EDSB: EU-Kommission verletzt Datenschutz mit Microsoft 365

15. März 2024

Der Europäische Datenschutzbeauftragte (EDSB) hat am 11.03.2024 mitgeteilt, dass die EU-Kommission mit der Verwendung von Microsoft 365 den Datenschutz verletzt. Dabei geht es insbesondere um das Datenschutzrecht für EU-Organe und Einrichtungen.

Verstöße gegen Datenschutzregeln

Der EDSB stellt fest, dass die EU-Kommission „mehrere wichtige“ Vorschriften im Datenschutz „bei der Verwendung von Microsoft 365“ verletzt hat. Das ergab sich aus einer im Mai 2021 gestarteten Untersuchung, die auf das Schrems II Urteil folgte. Er wirft in der Pressemitteilung der Kommission vor, gegen die Verordnung (EU) 2018/1725 verstoßen zu haben. Dabei handelt es sich um das Datenschutzrecht der EU für Organe, Einrichtungen und sonstige Stellen der EU (EUI). Insbesondere habe die Kommission keine ausreichenden Schutzmaßnahmen durchgeführt, um zu gewährleisten, „dass personenbezogene Daten, die außerhalb der EU/des“ Europäischen Wirtschaftsraums (EWR) übertragen „werden, ein im Wesentlichen gleichwertiges Schutzniveau erhalten“ wie in der EU/dem EWR garantiert ist. Zudem fehle eine ausdrückliche Vereinbarung mit Microsoft über die Art der zu erhebenden personenbezogenen Daten und die hiermit verbundenen Zwecke.

Abhilfemaßnahmen gegen die EU-Kommission

Angesichts der Schwere und Dauer der festgestellten Verstöße hat der EDPS beschlossen, gewisse Abhilfemaßnahmen anzuordnen. So soll die EU-Kommission ab dem 9.12.2024 alle Datenflüsse im Zusammenhang mit Microsoft und seine verbundenen Unternehmen und Auftragsverarbeiter aus Ländern ohne Angemessenheitsbeschlüsse pausieren. An Länder, die ein mit der EU vergleichbares Schutzniveau haben, dürfen hingegen weiterhin Daten übermittelt werden. Außerdem sind Verarbeitungsprozesse im Zusammenhang mit Microsoft 365 an das Datenschutzrecht anzugleichen.

Fazit

Die Verletzung der Datenschutzvorschriften durch die EU-Kommission zeigt einen Mangel an Sorgfalt im Umgang mit Daten. Die Tatsache, dass die Untersuchung auf das Schrems II Urteil folgte, verdeutlicht, dass die Probleme bereits bekannten waren. Es ist enttäuschend zu sehen, dass die EU-Kommission trotz der bereits bekannten Risiken und Empfehlungen des EDSB nicht angemessen gehandelt hat. Die verhängten Maßnahmen sind ein notwendiger Schritt, um die Einhaltung des Datenschutzrechts sicherzustellen, aber sie werfen auch Fragen hinsichtlich der Effektivität der bestehenden Datenschutzmechanismen auf. Es ist dringend erforderlich, dass die EU-Institutionen ihre Datenschutzpraktiken überprüfen und verbessern, um das Vertrauen der Bürger in den Datenschutz zu stärken und ihre Rechte zu schützen.