Einsatz von Microsoft 365: EU-Kommission verklagt Europäische Datenschutzbehörde

Die EU-Kommission verklagt den Europäischen Datenschutzbeauftragten. Der Grund in dem erstaunlichen Fall: Die Datenschutzbehörde der EU untersagt der Kommission, Microsoft 365 wie gehabt zu nutzen, weil auf diese Weise zu viele Daten in die Cloud wandern.

Zu unpräzise Lizenzverträge

Dass die EU-Kommission beim Einsatz von Microsoft 365 gegen das europäische Datenschutzrecht verstößt, hat der Europäische Datenschutzbeauftragte (European Data Protection Supervisor, EDBS) im März dieses Jahres mitgeteilt. Demnach habe die Kommission in den Lizenzverträgen mit Microsoft nicht präzise genug festgelegt, welche Art von personenbezogenen Daten im Rahmen des Cloud-Dienstes erfasst werden, ebenso wenig wurde der Zweck der Datenverarbeitung ausreichend spezifiziert. Problematisch ist das insbesondere, weil die Daten auch außerhalb der EU verarbeitet werden.

Rechtsgrundlage ist eine EU-Verordnung vom Dezember 2018, die festlegt, wie Organe der Europäischen Union mit Datenschutzvorgaben umgehen müssen. So soll sichergestellt werden, dass „jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/ des EWR, auch innerhalb von Cloud-basierten Diensten, von soliden Datenschutzgarantien und -maßnahmen begleitet“ werden, erklärte Wojciech Wiewiórowski vom EDSB im März.

EU-Kommission bestreitet die Vorwürfe

Die Frist für den EDBS-Beschluss ist der 9. Dezember 2024. Bis dahin hätte die EU-Kommission Zeit gehabt, um den Europäischen Datenschützern zu belegen, wie man die rechtlichen Vorgaben einhalten will.

Offenkundig ist das aber nicht das Ziel der EU-Kommission. Stattdessen wurde nun eine Klage gegen den Beschluss eingereicht. Die Behörde bestreitet demnach, Fehler bei der Definition der personenbezogenen Daten gemacht zu haben, die verarbeitet werden. Dasselbe gelte für den Zweck der Datenverarbeitung und die Definition. Zudem stellt man die Verhältnismäßigkeit des Beschlusses in Frage.

Auf die Klage hingewiesen hat Patrick Breyer, er war Abgeordneter für die Piraten-Partei in der letzten Legislaturperiode des EU-Parlaments. Seine Kritik: Statt Datenschutzverstöße von Microsoft zu ahnden, nehme die EU-Kommission lieber die Datenschützer ins Visier.

X

An dieser Stelle steht ein externer Inhalt von X, der den Artikel ergänzt und von der Redaktion empfohlen wird. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

X-Embeds laden

Ich bin damit einverstanden, dass X-Embeds geladen werden. Dabei können personen­bezogene Daten an X übermittelt werden. Mehr dazu in der Datenschutzerklärung.

🇩🇪 Von der Leyens EU-Kommission verklagt EU-Datenschutzbeauftragten, weil sie die datenschutzwidrigen Microsoft-Produkte Office und Cloud Suite weiter nutzen will.

Hat irgend jemand gehofft, diese Kommission würde stattdessen gegen Microsofts Datenschutzverstöße wie…

— Patrick Breyer #JoinMastodon (@echo_pbreyer) July 3, 2024

X-Embeds laden Datenschutzerklärung

Der Streit beschränkt sich derweil nicht auf die EU. In Deutschland hatte die Datenschutzkonferenz (DSK) im November 2022 mitgeteilt, dass ein datenschutzkonformer Einsatz von Microsoft 365 mit den damaligen Standardverträgen für öffentliche Stellen nicht möglich sei. Der Beschluss ist allerdings umstritten und die DSK ist ohnehin kein Gremium, dass rechtlich bindende Empfehlungen abgeben kann.

Komplex bleibt das Thema dennoch, selbst wenn Microsoft bei den Verträgen mittlerweile nachgebessert hat. Zusätzlich existieren Handreichungen wie die, die der Landesbeauftragte für Datenschutz in Niedersachsen gemeinsam mit sechs weiteren Datenschutzbehörden erstellt hat. Insbesondere für Behörden und öffentliche Stellen bleibt der Einsatz aber schwierig.

CB-Funk Podcast #92: Stalker 2 im Benchmark auf dem ausverkauften(?) 9800X3D mit Fabian und Jan-Frederik