Microsoft ändert Nutzungsbestimmungen. Für die DSGVO?

Microsoft hat seine Nutzungsbestimmungen geändert. Dies steht möglicherweise im Zusammenhang mit der Datenschutz-Grundverordnung.

Unter anderem bezieht sich die Änderungen auf den Sitz des Vertragspartners. Diesen hat Microsoft nämlich in die Europäische Union verlegt.

Im Abschnitt „Vertragsschließende Gesellschaft, Rechtswahl und Gerichtsstand“ haben wir erläutert, dass für Benutzer mit Wohnsitz (oder Unternehmen mit Hauptsitz) in der Europäischen Union, Island, Lichtenstein, Norwegen, der Schweiz oder dem Vereinigten Königreich, die kostenlose oder kostenpflichtige Dienste nutzen, Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (beim Companies Registration Office in Irland unter der Nummer 256796 und der Umsatzsteueridentifikationsnummer IE 8256796 U sowie der Adresse 70 Sir John Rogerson’s Quay, Dublin 2, Irland registriert) die vertragsschließende Gesellschaft ist.

Zusammenfassung der Änderungen am Microsoft‑Servicevertrag

Privacy Shield

Bisher konnten sich US-amerikanische Unternehmen unter dem Privacy Shield zertifizieren lassen. Dies hatte zur Folge, dass europäische Unternehmen personenbezogene Daten – etwa Arbeitnehmerdaten oder Verbraucherdaten – an solche zertifizierten Unternehmen in den USA übermitteln durften, ohne gegen die DSGVO zu verstoßen. Am 16. Juli 2020 erklärte der Europäische Gerichtshof in Luxemburg auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield durch das Schrems II-Urteil für ungültig.

Durch die Verlegung des Sitzes in die EU ist Microsoft nunmehr unmittelbar an die DSGVO gebunden. Europäischen Vertragspartner können die Dienste von Microsoft auch ohne Privacy Shield nutzen und Daten an Microsoft übermitteln. Nach Angaben von Microsoft werden Daten deutscher Kunden nur noch auf Servern in Deutschland gespeichert. Allerdings gab es, zumindest bisher, auch weiterhin eine Weitergabe von Daten in die USA von Anwendungen in Office 2016 und Office 365. Hier wurden Telemetrie- und Diagnosedaten, darunter auch personenbezogene Daten, automatisch und verschlüsselt an eine Datenbank für Microsoft-Entwicklerteams sendet.

Dies ist dem sog. US-Cloud-Act geschuldet. Dieses Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

Aufgrund der Verlegung des Sitzes des Vertragspartners nach Europa ab 01.10.2020 ist davon auszugehen, dass ab diesem Zeitpunkt keinerlei Daten mehr an die USA übermittelt werden (müssen).