Nutzung von Microsoft 365 durch die Europäische Kommission verstößt gegen das Datenschutzrecht für EU-Organe und -Einrichtungen
Der Europäische Datenschutzbeauftragte (EDSB) hat festgestellt, dass die Europäische Kommission (Kommission) bei der Nutzung von Microsoft 365 gegen mehrere Bestimmungen der Verordnung (EU) 2018/1725, dem EU-Datenschutzrecht für EU-Institutionen (EUI), verstoßen hat, einschließlich derjenigen, die sich auf die Übermittlung von personenbezogenen Daten außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) beziehen. Der EDSB erlegt der Kommission Abhilfemaßnahmen auf.
Insbesondere hat die Kommission es versäumt, angemessene Garantien vorzusehen, um sicherzustellen, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, das gleiche Schutzniveau genießen wie innerhalb der EU/des EWR.
Darüber hinaus hat die Kommission in ihrem Vertrag mit Microsoft nicht hinreichend festgelegt, welche Arten personenbezogener Daten zu welchen expliziten und spezifizierten Zwecken bei der Nutzung von Microsoft 365 erhoben werden sollen. Die Verstöße der Kommission als für die Verarbeitung Verantwortlicher beziehen sich auch auf die in ihrem Namen durchgeführte Datenverarbeitung, einschließlich der Übermittlung personenbezogener Daten.
Der EDSB hat daher beschlossen, die Kommission anzuweisen, mit Wirkung vom 9. Dezember 2024 alle Datenströme auszusetzen, die sich aus der Nutzung von Microsoft 365 an Microsoft, seine Tochtergesellschaften und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben, die nicht durch eine Angemessenheitsentscheidung abgedeckt sind.
In der Tat hat der EDSB bestätigt, was wir seit Jahren argumentieren, nämlich dass die einzigen individuellen Produktivitätslösungen, die auch den Datenschutz garantieren und das Konzept der digitalen Souveränität Europas unterstützen – technologische Unabhängigkeit von den kommerziellen Entscheidungen von High-Tech-Unternehmen, insbesondere aus den USA – FOSS-Lösungen wie LibreOffice in Kombination mit einem standardisierten, offenen und unabhängigen Datenformat wie dem Open Document Format sind.
Der EDSB hat jedoch auch beschlossen, die Kommission anzuweisen, die Verarbeitungen, die sich aus der Nutzung von Microsoft 365 ergeben, mit der EU-Verordnung 2018/1725 in Einklang zu bringen. Die Kommission hat bis zum 9. Dezember 2024 Zeit, die Einhaltung beider Anordnungen nachzuweisen.
Der EDSB ist der Ansicht, dass die von ihm auferlegten Abhilfemaßnahmen (beschrieben im Dokumentanhang [1]) angesichts der Schwere und Dauer der festgestellten Verstöße angemessen, erforderlich und verhältnismäßig sind.
Viele der festgestellten Verstöße betreffen alle Verarbeitungen, die von der Kommission oder in ihrem Namen bei der Verwendung von Microsoft 365 durchgeführt werden, und betreffen viele Personen.
Leider beziehen sich alle vom EDSB ermittelten Abhilfemaßnahmen auf Microsoft 365 und gehen daher nicht an die Wurzel des Problems, indem sie die Verwendung von FOSS-Lösungen wie LibreOffice und dem einzigen wirklich standardisierten, offenen und unabhängigen Dokumentenformat, dem Open Document Format, vorschlagen.
Es ist sehr wahrscheinlich, dass Microsofts Lösung das übliche „Pflaster“ sein wird, das das Problem kaschiert, ohne es anzugehen, und dass die Lobbyisten bereits am Werk sind – es in den Augen der Politiker angemessen aussehen lassen werden.
Und wenn wir weiterhin protestieren, wohl wissend, dass wir nicht gehört werden, weil wir nicht die gleiche Feuerkraft haben wie die Lobbyisten der großen US-Hightech-Unternehmen, die mit Hunderten von Fachleuten in Brüssel anwesend sind, werden wir immer das Gleiche hören: „Die machen alle dasselbe…“.