Drücke "Enter", um den Text zu überspringen.

Die Eignung von Software-Lösungen anhand der Vertragsbedingungen prüfen

Hersteller Vertragsbedingungen zum Datenschutz

Zur Prüfung, ob eine technisch geeignete Lösung datenschutzgerecht eingesetzt werden kann gehört es, die Hersteller Vertragsbedingungen im Hinblick auf den Datenschutz genau zu kennen. Im Folgenden sollen einige Hinweise bei der Beschäftigung mit dieser Anforderung helfen. Auch wenn hier Microsoft als Beispiel gewählt wurde, gilt die Vorgehensweise beispielhaft für jeden anderen Hersteller genauso.

Die Rechtsgrundlagen am Beispiel von Microsoft Vertragsbedingungen zum Datenschutz verstehen

Verträge regeln meist im ersten Abschnitt den Anwendungsbereich. Der Verantwortliche muss erkennen, was genau durch einen Vertrag geregelt ist und für was einen Vertrag gilt.

Beispiel: Datenschutzbedingungen zu den Microsoft Online Services

Ausgangspunkt sind die, nennen wir sie Basisverträge, die Kunden beim Kauf der Software bzw. beim Abschluss von Nutzungsvereinbarungen mit Microsoft abschließen.

Solche Basisverträge sind beispielsweise die Microsoft-Kundenvereinbarung (Microsoft Customer Agreement) oder auch ein sogenannter Volumenlizenzvertrag zwischen Microsoft und dem Kunden (siehe auch Dokumente zu Lizenzierungsprogrammen | Microsoft-Volumenlizenzierung). In diese Basisverträge als auch in einzelne Produktbestimmungen werden weitere Bedingungen einbezogen. Egal über welchen Weg die Lizenzen erworben werden, es gelten immer die mit einer Lizenz verknüpften Bedingungen.

Doch zu Beginn ist es notwendig zu verstehen, was Microsoft meint, wenn sie von „Online Services“ spricht, für die ein Vertrag gelten soll. Denn z. B. beim Kauf vom Microsoft 365 Lizenzen erwirbt der Kunde ein Produkt aus den sogenannten Microsoft Online Services. Doch woher weiß man das?

Die Definition ergibt sich z. B. direkt aus der Veröffentlichung, in der Microsoft die internationale Verfügbarkeit ihrer Online Services bekannt macht und dabei die Services mit ihren Bezeichnungen aufführt, aktuell unter Microsoft 365 and Office 365 International Availability. Danach gehören zu den verfügbaren Microsoft Online Services unter anderem Microsoft 365, Office 365, Exchange Online Protection, Windows 365, Microsoft Azure, Microsoft Defender for Endpoint und Microsoft Intune.

Ergebnis: Um Microsoft 365 in Sachen Datenschutz hinsichtlich der Vertragsbedingungen prüfen zu können (was sind Pflichten und Rechte von Microsoft, was sind meine Rechte und Pflichten als Kunde) beginnt die Recherche also bei den Bedingungen für die Online Services. Die Bedingungen für die Online-Services veröffentlicht Microsoft aktuell unter Kommerzielle Lizenzbedingungen (microsoft.com).

Die Datenschutzbedingungen mit Microsoft verstehen

In den genannten Bedingungen für die Online Services werden Aspekte wie die Datenverarbeitung, die Sicherheit und die Lizenzierung geregelt. Unter „Datenschutz und Sicherheit“ erfolgt der Verweis auf die Microsoft DPA (Datenschutz-Zusatz), die speziell für europäische Kunden angepasst sind, siehe http://aka.ms/DPA.

Plant ein Kunde also den Kauf von Microsoft 365 über einen Volumenlizenzvertrag, so gelten mindestens

  • die Bedingungen des Volumenlizenzvertrages
  • die Bedingungen des Produktes „Microsoft Online Services“ und
  • die Bedingungen des Datenschutzzusatzes (Data Protection Addendum)

„Mindestens“ deshalb, weil

Bedingungen verstehen und anwenden

Es heißt in dem Datenschutzzusatz beispielsweise, dass die „DPA-Bestimmungen nur für die Verarbeitung von Daten in Umgebungen gelten, die von Microsoft und den Unterauftragsverarbeitern von Microsoft kontrolliert werden. Dies umfasst Daten, die von Produkten und Services an Microsoft gesendet werden, jedoch keine Daten, die in den Räumlichkeiten des Kunden oder in vom Kunden ausgewählten Betriebsumgebungen von Drittanbietern verbleiben.“

Damit ist ganz klar. Alle Daten, welche die Verantwortliche Stelle in ihrer eigenen Umgebung speichert, also zum Beispiel Word- oder Exceldateien auf der lokalen Festplatte eines Computers der Personalabteilung liegen ganz allein in der (Datenschutz)Verantwortung des Kunden. Solche Daten auf einem Notebook durch eine Verschlüsselung der enthaltenen Festplatten zu schützen, ist also eine technisch-organisatorische Maßnahme, die sich auch aus der oben beschriebenen Vertragsbedingung ergeben (kann).

Würde es die Software-Lösung technisch überhaupt nicht möglich machen oder gar verhindern, einen Schutz durch Verschlüsselung einzurichten, dann kann die Eignung aus Datenschutzsicht nicht bestätigt werden.

„Gefährlich“ wird es, wenn innerhalb von Microsoft 365 oder anderen Lösungen wie bspw. „Zoom“ sogenannte Drittanbietersoftware eingebunden werden kann. Dann gelten weitere ggf. völlig abweichende Vertragsbedingungen. Microsoft weist explizit darauf hin, dass der Kunde solche Drittanbieter Software zu DEREN (Datenschutz)Bestimmungen einbindet und nutzt. Das macht eine Datenschutzprüfung durch die verantwortliche Stelle aufwändiger.

Die Kommentarfunktion ist deaktiviert, aber Trackbacks und Dingbacks sind offen.