Die Nutzung von Microsoft 365 durch die Europäische Kommission verstößt gegen die DSGVO

Es ist schlimm, wenn eine von Ihnen autorisierte Stelle Ihnen vorwirft, gegen das Gesetz verstoßen zu haben, an dessen Verabschiedung Sie selbst mitgewirkt haben. 

Der Europäische Datenschutzbeauftragte (EDSB) ist eine unabhängige Stelle, die die Datenschutzpraktiken europäischer Institutionen wie der Europäischen Kommission selbst überwacht. In einer Verfügung vom 11. März 2024 hat der EDSB festgestellt, dass die Europäische Kommission durch die Nutzung des Produkts Microsoft 365 gegen mehrere Bestimmungen der Verordnung 2018/1725 (im Wesentlichen die DSGVO, wie sie für EU-Institutionen gilt) verstoßen hat, unter anderem durch das Versäumnis, angemessene Garantien für den grenzüberschreitenden Verkehr personenbezogener Daten zu bieten. 

Der EDSB stellte außerdem fest, dass in der Datenverarbeitungsvereinbarung (DPA) zwischen der Europäischen Kommission und Microsoft die Arten der von Microsoft zu verarbeitenden personenbezogenen Daten und die konkreten Zwecke der Übermittlung nicht ausreichend spezifiziert waren. Dies sollte allen Stellen, die der DSGVO unterliegen (entweder direkt oder als Auftragsverarbeiter), als Erinnerung dienen, dass sie sicherstellen müssen, dass die Spezifitätsanforderungen der DPA und der Standardvertragsklauseln erfüllt sind, und keine allgemeinen Aussagen wie „wie für die Erbringung der Dienstleistungen erforderlich“ verwenden dürfen. 

Aufgrund der Verstöße hat der EDSB die Europäische Kommission angewiesen, alle Datenflüsse an Microsoft im Zusammenhang mit der Nutzung von Microsoft 365, die in Ländern ohne Angemessenheitsentscheidung verarbeitet werden sollen, mit Wirkung zum 9. Dezember 2024 auszusetzen, um der Europäischen Kommission die Möglichkeit zu geben, eine Liste von Korrekturmaßnahmen zu erfüllen, die vom EDSB festgelegt wurden. Dazu gehören die Durchführung einer Transfer-Mapping-Übung und die vollständige Einhaltung der vertraglichen Anforderungen für Auftragsverarbeiter gemäß der EU-Verordnung 2018/1725. 

Nach seiner Untersuchung hat der EDSB festgestellt, dass die Europäische Kommission (Kommission) bei der Nutzung von Microsoft 365 gegen mehrere wichtige Datenschutzvorschriften verstoßen hat. In seiner Entscheidung verhängt der EDSB Korrekturmaßnahmen gegen die Kommission.

Wojciech Wiewiórowski, EDSB, erklärte: „Es liegt in der Verantwortung der Organe, Einrichtungen, Ämter und Agenturen der EU (EUI), dafür zu sorgen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/des EWR, auch im Zusammenhang mit cloudbasierten Diensten, mit robusten Datenschutzgarantien und -maßnahmen einhergeht. Dies ist unerlässlich, um sicherzustellen, dass die Informationen von Personen gemäß der Verordnung (EU) 2018/1725 geschützt sind, wenn ihre Daten von einer EUI oder in deren Auftrag verarbeitet werden.“

Referenzierten Artikel anzeigen