EU-Datenschutzbeauftragter wittert Datenschutzverstöße
Im März 2024 hat der Europäische Datenschutzbeauftragte (EDSB) mutmaßliche Datenschutzverstöße bei der Nutzung von Microsoft 365 durch die EU-Kommission öffentlich gemacht. Die Bewertung des EDSB ist schwer nachvollziehbar und hat zum Glück keine unmittelbaren Auswirkungen auf die Nutzung von Microsoft 365 durch Verantwortliche in den Mitgliedstaaten. Allerdings könnten die Feststellungen des EDSB die Diskussion um den datenschutzkonformen Einsatz von Microsoft 365 auch hierzulande neu entfachen.
Feststellungen des EDSB
Die Auseinandersetzung des EDSB mit Microsoft 365 ist nicht neu. Bereits im Jahr 2020 führte der EDSB eine Untersuchung zur Nutzung von Microsoft 365 durch die EU-Institution durch und stellte schon damals vermeintliche Verstöße fest. Die jüngste Kritik des EDSB bezieht sich auf den Interinstitutionellen Lizenzvertrag 2021 der EU-Kommission (2021 ILA) und den darin enthaltenen Auftragsverarbeitungsvertrag (Data Processing Agreement, „DPA“) von Microsoft. Nach Auffassung des EDSB ist eine Zweckbindung der Datenverarbeitung damit ebenso wenig sichergestellt wie ein ausreichender Datenschutz bei Drittlandsübermittlungen und der Weitergabe von Daten. Um die festgestellten Verstöße zu beheben, soll die EU-Kommission bis zum 9. Dezember 2024 alle Datenflüsse aus der Nutzung von Microsoft 365 an Microsoft und seine in Drittländern ansässigen verbundenen Unternehmen und Auftragsverarbeiter, die nicht von einem Angemessenheitsbeschluss nach Art. 47 Abs. 1 der Verordnung (EU) 2018/1725 abgedeckt sind, aussetzen. Darüber hinaus soll die EU-Kommission alle Verarbeitungsvorgänge im Zusammenhang mit der Nutzung von Microsoft 365 mit der Verordnung (EU) 2018/1725 in Einklang bringen und dies gegenüber dem EDSB nachweisen.
Bewertung
Als Stichtag für seine Feststellungen nennt der EDSB den 12. Mai 2021, betont aber gleichzeitig, dass die mutmaßlichen Verstöße bis zum Erlass der Entscheidung am 8. März 2024 angedauert hätten. Diese Feststellung überrascht, da Microsoft aufgrund der Kritik der deutschen Datenschutzaufsichtsbehörden zwischenzeitlich zahlreiche Verbesserungen an seinem DPA vorgenommen hat. So wurden beispielsweise mit der Einführung und Umsetzung der EU Data Boundary detaillierte Angaben zu den in Drittstaaten verarbeiteten Daten gemacht. In der Microsoft Online Services Subprocessor List stellt Microsoft zudem umfassende Informationen über die eingesetzten Unterauftragsverarbeiter bereit. Möglicherweise sind diese zahlreichen Verbesserungen aber nicht in die Verträge zwischen Microsoft und der EU-Kommission eingeflossen.
Darüber hinaus richten sich die datenschutzrechtlichen Anforderungen an die EU-Kommission nach der Verordnung (EU) 2018/1725. Auch wenn diese Verordnung an die DSGVO angelehnt ist, ist der Bewertungsmaßstab ein anderer. Gleichzeitig ist der EDSB keine Superaufsichtsbehörde und hat keine Weisungsbefugnis gegenüber dem European Data Protection Board (EDPB) oder den Datenschutzaufsichtsbehörden der Mitgliedstaaten. Die Feststellungen des EDSB entfalten daher keine unmittelbare Wirkung gegenüber den Verantwortlichen in den Mitgliedstaaten, und es sprechen mehrere Gründe dafür, dass die Feststellungen inhaltlich nicht auf die Verantwortlichen in den Mitgliedstaaten übertragbar sind.
Handlungsempfehlung
Deutsche Verantwortliche, die Microsoft 365 einsetzen, sollten sich von den Feststellungen des EDSB nicht abschrecken lassen. Die Kritik des EDSB bezieht sich auf die Verträge zwischen Microsoft und der EU-Kommission. Eine abschließende Bewertung des neuesten DPA von Microsoft (Stand: 2. Januar 2024) durch die Datenschutzkonferenz steht noch aus. Gleichzeitig ist eine von der restriktiven Auffassung der deutschen Datenschutzaufsichtsbehörden und des EDSB abweichende Rechtsauffassung unserer Erfahrung nach gut vertretbar. Mit einer umfassenden Dokumentation und Bewertung der Risiken sowie geeigneten Abhilfemaßnahmen müssen Verantwortliche daher weder Diskussionen mit den Datenschutzaufsichtsbehörden noch Gerichtsverfahren fürchten. In diesem Sinne ist auch zu hoffen, dass die EU-Kommission eine gerichtliche Klärung der Feststellungen des EDSB herbeiführen wird.
Weitere Informationen
Onepager zur Datenschutz-Compliance bei Microsoft 365 [PDF]
Mehr Datenschutz bei Microsoft 365
Datenschutzkonferenz startet Neubewertung zu Microsoft 365
Handreichung zu Microsoft 365 – Datenschutzaufsichtsbehörden veröffentlichen „Praxis-Tipps“
Microsoft 365: Mehr Datenschutz durch das EU Data Boundary!“
Microsoft 365: Reaktion und Prävention bei Behördenanfragen“