhaltung der DSGVO zu unterstützen.