Die Europäische Kommission habe bei der Nutzung von Microsoft 365 gegen Datenschutzbestimmungen verstoßen, was zur Verhängung von Korrekturmaßnahmen durch den Europäischen Datenschutzbeauftragten (EDSB) geführt habe, teilte die Aufsichtsbehörde am Montag (11. März) mit.
Nach Angaben des EDSB, einer unabhängigen Aufsichtsbehörde, die dafür sorgt, dass europäische Institutionen die Datenschutzgesetze einhalten, die Kommission hat verstoßen mehrere Teile der EU-Datenschutzverordnung für Institutionen (Verordnung 2018/1725).
Das Gesetz betrifft den Datenschutz innerhalb der EU-Institutionen, Einrichtungen, Ämter und Agenturen (EUIs) und die Verarbeitung personenbezogener Daten durch diese Einrichtungen, um die Einhaltung der Datenschutzgrundsätze sicherzustellen und die Rechte des Einzelnen auf Privatsphäre innerhalb der EU-Institutionen zu schützen.
Laut EDSB hat die Kommission es versäumt, angemessene Garantien für die Übermittlung personenbezogener Daten außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) zu gewährleisten.
In ihrem Vertrag mit Microsoft versäumte die Institution außerdem, die Art der erhobenen personenbezogenen Daten und den Zweck der Datenerhebung bei der Nutzung von Microsoft 365 anzugeben, das die von Microsoft angebotenen Kollaborations- und Cloud-basierten Dienste umfasst, darunter Anwendungen wie Word, Excel und PowerPoint , Outlook und Onlinedienste wie OneDrive, Teams und SharePoint.
Die Verstöße der Kommission als Datenverantwortlicher erstrecken sich auch auf die Datenverarbeitung sowie auf die in ihrem Namen durchgeführte Übermittlung personenbezogener Daten. Mehrere Verstöße betreffen alle Datenaktivitäten der Kommission, einschließlich derjenigen über Microsoft 365, von denen viele Menschen betroffen sind, erklärte der EDSB.
„Es liegt in der Verantwortung der Organe, Einrichtungen und Agenturen der EU, sicherzustellen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/des EWR, auch im Zusammenhang mit cloudbasierten Diensten, mit einem soliden Datenschutz einhergeht „Schutzmaßnahmen und Maßnahmen“, sagte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski.
„Dies ist unerlässlich, um sicherzustellen, dass die Informationen von Einzelpersonen gemäß der Verordnung (EU) 2018/1725 geschützt sind, wann immer ihre Daten von oder im Namen einer EU-Institution verarbeitet werden“, fügte er hinzu.
Korrekturmassnahmen
Ab dem 9. Dezember 2024 hat der EDSB die Kommission angewiesen, die Übermittlung von Daten aus der Nutzung von Microsoft 365 an Microsoft und seine verbundenen Unternehmen in Nicht-EU-/EWR-Ländern ohne Angemessenheitsbeschlüsse einzustellen.
Die Kommission muss außerdem sicherstellen, dass ihre Microsoft 365-Vorgänge bis zum gleichen Datum der Verordnung 2018/1725 entsprechen. Zu diesem Zweck muss die Kommission eine Übertragungskartierung durchführen, um die Übermittlung personenbezogener Daten, die Empfänger, die Zwecke und die Garantien im Detail zu ermitteln.
Darüber hinaus muss sie Drittlandübermittlungen auf Aufgaben beschränken, die in den Zuständigkeitsbereich des Verantwortlichen fallen, sowie vertragliche Regelungen und organisatorische Maßnahmen umsetzen.
Dazu gehört die Erhebung personenbezogener Daten für bestimmte Zwecke, die Bestimmung der verarbeiteten Datenarten sowie die Sicherstellung der Einhaltung dokumentierter Anweisungen und gesetzlicher Anforderungen.
Laut EDSB sollten personenbezogene Daten nicht über den vorgesehenen Zweck hinaus verwendet werden, es sei denn, dies ist gesetzlich zulässig, Datenübertragungen innerhalb der EU oder an Microsoft oder seine Partner halten sich an die Datenschutzbestimmungen der EU und die Offenlegung personenbezogener Daten durch Microsoft oder seine Partner ist eingeschränkt , es sei denn, dies ist durch das EU-Recht oder das Recht eines Drittlandes erforderlich, das einen gleichwertigen Schutz wie in der EU bietet.
