EDSB: Nutzung von Microsoft 365 durch EU-Kommission

20. Dezember 2024

Der Europäische Datenschutzbeauftragte (EDSB) hat laut einer Pressemitteilung vom 10.12.204 eine Stellungnahme der EU-Kommission zur Einhaltung der Anordnung zur ordnungsgemäßen Nutzung von Microsoft 365 erhalten. Hierbei geht es um die Frage, ob die EU-Kommission die Vorgaben aus einer Entscheidung des EDSB vom 08.03.2024 umgesetzt hat. Kern der Auseinandersetzung ist die Frage, ob die Kommission ihre Datenflüsse außerhalb des Europäischen Wirtschaftsraums (EWR) gesetzeskonform gestaltet und die Verordnung (EU) 2018/1725 beachtet hat.

Entscheidung des EDSB vom März 2024

Der EDSB hat im März 2024 mitgeteilt, dass die EU-Kommission mit der Verwendung von Microsoft 365 den Datenschutz verletzt. Das ergab sich aus einer im Mai 2021 gestarteten Untersuchung, die auf das Schrems II Urteil folgte. Insbesondere der Einsatz von Cloud-Diensten, deren Anbieter ihre Infrastruktur global betreiben, steht seither unter strenger Beobachtung. Der EDSB wirft der Kommission vor, gegen die Verordnung (EU) 2018/1725 verstoßen zu haben. Dabei handelt es sich um das Datenschutzrecht der EU für Organe, Einrichtungen und sonstige Stellen der EU. Insbesondere habe die Kommission keine ausreichenden Schutzmaßnahmen durchgeführt, um zu gewährleisten, dass personenbezogene Daten, die außerhalb des EWR übertragen werden, ein hinreichendes Schutzniveau haben.

Infolgedessen hat der EDSB angeordnet, dass die EU-Kommission ab dem 09.12.2024 alle Datenflüsse, die im Zusammenhang mit Microsoft und Ländern ohne Angemessenheitsbeschlüsse stehen, zu pausieren. Außerdem sind Verarbeitungsprozesse im Zusammenhang mit Microsoft 365 an das Datenschutzrecht anzugleichen. Zusätzlich soll die EU-Kommission technische und organisatorische Maßnahmen Implementieren, um die Sicherheit und Rechtmäßigkeit der Datenverarbeitung zu gewährleisten.

Gerichtliche Auseinandersetzungen

Im Anschuss hat die EU-Kommission gegen den EDSB im Mai 2024 eine Klage eingereicht (T-262/24). Zeitgleich hat auch Microsoft selbst eine Klage (T-265/24) gegen den EDSB erhoben. Laut den Klägern habe es “Rechts- und Tatsachenfehler” sowie “fehlerhafte Auslegung und Anwendung” von EU-Recht gegeben. Die EU-Kommission bestreitet, dass sie die Art und den Zweck der Verarbeitung personenbezogener Daten in der Lizenzvereinbarung nicht klar genug festgelegt habe. Auch die Behauptung, dass sie nicht ausreichend klar dokumentierte Anweisungen gegeben habe, weist sie zurück. Deshalb sei der Untersuchungsbericht für nichtig zu erklären. Der EDSB weist in seiner Mitteilung jedoch darauf hin, dass trotz der laufenden Verfahren die Anordnung in Kraft bleibt.

Aktueller Stand der Prüfung

Der EDSB hat nun mitgeteilt, dass die EU-Kommission fristgerecht am 06.12.2024 einen Bericht vorgelegt hat, der die Umsetzung der Anordnungen belegen soll. Wojciech Wiewiórowski, der EDSB, betonte die Komplexität des Sachverhalts und der Stellungnahme und kündigte eine sorgfältige und zeitintensive Prüfung der übermittelten Informationen an. Ziel sei es, sicherzustellen, dass die Kommission ihren Verpflichtungen nachgekommen ist und die Entscheidung vom März 2024 vollständig umgesetzt hat. Aufgrund der laufenden gerichtlichen Verfahren möchte der EDSB keine weiteren Informationen veröffentlichen.

Fazit

Der Fall ist insofern spannend, als er eine entscheidende Signalwirkung entfalten könnte, nicht nur für andere EU-Institutionen, sondern auch für private Unternehmen, die vergleichbare Dienstleistungen nutzen. Die Ergebnisse der EDSB-Prüfung und die gerichtliche Klärung der offenen Fragen werden zeigen, ob die EU in der Lage ist, ihre hohen Datenschutzstandards auch innerhalb ihrer eigenen Institutionen effektiv umzusetzen. Über alle Entwicklungen informieren wir Sie hier auf dem Datenschutzticker.