Microsoft ändert Cloud-Verträge nach Kritik von EU

Microsoft hat die Online Services Terms genannten Cloud-Verträge mit Firmenkunden überarbeitet. Sie enthalten nun neue Datenschutzbestimmungen. Der Softwarekonzern reagiert damit auf Ermittlungen der EU wegen möglichen Verstößen gegen die Datenschutzgrundverordnung.

Auslöser der Untersuchung war eine Einschätzung des niederländischen Justizministeriums, wonach die Sammlung von Telemetriedaten von Nutzern von Office 365 ProPlus und Office 365 die Datenschutzgrundverordnung verletzt. Daraufhin ermittelte auch der Europäische Datenschutzbeauftragte gegen das Unternehmen aus Redmond. Er äußerte dann vor rund einem Monat „ernste Bedenken“ gegenüber den Verträgen, die Microsoft mit europäischen Institutionen abgeschlossen hat.

Der oberste Datenschützer der EU bewertete aber auch die Einigung, die Microsoft bezüglich vertraglicher und technischer Änderungen mit der niederländischen Justiz traf, um Risiken für Einzelpersonen zu minimieren. Sie sei ein Schritt in die richtige Richtung.

Die neue Online Service Terms enthalten nun die vertraglichen Änderungen, die mit der niederländischen Justiz erarbeitet wurden. Laut Julie Brill, Chief Privacy Officer und Corporate Vice President für weltweiten Datenschutz, sollen die neuen Bestimmungen mehr Transparenz über die Verarbeitung von Daten in der Microsoft-Cloud bieten. Sie sollen vor allem genauer beschreiben, wie Microsoft bestimmte gesammelte Daten nutzt.

Die neuen Regel gelten allerdings nicht nur für EU-Institutionen, sondern weltweit für alle öffentlichen Einrichtungen und Geschäftskunden – unabhängig von der Größe der Organisation. Brill zufolge wird Microsoft die neuen Verträge alle Kunden ab Anfang 2020 anbieten.

„Wir werden klarstellen, dass Microsoft die Rolle des Datenverantwortlichen übernimmt, wenn wir Daten für bestimmte administrative und betriebliche Zwecke verarbeiten, die mit der Bereitstellung der von diesem vertraglichen Rahmen abgedeckten Cloud-Services wie Azure, Office 365, Dynamics und Intune verbunden sind“, sagte Brill. „Dieser Teil der Datenverarbeitung dient administrativen oder operativen Zwecken wie Kontoführung, Finanzberichterstattung, Bekämpfung von Cyberangriffen auf Microsoft-Produkte oder -Dienste und der Erfüllung unserer gesetzlichen Verpflichtungen.“

„Microsoft bleibt der Datenverarbeiter für die Bereitstellung der Dienste, die Verbesserung und Behebung von Fehlern oder anderen Problemen im Zusammenhang mit dem Dienst, die Gewährleistung der Sicherheit der Dienste und die Aktualisierung der Dienste“, ergänzte Brill.