EU-Kommission verstößt mit Microsoft 365 gegen Datenschutz
Die Europäische Kommission darf Microsoft 365 nicht mehr uneingeschränkt weiter nutzen. Denn mit der bisherigen Praxis hat sie über mehrere Jahre gegen die Datenschutzverordnung für EU-Institutionen verstoßen. Dies ist das Ergebnis einer mehrjährigen Untersuchung, die nun vom Europäischen Datenschutzbeauftragten (EDSB), Wojciech Wiewiórowski, veröffentlicht wurde.
Die Kommission hat es versäumt sicherzustellen, dass personenbezogene Daten, die über die Software in Länder außerhalb der EU übertragen werden, in demselben Maße geschützt werden, wie es innerhalb des Europäischen Wirtschaftsraums der Fall ist. Die in Microsoft 365 enthaltenen Webanwendungen, wie Teams, Office oder Word, übertragen eingegebene Daten an die Rechenzentren des US-Unternehmens Microsoft. Diese Server befinden sich auch außerhalb der EU, in Ländern, in denen andere Datenschutzbestimmungen gelten.
Der EDSB bemängelt in seiner Mitteilung vom Montag außerdem, die Kommission habe in ihrem Vertrag mit Microsoft nicht hinreichend festgelegt, welche Arten von personenbezogenen Daten zu welchen Zwecken über Microsoft 365 gesammelt werden.
Auf Anordnung des EDSB darf die Kommission künftig keine Daten mehr aus Microsoft 365 in Länder übertragen, die nicht über angemessene Datenschutzbestimmungen verfügen. Die Kommission hat bis zum 9. Dezember Zeit, die Anordnung umzusetzen. Bis zu diesem Datum muss sie auch nachweisen, dass sie die Schutzverordnung einhält. Die Kommission solle zudem feststellen, welche personenbezogenen Daten in welche Drittländer zu welchen Zwecken übertragen wurden.
Datenschützer Wiewiórowski kommentierte: “Es liegt in der Verantwortung der Organe, Einrichtungen, Ämter und Agenturen (EUI), sicherzustellen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/EWR, einschließlich im Zusammenhang mit Cloud-basierten Diensten, von robusten Datenschutzgarantien und -maßnahmen begleitet wird.” Dies sei “zwingend erforderlich”, um sicherzustellen, dass personenbezogene Daten den gesetzlichen Bestimmungen entsprechend geschützt werden.
Tönerne Füße
Ein Sprecher von Microsoft kündigte gegenüber der IT-Nachrichtenseite The Register an, mit der EU-Kommission zusammen verbleibende Bedenken auszuräumen. Zur Nutzung von Microsoft durch Unternehmen erklärte er: “Unsere Kunden in Europa können Microsoft 365 weiterhin in voller Übereinstimmung mit der DSGVO nutzen und auf unsere kontinuierliche Unterstützung und Beratung zählen.” Die Bedenken des EDSB stünden größtenteils im Zusammenhang mit den strengeren Transparenzanforderungen an Institutionen der Europäischen Union.
Der EDSB hatte die nun abgeschlossene Untersuchung im Jahr 2021 nach dem Urteil “Schrems II” eröffnet. Damals hatte der Europäische Gerichtshof (EuGH) das sogenannte Privacy Shield-Abkommen zwischen der EU und den USA für unrechtmäßig erklärt. Im Rahmen des Abkommens hatte die EU-Kommission 2016 beschlossen, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Somit konnten – bis zum Gerichtsurteil – personenbezogene Daten von EU-Bürgerinnen und Bürgern ohne Weiteres in die USA übertragen werden.
Nach dem Schrems-II-Urteil hatte der EDSB angekündigt, zu untersuchen, ob die EU-Institutionen bei der Nutzung von Microsoft 365 – und Amazon Web – die im Urteil festgehaltenen Kriterien an den Datenschutz einhalten. Zwar hatte der EDSB den beteiligten Konzernen zugutegerechnet, dass sie sich dem Urteil anzupassen wollten. Doch reichten diese Maßnahmen nicht aus, wie nun im Untersuchungsergebnis zu lesen ist. (hcz)