Reuschlaw

Nut­zung von Micro­soft 365 durch die EU-Kommission

EU-Datenschutzbeauftragter wit­tert Datenschutzverstöße

Im März 2024 hat der Euro­päi­sche Daten­schutz­be­auf­trag­te (EDSB) mut­maß­li­che Daten­schutz­ver­stö­ße bei der Nut­zung von Micro­soft 365 durch die EU-Kommission öffent­lich gemacht. Die Bewer­tung des EDSB ist schwer nach­voll­zieh­bar und hat zum Glück kei­ne unmit­tel­ba­ren Aus­wir­kun­gen auf die Nut­zung von Micro­soft 365 durch Ver­ant­wort­li­che in den Mit­glied­staa­ten. Aller­dings könn­ten die Fest­stel­lun­gen des EDSB die Dis­kus­si­on um den daten­schutz­kon­for­men Ein­satz von Micro­soft 365 auch hier­zu­lan­de neu entfachen.

Fest­stel­lun­gen des EDSB

Die Aus­ein­an­der­set­zung des EDSB mit Micro­soft 365 ist nicht neu. Bereits im Jahr 2020 führ­te der EDSB eine Unter­su­chung zur Nut­zung von Micro­soft 365 durch die EU-Institution durch und stell­te schon damals ver­meint­li­che Ver­stö­ße fest. Die jüngs­te Kri­tik des EDSB bezieht sich auf den Inter­in­sti­tu­tio­nel­len Lizenz­ver­trag 2021 der EU-Kommission (2021 ILA) und den dar­in ent­hal­te­nen Auf­trags­ver­ar­bei­tungs­ver­trag (Data Pro­ces­sing Agree­ment, „DPA“) von Micro­soft. Nach Auf­fas­sung des EDSB ist eine Zweck­bin­dung der Daten­ver­ar­bei­tung damit eben­so wenig sicher­ge­stellt wie ein aus­rei­chen­der Daten­schutz bei Dritt­lands­über­mitt­lun­gen und der Wei­ter­ga­be von Daten. Um die fest­ge­stell­ten Ver­stö­ße zu behe­ben, soll die EU-Kommission bis zum 9. Dezem­ber 2024 alle Daten­flüs­se aus der Nut­zung von Micro­soft 365 an Micro­soft und sei­ne in Dritt­län­dern ansäs­si­gen ver­bun­de­nen Unter­neh­men und Auf­trags­ver­ar­bei­ter, die nicht von einem Ange­mes­sen­heits­be­schluss nach Art. 47 Abs. 1 der Ver­ord­nung (EU) 2018/1725 abge­deckt sind, aus­set­zen. Dar­über hin­aus soll die EU-Kommission alle Ver­ar­bei­tungs­vor­gän­ge im Zusam­men­hang mit der Nut­zung von Micro­soft 365 mit der Ver­ord­nung (EU) 2018/1725 in Ein­klang brin­gen und dies gegen­über dem EDSB nachweisen.

Bewer­tung

Als Stich­tag für sei­ne Fest­stel­lun­gen nennt der EDSB den 12. Mai 2021, betont aber gleich­zei­tig, dass die mut­maß­li­chen Ver­stö­ße bis zum Erlass der Ent­schei­dung am 8. März 2024 ange­dau­ert hät­ten. Die­se Fest­stel­lung über­rascht, da Micro­soft auf­grund der Kri­tik der deut­schen Daten­schutz­auf­sichts­be­hör­den zwi­schen­zeit­lich zahl­rei­che Ver­bes­se­run­gen an sei­nem DPA vor­ge­nom­men hat. So wur­den bei­spiels­wei­se mit der Ein­füh­rung und Umset­zung der EU Data Boun­da­ry detail­lier­te Anga­ben zu den in Dritt­staa­ten ver­ar­bei­te­ten Daten gemacht. In der Micro­soft Online Ser­vices Subpro­ces­sor List stellt Micro­soft zudem umfas­sen­de Infor­ma­tio­nen über die ein­ge­setz­ten Unter­auf­trags­ver­ar­bei­ter bereit. Mög­li­cher­wei­se sind die­se zahl­rei­chen Ver­bes­se­run­gen aber nicht in die Ver­trä­ge zwi­schen Micro­soft und der EU-Kommission eingeflossen.

Dar­über hin­aus rich­ten sich die daten­schutz­recht­li­chen Anfor­de­run­gen an die EU-Kommission nach der Ver­ord­nung (EU) 2018/1725. Auch wenn die­se Ver­ord­nung an die DSGVO ange­lehnt ist, ist der Bewer­tungs­maß­stab ein ande­rer. Gleich­zei­tig ist der EDSB kei­ne Super­auf­sichts­be­hör­de und hat kei­ne Wei­sungs­be­fug­nis gegen­über dem Euro­pean Data Pro­tec­tion Board (EDPB) oder den Daten­schutz­auf­sichts­be­hör­den der Mit­glied­staa­ten. Die Fest­stel­lun­gen des EDSB ent­fal­ten daher kei­ne unmit­tel­ba­re Wir­kung gegen­über den Ver­ant­wort­li­chen in den Mit­glied­staa­ten, und es spre­chen meh­re­re Grün­de dafür, dass die Fest­stel­lun­gen inhalt­lich nicht auf die Ver­ant­wort­li­chen in den Mit­glied­staa­ten über­trag­bar sind.

Hand­lungs­emp­feh­lung

Deut­sche Ver­ant­wort­li­che, die Micro­soft 365 ein­set­zen, soll­ten sich von den Fest­stel­lun­gen des EDSB nicht abschre­cken las­sen. Die Kri­tik des EDSB bezieht sich auf die Ver­trä­ge zwi­schen Micro­soft und der EU-Kommission. Eine abschlie­ßen­de Bewer­tung des neu­es­ten DPA von Micro­soft (Stand: 2. Janu­ar 2024) durch die Daten­schutz­kon­fe­renz steht noch aus. Gleich­zei­tig ist eine von der restrik­ti­ven Auf­fas­sung der deut­schen Daten­schutz­auf­sichts­be­hör­den und des EDSB abwei­chen­de Rechts­auf­fas­sung unse­rer Erfah­rung nach gut ver­tret­bar. Mit einer umfas­sen­den Doku­men­ta­ti­on und Bewer­tung der Risi­ken sowie geeig­ne­ten Abhil­fe­maß­nah­men müs­sen Ver­ant­wort­li­che daher weder Dis­kus­sio­nen mit den Daten­schutz­auf­sichts­be­hör­den noch Gerichts­ver­fah­ren fürch­ten. In die­sem Sin­ne ist auch zu hof­fen, dass die EU-Kommission eine gericht­li­che Klä­rung der Fest­stel­lun­gen des EDSB her­bei­füh­ren wird.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.