i';;;'!;; i";' ^ft^i'toj^ i'iii' i.i,a{ü«Si;^!;'-;«. tiifo<'i«,x;üii;';i'.'ü!ii3JS 11 Mai 2023 :-5 ^/J/' ^„" ''• S 1 ?M..>oft: ( /<A ^>;.» /-zw a/^^.f/>^--^ BBfii'b.:. ^ji ä.^^— Z.'?. '»*. <J»~('A^ s-~ Microsoft Deutschland GmbH Walter-Gropius-Straße 5 80807 München Ge;;ch7.: ^'. :^ ^ ^. ^^^- ^S;,usnstraße5 Telefon: +49 (0)89/3176- (0)89/3176-0 ^K< ^^ /i-* av ^ T^faux''T+49l(0')89/317"MOOO Telefax: +49 (0)89/3176-1000 Microsoft Deutschland GmbH • Walter-Gropius-Straße 5 • 80807 München üA/TA-i ^t t*~> "~< — /^ www.microsoft.com/germany "^ ^ An die Berliner Beauftragte für Datenschutz und Informationsfreiheit Friedrichstraße 219 10969 Berlin Deutschland Kopie an: Steve May, EU Data Protection Officer (CELA), Microsoft Ireland München, 5. Mai 2020 Warnung vor Microsoft-Produkten in Veröffentlichungen zum Einsatz von Videokonferenzsystemen Sehr geehrte Damen und Herren, Sehr geehrte Frau Smoltczyk, wir wurden von mehreren unserer Kunden darauf aufmerksam gemacht, dass die Berliner Beauftragte für Datenschutz und Informationsfreiheit ("DSB") vor kurzem zwei Veröffentlichungen zum Einsatz von Videokonferenzsystemen im Zusammenhang mit der aktuellen Corona-Pandemie herausgegeben hat (unter: https://www.datenschutz-berlin.de/fileadmin/user ypload/pdf/orientierungshiJfen/2020-BlnBDJ- Empfehlungen Videokonferenzsvsteme.pdf und https://www.datenschutz- berlin.de/fileadmin/user upload/pdf/orientierungshilfen/2020-BlnBDI-Checkliste Videokonferenzen.pdf öffentlich verfügbar), in denen die DSB auch auf unsere Produkte "Microsoft Teams" und "Skype" hinweist. Bei der Durchsicht der Veröffentlichungen haben wir festgestellt, dass mehrere Annahmen faktisch oder rechtlich unzutreffend sind. Auch gehen die Veröffentlichungen über eine bloße Warnung vor den Risiken im Zusammenhang mit der Nutzung des Internets im Allgemeinen und dem Einsatz von Videokonferenzsystemen im Besonderen hinaus. Zudem suggerieren die Veröffentlichungen, dass die genannten Produkte nicht nur gegen die DS-GVO verstoßen, sondern auch strafrechtlich bedenklich sind. Im Folgenden sind nur einige Beispiele für solche unzutreffenden Aussagen aufgeführt: l. Die Veröffentlichungen enthalten die Aussage, dass Videokonferenzen das Risiko bergen, unbefugt, auch im Auftrag von Dritten, mitgehört und aufgezeichnet zu werden. Durch die Nennung dieser Beispiele führen die Veröffentlichungen zu der Schlussfolgerung, dass Microsoft Straftaten begeht, wie Z.B. Straftaten nach § 201 StGB (Verletzung der Vertraulichkeit des Wortes), § 202a StGB (Ausspähen von Daten) und § 202b StGB (Abfangen von Daten). Diese Aussagen und Schtussfolgerungen sind unzutreffend. Unser öffentlich zugänglicher Anhang zu den Datenschutzbestimmungen, in dessen Rahmen wir Microsoft Teams und Skype for Business Online für unsere Kunden bestehend aus Unternehmen, dem öffentlichen Sektor und dem Bankverbindung Geschäftsführer: Amtsgericht München Citibank Frankfurt Sabine Bendiek (Vorsitzende) HRB 70438 IBAN: DE84 5021 0900 0211 1681 29 Benjamin O. Orndorff USt-ldNr. DE 129415943 BIG: CITIDEFF Keith Dolliver