Johannes Bahrke, Sprecher der Europäischen Kommission sagte während einer Pressekonferenz dass „die Kommission stets darauf bedacht war, sicherzustellen, dass ihre Nutzung von Microsoft 365 den geltenden Datenschutzbestimmungen entspricht, und dies auch weiterhin tun wird.“
Dies gelte auch „für alle andere von der Kommission erworbene Software“, fügte er hinzu.
Die Ermittlung
Die Untersuchung der Nutzung von Microsoft 365 durch die Kommission startete im Mai 2021 nach dem Schrems-II-Urteil, einer wegweisenden Entscheidung des Gerichtshofs der Europäischen Union über die Übermittlung personenbezogener Daten aus der EU in Drittländer, wobei der Schwerpunkt insbesondere auf der Datenübertragung in die Vereinigten Staaten und der Angemessenheit von Datenschutz- und Privatsphärenmaßnahmen liegt diesen Kontext.
Das Ziel der EDSB-Untersuchung besteht darin, die Einhaltung der Empfehlungen des EDSB zu den Produkten und Dienstleistungen von Microsoft zu überprüfen. Dies ist Teil des Beitrags der Aufsichtsbehörde zur koordinierten Durchsetzungsmaßnahme des Europäischen Datenschutzausschusses (EDPB) 2022, an der auch Vertreter nationaler Datenschutzbehörden beteiligt sind als EDSB.
Die koordinierte Durchsetzungsmaßnahme des EDSA im Jahr 2022 war eine gemeinsame Anstrengung europäischer Datenschutzbehörden zur Durchsetzung von Datenschutzbestimmungen, insbesondere des obersten Datenschutzgesetzes der EU, der Datenschutz-Grundverordnung (DSGVO).
Bahrke sagte, die Kommission sei „zuversichtlich, dass sie die geltenden Datenschutzbestimmungen sowohl faktisch als auch rechtlich einhält.“ Darüber hinaus hat es im Rahmen seiner Kontakte mit dem EDSB während der Untersuchung verschiedene Verbesserungen vorgenommen.“
Nächste Schritte
Der Sprecher der Kommission sagte, sie müssten „Analysieren Sie zunächst die Schlussfolgerungen der Entscheidung und die zugrunde liegenden Gründe im Detail.“
Er fügte jedoch hinzu: „Die Einhaltung der Entscheidung des EDSB dürfte leider das derzeit hohe Niveau mobiler und integrierter IT-Dienste untergraben. Dies gilt nicht nur für Microsoft, sondern möglicherweise auch für andere kommerzielle IT-Dienste.“
Die Aufsichtsbehörde stellte fest, dass sie die Notwendigkeit der Kommission anerkenne, ihre öffentlichen Aufgaben ohne Unterbrechung wahrzunehmen, weshalb sie dem EU-Gremium Zeit einräumt, den Datenfluss auszusetzen und die Datenverarbeitung an die Vorschriften anzupassen. Die aktuellen Maßnahmen des EDSB hindern ihn jedoch nicht daran, bei Bedarf in Zukunft weitere Schritte zu unternehmen.
„Unsere Kunden in Europa können Microsoft 365 weiterhin in voller Übereinstimmung mit der DSGVO nutzen und auf unsere kontinuierliche Unterstützung und Beratung zählen“, sagte ein Microsoft-Sprecher gegenüber Euractiv.
„Die vom Europäischen Datenschutzbeauftragten geäußerten Bedenken beziehen sich größtenteils auf strengere Transparenzanforderungen im Rahmen der EUDPR, einem Gesetz, das nur für die Institutionen der Europäischen Union gilt. Wir werden die Entscheidung des EDSB überprüfen und mit der Europäischen Kommission zusammenarbeiten, um die verbleibenden Bedenken auszuräumen“, fügte der Sprecher hinzu.
Im Juli leitete die Kommission eine förmliche Untersuchung gegen Microsoft ein, weil sie befürchtete, dass das Unternehmen sein Kollaborationsprodukt Teams mit seiner Produktivitätssoftware im Office-Paket gebündelt haben könnte.
Jüngsten Medienberichten zufolge untersucht die Kommission auch, ob Microsoft Kunden daran hindert, sich auf bestimmte Sicherheitssoftware seiner Wettbewerber zu verlassen.
[Edited by Zoran Radosavljevic]
