EU-Standardvertragsklauseln – häufig gestellte Fragen

 
Alle anzeigen

Die EU-Standardvertragsklauseln gewährleisten, dass Kunden im Hinblick auf die grenzüberschreitende Übertragung personenbezogener Daten die geltende EU-Datenschutzrichtlinie und ab dem 25. Mai 2018 die Datenschutz-Grundverordnung der EU (DSGVO) erfüllen.

Die von der Europäischen Union erlassenen Standardvertragsklauseln enthalten Bestimmungen zum Schutz personenbezogener Daten von EU-Bürgern. Es handelt sich um ein Rechtsinstrument zur Erfüllung der datenschutzrechtlichen Anforderungen bei der grenzüberschreitenden Datenübertragung.

Anbieter globaler Clouddienste, die Dienste, Verfügbarkeit und Leistung für Unternehmen sowie zusätzliche Leistungen wie 24 x 7-Kundensupport bereitstellen, benötigen im Zuge der Bereitstellung die Flexibilität, personenbezogene Daten von EU-Kunden an Rechenzentren zu übertragen, die sich an verschiedenen Orten auf der ganzen Welt befinden.

Microsoft hat sich gegenüber dem Department of Commerce (US-Handelsministerium) zur Einhaltung der im Privacy Shield verankerten Datenschutzgrundsätze verpflichtet, die die grenzüberschreitende Übertragung personenbezogener Daten von EU-Bürgern regeln.

Die EU-Standardvertragsklauseln sind Teil der Microsoft Online Services-Nutzungsbedingungen, die allen Kunden zur Verfügung gestellt werden.

Es ist darauf hinzuweisen, dass die von uns bereitgestellten EU-Standardvertragsklauseln Datenübertragungen von Datenverantwortlichen innerhalb der EU an Auftragsdatenverarbeiter außerhalb des Europäischen Wirtschaftsraums schützen sollen. Im Rahmen von Online Services ist Microsoft ein Auftragsdatenverarbeiter (oder Unterauftragsverarbeiter), der im Auftrag seiner Kunden Kundendaten, Supportdaten und personenbezogene Daten verarbeitet.

Durch Unterzeichnen der EU-Standardvertragsklauseln als Auftragsdatenverarbeiter sichert Microsoft Kunden die Kontrolle über ihre Daten zu und verpflichtet sich, die Daten gemäß strengen Datenschutzbestimmungen zu verarbeiten.

Die EU-Standardvertragsklauseln enthalten detaillierte Datenschutzbestimmungen, die Cloud-Anbieter verpflichten, Kundendaten gemäß strenger technischer und organisatorischer Kontrollen zu verarbeiten. Um die EU-Standardvertragsklauseln zu erfüllen, wird Microsoft (auch in Zukunft) beträchtliche Summen in technische und betriebliche Prozesse investieren, um die in den EU-Standardvertragsklauseln dargelegten Datenschutz- und Sicherheitsanforderungen zu erfüllen. Unsere Investitionen in die Entwicklung von Kontrollen und Prozessen gehen weit über die Anforderungen für eine Zertifizierung gemäß ISO 27001 hinaus. Die Überprüfung ist Bestandteil unseres jährlichen Audits. Darüber hinaus macht Microsoft seine Aktivitäten in Bezug auf die Datenverarbeitung transparent. Zum Beispiel nennen wir unsere Unterauftragsverarbeiter und legen die technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz der Kundendaten offen. Es ist möglich, dass Anbieter von Clouddiensten, die keine EU-Standardvertragsklauseln anbieten, diese Kontrollen und Prozesse entweder nicht implementiert haben oder Geschäftspraktiken verwenden, die die Einhaltung dieser Klauseln unmöglich machen.

Die EU-Standardvertragsklauseln geben den Kunden Sicherheit, dass ihre Daten angemessen aufbewahrt werden. Wenn ein Anbieter von Clouddiensten nicht willens ist, EU-Standardvertragsklauseln zu unterzeichnen, kann der Kunde den Datenschutzpraktiken des Anbieters nicht vorbehaltlos vertrauen. Die EU-Standardvertragsklauseln tragen auch dazu bei, dass Cloud-Kunden die Anforderungen der EU zur grenzüberschreitenden Übertragung erfüllen. Tatsächlich verweist die Artikel-29-Arbeitsgruppe explizit darauf, wie wichtig es ist, die Beziehung zwischen dem Datenverantwortlichen und dem Auftragsdatenverarbeiter (d. h. zwischen dem Kunden und Clouddienstanbieter) vertraglich zu regeln und betont dabei die Wichtigkeit der EU-Standardvertragsklauseln.

Nein. Die EU-Datenschutzbehörden betrachten die Datenverschlüsselung nicht generell als eine Alternative zu geeigneten Sicherheitsmaßnahmen bei der grenzüberschreitenden Übertragung personenbezogener Daten von EU-Bürgern.

Kunden sollten unterscheiden können, ob der Clouddienstanbieter die EU-Standardvertragsklauseln als Datenverantwortlicher oder als Auftragsdatenverarbeiter unterzeichnet. Microsoft unterzeichnet die EU-Standardvertragsklauseln als Auftragsdatenverarbeiter und versichert den Kunden, dass ihre Daten ausschließlich gemäß Weisung verarbeitet werden.

Wenn beide Clouddienstanbieter die EU-Standardvertragsklauseln als Auftragsdatenverarbeiter unterzeichnen, sollten die Kunden darauf achten, was der Dienstanbieter über die EU-Standardvertragsklauseln hinaus in Sachen Datenschutz und Sicherheit unternimmt. Die proaktive Zusammenarbeit mit den nationalen Datenschutzbehörden und der Artikel-29-Arbeitsgruppe sind ein wichtiger Hinweis. Dies zeigt, dass das Angebot des Dienstanbieters sowohl den Erwartungen des Kunden als auch denen der Aufsichtsbehörden entspricht.

Microsoft hat zahlreiche positive Bewertungen von europäischen Datenschutzbehörden erhalten, die besonders die leistungsstarken Funktionen von Office 365 und Microsoft Dynamics CRM Online zur Einhaltung der Datenschutzbestimmungen herausstellen. Dies belegt einmal mehr, dass Microsoft seine Clouddienste nach Compliance-Gesichtspunkten entwickelt.

Zur Einhaltung der EU-Standardvertragsklauseln als Auftragsdatenverarbeiter liegen uns bis heute schriftliche Bewertungen der Datenschutzbehörden in Dänemark, Deutschland (Bayern), Frankreich, Irland, Luxemburg, Malta und Spanien vor. So können die Kunden darauf vertrauen, dass sie die gesetzlichen Anforderungen zur Übertragung personenbezogener Daten aus der EU in Länder erfüllen, deren Rechtsordnung kein angemessenes Datenschutzniveau für personenbezogene Daten bietet.

Ein EU-Kunde kann auf Office 365 oder Microsoft Dynamics CRM Online umsteigen und dabei die EU-Datenschutzvorschriften einhalten.

Microsoft stellt die Vorteile und Sicherheitsvorkehrungen der EU-Standardvertragsklauseln allen Kunden zur Verfügung. Office 365 ist ein mehrinstanzenfähiger Dienst, der von Microsoft für alle Kunden mit den gleichen Datenschutzfunktionen, Kontrollen und Prozessen betrieben wird. Es spielt also keine Rolle, ob sich ein Kunde für oder gegen die Unterzeichnung der EU-Standardvertragsklauseln entschieden hat.