DSGVO-Verstoß: EU-Kommission und Microsoft verklagen EU-Datenschutzbeauftragten
Wie nun bekannt wurde, hat die Europäische Kommission im Mai eine Klage gegen den Europäische Datenschutzbeauftragte (EDSB) eingeleitet – vier Tage später hat sich Microsoft angeschlossen. Die Forderungen an den obersten EU-Datenschützer, Wojciech Wiewiórowski, sind identisch: Er soll einen Beschluss vom März 2024 und die dazugehörige Anordnung für nichtig erklären. Sie schreibt der Kommission vor, keine Daten mehr aus Microsoft Office 365 in Länder außerhalb der Europäischen Union (EU) und des Europäischer Wirtschaftsraums (EWR) zu übertragen, die keinen angemessenen Datenschutz gewährleisten. Die Anträge auf Klage wurden erst jetzt bekannt, da die entsprechenden Amtsblätter der EU am 1. Juli veröffentlicht wurden.
Die Auflage ordnete Wiewiórowskis Aufsichtsbehörde an, nachdem eine umfangreiche Untersuchung den Abfluss von Daten aus den von der EU-Kommission genutzten Microsoft-Programmen in Länder außerhalb der EU und des EWR mit geringerem Datenschutz festgestellt hatte. Für den EDSB stellt die Nutzung der Software einen Verstoß gegen die DSGVO dar.
Microsoft wirft dem EU-Datenschützer Unverhältnismäßigkeit vor
Konkret fordern beide Kläger, “den Beschluss vom 8. März 2024 für nichtig zu erklären”. Die Kommission wirft dem obersten Datenschützer der EU unter anderem die fehlerhafte Auslegung und Anwendung mehrerer Artikel der DSGVO vor. Microsoft beanstandet “Rechts- und Tatsachenfehler bei der Feststellung von Verstößen gegen die EU-Datenschutzverordnung” und “unverhältnismäßige Abhilfemaßnahmen, die auf unbegründeten Annahmen von Verstößen gegen die DSGVO beruhen”.
Der scheidende Europaabgeordnete der Piraten Patrick Breyer äußerte sich auf Mastodon: Von der Leyens EU-Kommission wolle “die datenschutzwidrigen Microsoft-Produkte Office und Cloud Suite weiter nutzen”. Weiter fragt er, ob irgendjemand gehofft hätte, “diese Kommission würde stattdessen gegen Microsoft‘s Datenschutzverstöße wie Datenabflüsse in die USA vorgehen?”
“Privacy Shield” – unzureichender Datenschutz
Im März hatte Wiewiórowski das Ergebnis einer mehrjährigen Untersuchung präsentiert und erklärt, dass die Europäische Kommission Microsoft 365 nicht uneingeschränkt weiter nutzen darf und mit ihrem Handeln viele Jahre gegen die DSGVO verstoßen hat. Die cloudbasierten Anwendungen von Microsoft wie Teams oder Office 365 speichern demzufolge Daten auf Servern in Ländern, die sich außerhalb der EU und des EWR befinden und über unzureichende Datenschutzbestimmungen verfügen – unter anderem in den USA oder zumindest in Zugriffsreichweite der US-Behörden.
Die im Jahr 2021 von Wiewiórowski eingeleiteten Ermittlungen erfolgten nach dem “Schrems II”-Urteil im Jahr 2020, mit dem der Europäische Gerichtshof (EuGH) das “Privacy Shield”-Abkommen gekippt hatte. Der EuGH stellte damals klar, dass personenbezogene Daten nur an Drittländer übermittelt werden dürfen, wenn in diesen ein “im Wesentlichen gleichwertiger Schutz gewährleistet ist wie in der EU”. Für die USA hatte der EuGH ein entsprechendes Schutzniveau verneint und das Datenschutzabkommen zwischen der EU und den USA (Privacy Shield) mit sofortiger Wirkung für unwirksam erklärt. Auf dieser Grundlage durften keine unrechtmäßigen Übermittlungen persönlicher Daten mehr in die USA erfolgen.
Europäischer Gerichtshof kippte bisher sämtliche Datenschutzabkommen
Der österreichische Datenschutzaktivist und Gründer der Nichtregierungsorganisation NOYB, Max Schrems, hatte sich 2013 über den potenziellen Datenzugriff der US-Sicherheitsbehörden auf seine Facebook-Daten beschwert. Möglich machte das das Safe-Harbor-Abkommen aus dem Jahr 2000. Safe Harbor sollte den Datenverkehr zwischen der EU und den USA trotz des geringen Schutzniveaus der USA ermöglichen. Unternehmen, die dem Abkommen beitraten, durften weiterhin persönliche Daten von EU-Bürgern verarbeiten. Der EuGH hatte 2015 mit dem “Schrems I”-Urteil das Safe-Harbor-Abkommen für ungültig erklärt.
Im Jahr 2016 einigten sich die EU und USA mit dem “EU-US Privacy Shield” auf einen Nachfolger des Safe-Harbor-Abkommens, der dem Datenschutzniveau der EU entsprechen sollte. Doch auch die Neuregelung hielt dem Urteil (“Schrems II”) des EuGH nicht stand. Den Richtern waren damals speziell die US-amerikanischen Rechtsvorschriften in Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) und die “Executive Order 12333” waren ein Dorn im Auge, die den Geheimdiensten der USA umfassende Rechte und den Zugriff auf Daten aus privaten US-Unternehmen ermöglicht.
Datenschutzabkommen Runde drei
Drei Jahre nach dem Aus der Vorgängerregelung “Privacy Shield” ist im Juli 2023 ein neues Datenschutzabkommen zwischen der EU und den USA in Kraft getreten – "EU-US-Data Privacy Framework. Das dritte Abkommen soll neue verbindliche Garantien einführen und “Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränken”. Auch dagegen hat NOYB schon Maßnahmen angekündigt. (bme)