Die Europäische Kommission hat bei der Nutzung von Microsoft 365 gegen Datenschutzvorschriften verstoßen. Der Europäische Datenschutzbeauftragte (EDSB) hat daraufhin Abhilfemaßnahmen ergriffen, wie die Aufsichtsbehörde am Montag (11. März) mitteilte.
Nach Ansicht des EDSB, einer unabhängigen Aufsichtsbehörde, die für die Einhaltung der Datenschutzgesetze und des Schutzes der Privatsphäre durch die EU-Institutionen zuständig ist, verstieß die Kommission gegen mehrere Teile der EU-Datenschutzverordnung für Institutionen (Verordnung 2018/1725).
Die Verordnung betrifft den Datenschutz in den Organen, Einrichtungen, Ämtern und Agenturen der EU, sowie die Verarbeitung personenbezogener Daten durch diese Einrichtungen und gewährleistet die Einhaltung der Datenschutzgrundsätze und den Schutz der Privatsphäre von Einzelpersonen in den EU-Institutionen.
Nach Ansicht des EDSB hat es die Kommission versäumt, angemessene Garantien für die Übermittlung personenbezogener Daten in Staaten außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) zu gewährleisten.
Außerdem habe die Kommission in ihrem Vertrag mit Microsoft nicht angegeben, welche Arten von personenbezogenen Daten bei der Nutzung von Microsoft 365 erhoben werden und zu welchem Zweck. Microsoft 365 umfasst Cloud-basierte und kollaborative Dienste, darunter Anwendungen wie Word, Excel, PowerPoint, Outlook und Online-Dienste wie OneDrive, Teams und SharePoint.
Die Verstöße der Kommission als Datenverantwortliche betreffen auch die in ihrem Auftrag durchgeführte Datenverarbeitung und Übermittlung personenbezogener Daten. Mehrere Verstöße betreffen alle Datenverarbeitungsaktivitäten der Kommission, einschließlich der Nutzung von Microsoft 365, von der viele Personen betroffen sind, so der Europäische Datenschutzbeauftragte (EDSB).
„Es liegt in der Verantwortung der Organe, Einrichtungen, Ämter und Agenturen der EU, sicherzustellen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/EWR, auch im Zusammenhang mit Cloud-Diensten, von robusten Datenschutzgarantien und -maßnahmen begleitet wird“, sagte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski.
„Dies ist unerlässlich, um den Schutz der Informationen von Einzelpersonen zu gewährleisten, wie in der Verordnung (EU) 2018/1725 gefordert, wann immer ihre Daten von einer EUStA oder in ihrem Auftrag verarbeitet werden“, fügte er hinzu.
Abhilfemaßnahmen
Der EDSB hat die Kommission angewiesen, bis zum 9. Dezember 2024 die Übermittlung von Daten aus der Nutzung von Microsoft 365 an Microsoft und seine Partner in Nicht-EU/EWR-Ländern ohne Angemessenheitsbeschluss einzustellen.
Die Kommission muss außerdem sicherstellen, dass ihre Nutzung von Microsoft 365 bis zu diesem Zeitpunkt im Einklang mit der Verordnung 2018/1725 steht. Zu diesem Zweck muss die Kommission eine Bestandsaufnahme der Übermittlungen vornehmen, um die Einzelheiten der Übermittlungen personenbezogener Daten, die Empfänger, die Zwecke und die Sicherheitsmaßnahmen darzulegen.
Darüber hinaus muss sie die Übermittlungen in Drittländer auf Aufgaben beschränken, die in die Zuständigkeit des für die Verarbeitung Verantwortlichen fallen, und vertragliche Bestimmungen sowie organisatorische Maßnahmen umsetzen.
Dies beinhaltet die Erhebung personenbezogener Daten zu expliziten Zwecken, die Festlegung der Arten verarbeiteter Daten und die Sicherstellung der Einhaltung dokumentierter Anweisungen und rechtlicher Anforderungen.
Nach Auffassung des EDSB dürfen personenbezogene Daten nicht über den ursprünglichen Zweck hinaus verwendet werden, es sei denn, dies ist gesetzlich zulässig. Datenübermittlungen innerhalb der EU oder an Microsoft oder seine Partner müssen den EU-Datenschutzvorschriften entsprechen, und die Offenlegung personenbezogener Daten durch Microsoft oder seine Partner ist beschränkt. Es sei denn, dies ist nach EU-Recht oder dem Recht eines Drittlandes, das einen gleichwertigen Schutz wie die EU bietet, erforderlich.
Die Untersuchung
Die Untersuchung der Kommission zur Nutzung von Microsoft 365 wurde im Mai 2021 nach dem Schrems-II-Urteil eingeleitet, einer wegweisenden Entscheidung des Gerichtshofs der Europäischen Union. Sie betrifft die Übermittlung personenbezogener Daten aus der EU in Drittländer, insbesondere in die Vereinigten Staaten. Im Zentrum stand die Angemessenheit der Datenschutz- und Privatsphäremaßnahmen.
Ziel der Untersuchung des Europäischen Datenschutzbeauftragten (EDSB) ist es, die Einhaltung der Empfehlungen des EDSB in Bezug auf die Produkte und Dienstleistungen von Microsoft zu überprüfen. Dies ist Teil des Beitrags der Aufsichtsbehörde zum Koordinierten Durchsetzungsprojekt 2022 des Europäischen Datenschutzausschusses (EDPB), dem auch Vertreter der nationalen Datenschutzbehörden und des EDSB angehören.
Das Koordinierte Durchsetzungsprojekt 2022 des EDPB ist eine gemeinsame Anstrengung der europäischen Datenschutzbehörden zur Durchsetzung des Datenschutzrechts, insbesondere der obersten Datenschutzverordnung der EU, der Datenschutz-Grundverordnung (DSGVO).
Nächste Schritte
Der EDSB hat erklärt, dass er die Notwendigkeit anerkennt, dass die Kommission ihren öffentlichen Aufgaben ohne Unterbrechung nachkommen muss. Daher räumt er der EU-Institution Zeit ein, um die Datenflüsse auszusetzen und die Datenverarbeitung mit den Vorschriften in Einklang zu bringen. Die derzeitigen Maßnahmen des EDSB hindern ihn jedoch nicht daran, in Zukunft weitere Schritte zu unternehmen, falls dies erforderlich sein sollte.
Im Juli leitete die Kommission eine förmliche Untersuchung gegen Microsoft ein, weil sie befürchtete, dass das Unternehmen sein Kollaborationsprodukt Teams mit seiner Produktivitätssoftware aus dem Office-Paket gebündelt haben könnte.
Jüngsten Medienberichten zufolge untersucht die Kommission auch, ob Microsoft Kunden daran hindert, sich auf bestimmte Sicherheitssoftware von Wettbewerbern zu verlassen.
[Bearbeitet von Zoran Radosavljevic]