GDPR og tredjelandsoverførsler til USA: Microsoft reviderer standardvilkår for Microsoft 365

I 2024 igangsatte Økonomistyrelsen, i samarbejde med Statens IT, udarbejdelsen af en Transfer Impact Assessment (TIA) for Microsoft 365. TIA’en har til formål at vurdere de internationale overførsler af personoplysninger, der finder sted ved brugen af Microsoft 365-pakken, herunder cloudtjenester og Microsoft-applikationer.

Nærmere om TIA’en

Analysen er baseret på de krav som EU-Kommissionen har angivet i deres Standard Contractual Clauses (SCC) og er således en formel forudsætning for at kunne anvende SCC som overførslesgrundlag efter GDPR artikel 46, stk. 2, litra c. TIA’en omfatter derfor en bred vurdering af omstændighederne for den pågældende overførsel af personoplysninger og håndteringen af identificerede risici.

Ændring i Microsofts forpligtelser

Det fremgår af TIA’en, at Microsoft i forbindelse med arbejdet bl.a. har indvilget i at ændre i standardvilkårene for Microsoft 365. 

Følgende formulering fremgår således nu af aftalegrundlaget for den løsning Statens IT benytter:

"In all cases without exception, Microsoft will adhere to EU law in the event that Microsoft receives a legal request for Processed Data from a non-EU government authority." (side 24, Bilag F)

Ændringen har til formål at skabe yderligere klarhed om, hvorvidt Microsoft – som led i behandling af personoplysninger på vegne af Statens IT – vil efterleve anmodninger fra myndigheder fra tredjelande. Navnlig i forhold til USA har dette – bl.a. i lyset af Schrems-sagerne – været et tilbagevende tema.

Formuleringen må læses således, at Microsoft nu har forpligtet sig til at overholde EU-retten i alle tilfælde, hvor der modtages en retlig anmodning fra tredjelandsmyndigheder om udlevering af data.

DLA Pipers vurdering

Hos DLA Piper ser vi løbende forskellige aftaleretlige tiltag, der har til formål at adressere spørgsmålet om tredjelandsoverførsler, når der benyttes visse cloudtjenester. Og i lyset af de omvæltninger vi ser i international politik, er det vores anbefaling, at dataansvarlige, der benytter relevante tjenester hos Microsoft nøje vurderer, hvordan de er stillet, såfremt udviklingen bliver mere volatil, og at de planlægger, hvordan de vil håndtere en sådan udvikling.

Den formulering af Microsofts standardvilkår, som nu gælder for Statens IT’s brug af Microsoft 365, kan i den forbindelse udgøre et relevant udgangspunkt for andre kunders drøftelser med Microsoft om en opdatering af de juridiske rammer for Microsoft-tjenester, hvor Microsoft agerer som databehandler. Samtidig viser forløbet, at Microsoft er indstillet på dialog med sine kunder for at adressere spørgsmål knyttet til tredjelandsoverførsler.

DLA Piper opfordrer derfor generelt til, at dataansvarlige, der benytter relevante tjenester hos Microsoft overvejer, om de, i lyset af denne udvikling, bør anmode Microsoft om en revision af aftalegrundlaget med Microsoft. Dette bør dog ske på baggrund af en nærmere vurdering af den enkelte dataansvarliges omstændigheder og anvendelse af tjenester fra Microsoft. Dette kan med fordel ske som led i en generel gennemgang af, hvilke tredjelandsoverførsler af personoplysninger, der finder sted i den enkelte organisation.