Änderungen für gewerbliche Cloud-Kunden

Microsoft passt Datenschutzregeln an

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Microsoft wird die Regelungen zum Datenschutz in Cloud-Verträgen mit gewerblichen Kunden anpassen. Das Unternehmen reagiert damit auf Untersuchungen des Europäischen Datenschutzbeauftragten. Dieser hatte im April 2019 bezweifelt, dass Microsoft-Angebote zur EU-Richtlinie 2018/1725 konform sind.
Microsoft korrigiert seine Online Services Terms (OST), um Datenschutzanforderungen der Europäischen Union zu erfüllen.
Microsoft korrigiert seine Online Services Terms (OST), um Datenschutzanforderungen der Europäischen Union zu erfüllen.
Foto: Volodymyr Kyrylyuk - shutterstock.com

Microsoft hat angekündigt, die Nutzungsbedingungen für seine Cloud-Angebote für gewerbliche Kunden anzupassen. Das Unternehmen verspricht mit den Änderungen bei den Online Services Terms (OST) mehr "Transparenz bei der Privatsphäre" und begründet sie mit "zusätzlichem Feedback von Kunden". Tatsächlich reagiert Microsoft mit den Anpassungen jedoch auf Bedenken, die der damalige Europäische Datenschutzbeauftrage Giovanni Buttarelli im April 2019 geäußert hatte.

Sein Büro untersuchte damals, ob sich die Vertragsbedingungen von Microsoft mit der seit 1. Dezember 2018 geltenden EU-Richtlinie 2018/1725 vereinbaren lassen. Anlass war, dass die EU-Einrichtungen im Zuge ihrer täglichen Arbeit auch große Mengen personenbezogener Daten verarbeiten und dazu Produkte und Dienste von Microsoft nutzen. Offenbar zweifelten die maßgeblichen Stellen daran, dass diese Nutzung in Übereinstimmung mit den Datenschutzregeln erfolgte und überhaupt möglich ist.

Auch interessant: Was es bei der Kombination von Cloud-Lösungen zu beachten gilt

Kurz darauf hatte in Deutschland der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) aufgrund der übertragenen Telemetrie-Daten von Windows 10 und aufgrund von Mängeln bei der Nachvollziehbarkeit der Speicherung personenbezogener Daten den Einsatz von Office 365 an Schulen als datenschutzrechlich unzulässig bezeichnet.

Wichtig war das, weil der Hessische Datenschutzbeauftragte sich im August 2017 als einziger der deutschen Aufsichtsbehörden überhaupt zu einer Stellungnahme zum Einsatz von Office 365 in Schulen durchgerungen hatte. Allerdings revidierte er seine Auffassung im August 2019 erneut. Nach Gesprächen mit Microsoft habe er sich "dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und unter dem Vorbehalt weiterer Prüfungen vorläufig zu dulden."

Lesetipp: Europäisches Cloud-Netzwerk Gaia-X gestartet

In einer Ankündigung teilt Microsoft nun mit, die neuen Online Services Terms (OST) spiegelten Vertragsänderungen wider, die mit einem Microsoft-Kunden ausgearbeitet worden. Dieser Kunde ist das Niederländische Ministerium für Justiz und Sicherheit. Die mit ihm vereinbarten Änderungen würden Kunden mehr Einblick geben, wie ihre Daten in der Microsoft-Cloud verarbeitet werden. Das Ministerium hatte in einem Bericht insgesamt acht Verstöße gegen die EU-Datenschutzverordnung festgestellt. Untersucht worden waren dazu ein "ProPlus"-Abonnement von Office 2016 und Office 365. Allerdings seien auch die webbasierten Versionen von Office 365 betroffen. Die jetzt angekündigten Änderungen sollen Anfang 2020 wirksam werden.