!^ Bildungswesen anbieten, besagt ausdrücklich, dass Microsoft die personenbezogenen Daten der Kunden, einschließlich Ton und Bilder, nur zum Zweck der Bereitstellung der Dienste und für Microsofts eingeschränkte legitime Geschäftstätigkeit verarbeitet (siehe Anlage, in der auf die entsprechenden Abschnitte im Anhang zu den Datenschutzbestimmungen verwiesen wird). Tätigkeiten im Zusammenhang mit unbefugten Aufzeichnungen sind offensichtlich rechtswidrig und daher ausdrücklich verboten, nicht nur durch das Gesetz (siehe Strafgesetzbuch), sondern auch aufgrund der Verträge mit unseren Kunden (unter https://www.microsoftvolumelicensinR.com/DocumentSearch.aspx?Mode=3&DocumentTvpeld=67 öffentlich verfügbar). 2. Die Veröffentlichungen enthalten die Aussage, dass Nutzungsprofile erstellt und dann für werbliche oder politische Zwecke oder auch durch Wettbewerber und zur Anwerbung von Personal missbraucht werden können. Unser oben erwähnter öffentlich verfügbarer Anhang zu den Datenschutzbestimmungen besagt jedoch ausdrücklich, dass Microsoft bei der Bereitstellung der Dienste personenbezogene Daten nicht für Zwecke der Erstellung von Benutzerprofilen, für Werbung oder ähnliche kommerzielle Zwecke oder Marktforschung zur Entwicklung neuer Funktionen, Dienstleistungen oder Produkte oder zu anderen Zwecken verwendet es sei denn, eine solche Verarbeitung erfolgt nach den dokumentierten Anweisungen des Kunden (siehe Anlage, in der auf die entsprechenden Abschnitte im Anhang zu den Datenschutzbestimmungen verwiesen wird). 3. Darüber hinaus ziehen die Veröffentlichungen die Schlussfolgerung, dass Microsoft - und dementsprechend ihre Kunden - gegen die DS-GVO, insbesondere gegen Art. 28 und Kapitel V., verstoßen. Und das ist ebenfalls nicht richtig. Unser oben erwähnter öffentlich verfügbarer Anhang zu den Datenschutzbestimmungen enthält nicht nur eine Anlage, die sich explizit mit den DS-GVO- Anforderungen befasst, sondern auch die von der EU-Kommission genehmigten EU- Standardvertragsklauseln (Auftragsverarbeiter - 2010/87/EU) (siehe Anlage mit Verweis auf die entsprechenden Abschnitte im Anhang zu den Datenschutzbestimmungen). Sowohl die DS-GVO- Anforderungen als auch die Standardvertragsklauseln gelten für Microsoft Teams und Skype for Business Online. Darüber hinaus ist die Microsoft Corporation EU-U.S. Privacy Shield-zertifiziert. Somit sind unsere Produkte durch die erforderlichen und angemessenen Auftragsverarbeitungsverträge gemäß Art. 28 DS-GVO abgedeckt und jede Datenübermitttung in ein Drittland wird gemäß Art. 45 und 46 DS-GVO geschützt. Indem die DSB unsere Produkte unmittelbar mit den in den Veröffentlichungen beschriebenen Risiken in Verbindung bringt, impliziert sie eindeutig, dass (i) unsere Produkte nicht in Übereinstimmung mit den geltenden Datenschutzgesetzen verwendet werden können und (ii) unsere Kunden unsere Produkte umgehend durch andere Lösungen ersetzen sollten. Durch diese Implikation schädigt die DSB den Ruf Microsofts erheblich und fügt Microsoft zudem einen kommerziellen Schaden zu.

