Update: Neues Microsoft-DPA erschienen
Am 1. September 2025 hat Microsoft wieder eine neue Version seines Data Protection Addendum herausgegeben. Wir geben einen Überblick über die Änderungen: Schutz gegen Deaktivierung (Internat. Strafgerichtshof), Data Act, Details bei Telekommunikation und EU Data Boundary
Was ist das DPA bei Microsoft?
Was ist das DPA? Das Data Protection Addendum ist kein (oder nicht nur ein) Data Processing Agreement (AVV), sondern das zentrale Dokument für Datenschutz bei Microsoft 365. Es beinhaltet für Teile der Dienste und Datenverarbeitungen eine Auftragsverarbeitung, ist aber nicht nur AVV. Unregelmäßig, oft 1-2 Mal im Jahr gibt es eine neue Fassung. 2025 nach den kleinen Änderungen im Februar und zum 1. April nun schon zum dritten Mal.
Wenn Sie mehr über das Microsoft-DPA und seine Bestandteile erfahren wollen: In meinem Vortrag bei der Stiftung Datenschutz im März 2025 habe ich es ausführlich dargestellt und nehme Sie mit beim Durchklicken durch die Microsoft-Seiten und das DPA: https://stiftungdatenschutz.org/veranstaltungen/unsere-veranstaltungen-detailansicht/datenschutz-und-microsoft-365-549
Was sind die aktuellen Änderungen in der neuen DPA-Fassung?
✅ In meinen Augen fast das Beste:
Nun gibt es am Anfang eine "Summary of Changes":
Wer es wie ich trotzdem noch vollständig Wort für Wort vergleichen will: Hier ist der Link zum Vergleich mittels Draftable (Sie können selber durch die Änderungen scrollen): https://draftable.com/compare/eRHqpTCJfYZI
Und was sind nun die inhaltlichen Änderungen?
👉 Politisch am Wichtigsten: Ein neuer Appendix D mit Absicherungen für den Fall, dass bestimmte öffentliche Stellen aus EU-Staaten (plus Vatikan u.a.) eine staatliche Aufforderung erhalten, die M365-Dienste zu stoppen: Microsoft wird dagegen vorgehen.
👉 EU Data Act einbezogen
👉 Leichte Änderung bei EU Data Boundary Services. Irgendwie schade, aber voll nachvollziehbar und m.E. kein wahrer Nachteil.
👉 Zusätzliche Verpflichtung bei TK-Diensten bzgl. Einwilligung.
👉 Nein, die "Zusatzvereinbarung Niedersachsen" oder Sondervereinbarungen aus der EDSB-Sache sind nicht aufgenommen worden.
Und was ändert sich nun in der Praxis?
Für den Datenschutz bei normalen Unternehmen gibt es keine wirklich relevanten Veränderungen.
Für den Datenschutz bei normalen "nicht-öffentlichen" Verantwortlichen gibt es keine wirklich relevanten Veränderungen.
Ob die Ergänzung zum Data Act hilft und ausreicht, wird sich mit der Zeit zeigen.
Für die entsprechenden Behörden / Regierungsstellen kann die neue Zusage zum Schutz vor staatlichen Anordnungen Relevanz haben. Da sich Microsoft an das jeweils geltende Recht halten wird, kann es solche Anordnungen aber auch nicht einfach ignorieren. So heißt der Abschnitt auch "Challanges to Order" (frei übersetzt: Anfechten der Maßnahmen), nicht "Igoring legal Orders".
Transparenzhinweis: Teile dieses Blogbeitrags stammen aus meinem LinkedIn-Post vom 01.09.2025.
