DSGVO-Zusagen von Microsoft an Kunden unserer allgemein verfügbaren Enterprise Software-Produkte

Einführung

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union setzt weltweit eine wichtige Messlatte für Datenschutzrechte, Informationssicherheit und Compliance. Wir bei Microsoft glauben, dass Datenschutz ein Grundrecht ist und dass die DSGVO ein wichtiger Schritt nach vorn beim Schutz und der Ermöglichung der Datenschutzrechte natürlicher Personen ist.

Microsoft hat sich zu ihrer eigenen Einhaltung der DSGVO verpflichtet, aber auch dazu, eine Reihe von Produkten, Features, Dokumentationen und Ressourcen anzubieten, um unsere Kunden dabei zu unterstützen, ihre Compliance-Verpflichtungen im Rahmen der DSGVO zu erfüllen. Im Folgenden finden Sie eine Beschreibung der vertraglichen Verpflichtungen von Microsoft gegenüber seinen Kunden in Bezug auf personenbezogene Daten, die von Unternehmenssoftware erfasst werden. (Für Software, die im Rahmen der kommerziellen Lizenzprogramme von Microsoft lizenziert wurde, verweisen wir direkt auf die Datenschutz-Zusatzerklärung für Microsoft Produkte und Dienste (DPA) unter http://aka.ms/dpa)

Gibt Microsoft ihren Kunden Zusagen im Hinblick auf die DSGVO?

Ja. Gemäss der DSGVO sind Verantwortliche (z. B. Unternehmen bzw. Organisationen und Entwickler, welche die Enterprise-Onlinedienste von Microsoft nutzen) verpflichtet, nur Auftragsverarbeiter (wie Microsoft) einzusetzen, die personenbezogene Daten im Namen des Verantwortlichen verarbeiten und hinreichende Garantien bieten, um Schlüsselanforderungen der DSGVO zu erfüllen. Microsoft bietet diese Verpflichtungen allen Kunden von kommerziellen Lizenzierungsprogrammen von Microsoft in der DPA an. Auch Kunden anderer allgemein verfügbarer Enterprise Software, die von Microsoft oder unseren Affiliate-Partnern lizenziert wurde, kommen in den Genuss der in dieser Erklärung beschriebenen Vorteile der DSGVO-Zusagen von Microsoft, soweit von der Software personenbezogene Daten verarbeitet werden.

Wo finde ich die vertraglichen Zusagen von Microsoft im Hinblick auf die DSGVO?

Die vertraglichen Verpflichtungen von Microsoft in Bezug auf die DSGVO (DSGVO-Bedingungen) finden Sie in der Anlage zur DPA mit der Bezeichnung «Bedingungen der Datenschutz-Grundverordnung der Europäischen Union». Diese Bedingungen verpflichten Microsoft zur Einhaltung der Anforderungen an Auftragsverarbeiter gemäss Artikel 28 der DSGVO und anderer relevanter Artikel der DSGVO.

Ab dem 25. Mai 2018 gewährt Microsoft die DSGVO-Bedingungen allen Kunden von allgemein verfügbaren Enterprise Software-Produkten, die von uns oder unseren Affiliate-Partnern im Rahmen von Microsoft-Software-Lizenzbedingungen lizenziert wurden, ungeachtet der jeweiligen Version der Enterprise-Software, soweit Microsoft Auftragsverarbeiter oder Unterauftragsverarbeiter personenbezogener Daten in Verbindung mit der betreffenden Software ist und solange Microsoft das Angebot oder die Unterstützung für die Version fortsetzt. Details zur Unterstützung finden Sie in der Microsoft Lifecycle-Richtlinie unter https://support.microsoft.com/lifecycle.

Zur Klarstellung sei angemerkt, dass unter Umständen andere oder weniger umfangreiche Zusagen für Folgendes gelten: Beta- oder Vorschauversionen von Software, Software, die in wesentlichem Masse geändert wurde, oder Software, die von Microsoft oder unseren Affiliate-Partnern lizenziert wurde, welche nicht allgemein der Öffentlichkeit zur Verfügung gestellt wird oder anderweitig nicht im Rahmen von Microsoft-Software-Lizenzbedingungen lizenziert wird. Einige Produkte können Telemetrie- oder andere Daten standardmässig erheben und an Microsoft senden; die Produktdokumentation enthält Informationen und Anweisungen zur Deaktivierung oder Konfiguration einer solchen Erhebung von Telemetriedaten.

Welche Zusagen sind in den DSGVO-Bedingungen enthalten?

Die DSGVO-Bedingungen von Microsoft reflektieren die Zusagen, die von Auftragsverarbeitern in Artikel 28 der DSGVO verlangt werden. Laut Artikel 28 müssen sich Auftragsverarbeiter zu Folgendem verpflichten:

  • Unterauftragsverarbeiter nur mit der Zustimmung des Verantwortlichen einzusetzen und weiterhin für Unterauftragnehmer zu haften;
  • personenbezogene Daten nur gemäss den Anweisungen des Verantwortlichen zu verarbeiten, auch im Hinblick auf eine Übermittlung der Daten;
  • sicherzustellen, dass sich Personen, die personenbezogene Daten verarbeiten, zur Geheimhaltung solcher Daten verpflichtet haben;
  • angemessene technische und organisatorische Massnahmen einzurichten, um ein Sicherheitsniveau für personenbezogene Daten zu gewährleisten, das für das jeweilige Risiko angemessen ist;
  • den Verantwortlichen bei seinen Verpflichtungen zu unterstützen, Anfragen von betroffenen Personen in Bezug auf deren Wahrnehmung ihrer Rechte gemäss der DSGVO zu beantworten;
  • die Anforderungen der DSGVO in Bezug auf Benachrichtigungen und Unterstützung bei einer Verletzung des Schutzes personenbezogener Daten zu erfüllen;
  • den Verantwortlichen bei der Datenschutz-Folgenabschätzung und der Konsultation der Aufsichtsbehörden zu unterstützen;
  • personenbezogene Daten am Ende der Erbringung der Dienste zu löschen oder zurückzugeben; und
  • den Verantwortlichen durch Nachweise bezüglich der Einhaltung der DSGVO zu unterstützen.