Microsoft Außerdem möchte ich erwähnen, dass die DSB aus unserer Sicht verpflichtet gewesen wäre, (i) die Fakten soweit wie möglich unter Verwendung der verfügbaren Quellen (wie unsere öffentlich verfügbaren Bestimmungen für Onlinedienste einschließlich des darin enthaltenen Anhangs zu den Datenschutzbestimmungen oder der Sicherheitsdokumentationen; unter https://www.microsoftvolumelicensinR.com/DocumentSearch.aspx?Mode=3&DocumentTypeld=46& ShowArchived=true und httDs://www.microsoft.com/de-de/trust-center verfügbar) zu überprüfen und (ii) Microsoft anzuhören, bevor sie öffentliche Erklärungen abgibt, die zu einer Warnung vor unseren Produkten oder Dienstleistungen führen. Es scheint, dass keiner dieser Schritte unternommen wurde. Ich fordere Sie daher auf, diese unrichtigen Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen. Ich schlage zudem ein persönliches Telefongespräch innerhalb der nächsten Woche vor. Mit freundlichen Grüßen Dr. Dirk Bornemann Head ofCorporate, External and Legal Affairs Microsoft Deutschland GmbH

ioi.i>srt'R Anlage - Relevante Abschnitte im Anhang zu den Datenschutzbestimmungen Nr. im Verweis im Anhang zu den Hauptteil Datenschutzbestimmungen Zitat aus dem Anhang zu den Datenschutzbestimmungen des Schreibens Seite 5 ff. ("Art der "Microsoft wird Kundendaten und personenbezogene Daten nur verwenden Datenverarbeitung; und anderweitig verarbeiten, (a) um dem Kunden die Onlinedienste gemäß den Eigentumsverhältnisse") dokumentierten Anweisungen des Kunden bereitzustellen, (bj um legitime Geschäftstätigkeiten von Microsoft zu verfolgen, die im Folgenden detailliert aufgeführt und eingegrenzt werden.[...] Verarbeitung zur Bereitstellung der Online-Dienste für Kunden: Verarbeitung zur Bereitstellung der Onlinedienstefür den Kunden Für die Zwecke dieses DPA umfasst die „Bereitstellung" eines Onlinediensts Folgendes: • Die Bereitstellung von Funktionen wie vom Kunden und dessen Benutzern lizenziert, konfiguriert und verwendet, einschließlich der Bereitstellung personalisierter Benutzererfahrungen, • Die Problembehandlung (Verhinderung, Erkennung und Behebung von Problemen); und • Die kontinuierliche Verbesserung (Installieren der neuesten Updates und Verbesserungen in Bezug auf Benutzerproduktivität, Zuverlässigkeit, Effektivität und Sicherheit), Bei der Bereitstellung von Onlinediensten wird Microsoft Kundendaten oder personenbezogene Daten nicht für folgende Zwecke verwenden oder anderweitig verarbeiten: (a) Benutzerprofilierung, (b) Werbung oder ähnliche kommerzielle Zwecke oder (c) Marktforschung zur Entwicklung neuer Funktionen, Dienstleistungen oder Produkte oder zu anderen Zwecken; es sei denn, eine solche Verwendung oder Verarbeitung erfolgt nach den dokumentierten Anweisungen des Kunden. Verarbeitung für Microsofts rechtmäßige Geschäftsvorgänge: Für die Zwecke dieses DPA umfassen „legitime Geschäftstätigkeiten von Microsoft" die folgenden Aktivitäten, jeweils mit der Bereitstellung der Onlinedienstefürden Kunden verbunden: (1) Abrechnungs- und Kontoverwaltung; (2) Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen); (3) interne Berichterstattung und Modellierung (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie); (4l Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft- Produkte betreffen könnten; f5) Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz; und (6) Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der im Folgenden beschriebenen Offenlegungsbeschränkungen). Bei der Verarbeitung für legitime Geschäftstätigkeiten von Microsoft wird Microsoft Kundendaten oder personenbezogene Daten nicht für folgende Zwecke verwenden oder anderweitig verarbeiten: (a) Benutzerprofilierung oder

^ ^ crosriH: (b) Werbung oder ähnliche kommerzielle Zwecke. Wenn Microsoft diese Daten für legitime Geschäftstätigkeiten verarbeitet, erfolgt diese Verarbeitung ausschließlich zu den in diesem Abschnitt genannten Zwecken." Seite 5 ("Einhaltung von "Microsoft befolgt alle für die Bereitstellung der Onlinedienste geltenden Gesetzen") Gesetze und Regelungen einschließlich Gesetzen zur Meldepflicht bei Sicherheitsverletzungen und Datenschutzbestimmungen." 2 Seite 5 ("Verarbeitung zur "Bei der Bereitstellung von Onlinediensten wird Microsoft Kundendaten oder Bereitstellung der personenbezogene Daten nicht für folgende Zwecke verwenden oder Onlinedienste für den anderweitig verarbeiten: (a) Benutzerprofilierung, (b) Werbung oder ähnliche Kunden ") kommerzielle Zwecke oder (c) Marktforschung zur Entwicklung neuer Funktionen, Dienstleistungen oder Produkte oder zu anderen Zwecken; es sei denn, eine solche Verwendung oder Verarbeitung erfolgt nach den dokumentierten Anweisungen des Kunden." 3 Anlagen 2 und 3 des Anhangs zu den Datenschutzbestimmungen ./.