Microsoft-Onlinedienste - Amicusdata

In den Gesprächen mit Microsoft konnte die Arbeitsgruppe keine wesentlichen Verbesserungen bei der Vertragsgestaltung in Bezug auf die Definition der Arten und Zwecke der Verarbeitung sowie der Arten der verarbeiteten personenbezogenen Daten erreichen. Es sind weiterhin Verbesserungen erforderlich, die den Zweck der Auftragsverarbeitung nicht nur vollständig, sondern auch spezifisch und so detailliert wie möglich beschreiben sollten.

In Bezug auf die eigene Verantwortung von Microsoft bei der Verarbeitung "zu rechtmäßigen Geschäftszwecken" konnte die Arbeitsgruppe Änderungen an der Vertragsstruktur erreichen. Trotz der unterschiedlichen Einschätzung der europäischen Aufsichtsbehörden, ob die vertraglich vereinbarte Datenverarbeitung zu eigenen Zwecken des Auftragsverarbeiters datenschutzkonform ist, bringen diese Vertragsänderungen aus Sicht der Arbeitsgruppe keine wesentlichen Verbesserungen mit sich.

Für Übermittlungen personenbezogener Daten in andere Drittländer als die USA fehlt es bereits an einer Bewertungsgrundlage. Die von Microsoft bereits avisierte künftige verstärkte Verlagerung der Datenverarbeitung in die EU erscheint vor diesem Hintergrund hilfreich, ist in der Umsetzung aber auch vor dem Hintergrund etwaiger extraterritorial wirkender Rechtsvorschriften zu beobachten und zu bewerten. 

Ob und in welchem Umfang durch die am 7. Oktober 2022 von US-Präsident Biden und Generalstaatsanwalt Garland vorgestellte Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“ und begleitende Rechtsverordnungen des US-Justizministeriums Änderungen des für die Bewertung von Drittstaatentransfers maßgeblichen Bedingungen des US-Rechts eingetreten sind, bleibt angesichts noch ausstehender Vollzugsschritte zur Implementierung dieser Regelungen im Rahmen dieses Berichts unberücksichtigt.

© Bayerisches Landesamt für Datenschutzaufsicht