EU-Kommission verklagt EDSB wegen Microsoft 365

9. Juli 2024


Der Europäische Datenschutzbeauftragte (EDSB) wirft der EU-Kommission vor, Office-Produkte datenschutzwidrig verwendet zu haben. Wegen den Feststellungen zu Microsoft 365 verklagt nun die EU-Kommission den EDSB. In einer am 01.07.2024 veröffentlichen Klage verlangt deshalb die EU-Kommission, dass der Gerichtshof den Untersuchungsbericht des EDSB für nichtig erklärt.

Datenschutzwidrige Verwendung von Microsoft 365

Der EDSB Wojciech Wiewiórowski hatte über drei Jahre hinweg die Nutzung von Microsoft 365 durch die EU-Kommission untersucht. Diese Prüfung folgte auf das Schrems II Urteil, dass das EU-US Privacy-Shield-Abkommen zum internationalen Datentransfer für ungültig erklärte. Im März stellte er dann fest, dass die Kommission gegen mehrere Vorgaben aus der Verordnung (EU) 2018/1725 verstoßen habe. Insbesondere habe die Kommission keine ausreichenden Schutzmaßnahmen durchgeführt, um zu gewährleisten, „dass personenbezogene Daten, die außerhalb der EU/des“ Europäischen Wirtschaftsraums (EWR) übertragen „werden, ein im Wesentlichen gleichwertiges Schutzniveau erhalten“ wie in der EU/dem EWR garantiert ist. Zudem fehle eine ausdrückliche Vereinbarung mit Microsoft über die Art der zu erhebenden personenbezogenen Daten und die hiermit verbundenen Zwecke. Der EDSB forderte die Kommission auf, bis zum 9. Dezember 2024 jeglichen Datenverkehr zu unterbrechen, der durch die Nutzung von Microsoft 365 an Drittstaaten entsteht.

Klage gegen den EDSB

Nun verklagt die EU-Kommission den EDSB wegen Microsoft 365 laut einer am 17. Mai 2024 eingereichten Klage (Rechtssache T-262/24). Zeitgleich hat auch Microsoft selbst eine Klage (Rechtssache T-265/24) gegen den EDSB angestrengt. Laut den Klägern habe es “Rechts- und Tatsachenfehler” sowie “fehlerhafte Auslegung und Anwendung” von EU-Recht gegeben. Deshalb sei der Untersuchungsbericht für nichtig zu erklären.

Die EU-Kommission bestreitet, dass sie die Art und den Zweck der Verarbeitung personenbezogener Daten in der Lizenzvereinbarung nicht klar genug festgelegt habe. Auch die Behauptung, dass sie nicht ausreichend klar dokumentierte Anweisungen gegeben habe, wird zurückgewiesen. Sowohl die Kommission als auch Microsoft bezeichnen die vom EDSB angeordneten Maßnahmen als “unverhältnismäßig” und unbegründet.

Fazit

Der Streit über die Nutzung von Microsoft 365 durch die EU-Kommission wirft grundlegende Fragen über Datenschutz, Datenübermittlung und die Nutzung von Cloud-Diensten in der EU auf. Während die EU-Kommission und Microsoft versuchen, die Maßnahmen des EDSB zu annullieren, steht die Integrität und Sicherheit personenbezogener Daten auf dem Spiel. Sollte der Gerichtshof der EU zugunsten der EU-Kommission und Microsoft entscheiden, könnte dies weitreichende Folgen für den Datenschutz in EU-Institutionen haben. Es könnte auch die zukünftige Nutzung von Cloud-Diensten wie Microsoft 365 für Privatunternehmen in der EU beeinflussen. Andererseits könnte eine Bestätigung der Position des EDSB zu strengeren Datenschutzrichtlinien führen und die Nutzung von US-basierten Cloud-Diensten weiter einschränken.