Der EU-Datenschutzbeauftragte ist der Auffassung, dass die EU-Kommission durch Nutzung von Microsoft 365 gegen die Datenschutzverordnung verstößt. Es bestehe kein hinreichendes Schutzniveau persönlicher Daten, wenn diese in Drittstaaten, wie die USA, transferiert werden. Zudem seien die Standardvertragsklauseln zu unklar. Das träfe insbesondere auf folgende Aspekte zu: Welche personenbezogenen Daten erhebt Microsoft bei der Nutzung von Microsoft 365 wozu?
Es folgt eine Übersetzung der heutigen Pressemitteilung des European Data Protection Supervisors Wojciech Wiewiórowski hinsichtlich der problematischen Nutzung von Microsoft 365 in der Europäischen Kommission: [https://www.edps.europa.eu/press-publications/press-news/press-releases_en], welche im Original nicht in deutscher Sprache vorliegt.
“Die Europäische Kommission hat laut der Europäischen Datenschutzbeauftragten (EDSB) mehrere wesentliche Datenschutzregeln verletzt, als sie Microsoft 365 nutzte. In ihrer Entscheidung verhängt die EDSB korrigierende Maßnahmen gegen die Kommission.Die EDSB stellte fest, dass die Kommission mehrere Bestimmungen der Verordnung (EU) 2018/1725, dem Datenschutzrecht der EU für EU-Institutionen, -Organe, -Einrichtungen und -Agenturen (EUIs), verletzt hat, einschließlich derjenigen über die Übermittlung personenbezogener Daten außerhalb der EU/des Europäischen Wirtschaftsraums (EWR). Insbesondere hat die Kommission versäumt, angemessene Schutzmaßnahmen sicherzustellen, um sicherzustellen, dass personenbezogene Daten, die außerhalb der EU/des EWR übertragen werden, ein im Wesentlichen gleichwertiges Schutzniveau erhalten wie in der EU/im EWR garantiert. Darüber hinaus hat die Kommission in ihrem Vertrag mit Microsoft nicht ausreichend spezifiziert, welche Arten von personenbezogenen Daten erhoben werden sollen und zu welchen expliziten und spezifizierten Zwecken bei der Nutzung von Microsoft 365. Die Verstöße der Kommission als Datenverantwortlicher betreffen auch die Datenverarbeitung, einschließlich der Übermittlung personenbezogener Daten, die in ihrem Auftrag durchgeführt wird.Wojciech Wiewiórowski, EDSB, sagte: „Es ist die Verantwortung der EU-Institutionen, -Organe, -Einrichtungen und -Agenturen (EUIs) sicherzustellen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/des EWR, einschließlich im Zusammenhang mit Cloud-Diensten, von robusten Datenschutzmaßnahmen begleitet wird. Dies ist unerlässlich, um sicherzustellen, dass die Informationen von Einzelpersonen geschützt sind, wie es die Verordnung (EU) 2018/1725 vorschreibt, wann immer ihre Daten von einem EUI verarbeitet werden.“Die EDSB hat daher beschlossen, die Kommission ab dem 9. Dezember 2024 anzuweisen, alle aus der Nutzung von Microsoft 365 resultierenden Datenflüsse zu Microsoft und seinen Tochtergesellschaften und Auftragsverarbeitern in Ländern außerhalb der EU/des EWR auszusetzen, für die keine Angemessenheitsentscheidung vorliegt. Die EDSB hat auch beschlossen, die Kommission anzuweisen, die Verarbeitungsvorgänge aus ihrer Nutzung von Microsoft 365 mit der Verordnung (EU) 2018/1725 in Einklang zu bringen. Die Kommission muss bis zum 9. Dezember 2024 die Einhaltung beider Anweisungen nachweisen.Die EDSB ist der Ansicht, dass die von ihr verhängten Korrekturmaßnahmen angemessen, notwendig und verhältnismäßig sind angesichts der Schwere und Dauer der festgestellten Verstöße.Viele der festgestellten Verstöße betreffen alle Verarbeitungsvorgänge durchgeführt von der Kommission oder in ihrem Auftrag bei der Nutzung von Microsoft 365 und betreffen eine große Anzahl von Personen.Die EDSB berücksichtigt auch die Notwendigkeit, nicht die Fähigkeit der Kommission zu beeinträchtigen, ihre Aufgaben im öffentlichen Interesse wahrzunehmen oder die ihr übertragene hoheitliche Befugnis auszuüben sowie angemessene Zeit für die Umsetzung des vorgesehenen Aussetzens relevanter Datenflüsse zu gewähren und die Datenverarbeitung mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.Die Maßnahmen, die von der EDSB in ihrer Entscheidung vom 8. März 2024 verhängt wurden, sind unbeschadet weiterer Maßnahmen oder weiterer Schritte zu betrachten, die die EDSB ergreifen kann. Die Feststellungen von Verstößen und den von der EDSB verhängten Korrekturmaßnahmen finden sich hier: [https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf]
Auswirkungen
Welche Auswirkungen diese Untersuchung für andere Bereiche haben wird, ist noch nicht vollständig abzusehen. Es dürfte aber klar sein, dass (Datenschutz)Verantwortliche nun erhebliche Schwierigkeiten haben dürften, die Nutzung von Microsoft 365 zu rechtfertigen. Insbesondere auch für die Schulen in Deutschland dürfte diese Anordnung relevant sein.
Aber es gibt Alternativen!
Eine unvollständige Aufzählung:
- LibreOffice
- CollaboraOffice
- SoftmakerOffice
- OnlyOffice