Die Europäische Datenschutzbehörde (EDPS) hat festgestellt, dass die EU-Kommission durch die Nutzung von Microsoft 365 (MS365) gegen das Datenschutzrecht verstößt. Infolgedessen hat der EDPS korrektive Maßnahmen gegen die EU-Kommission verhängt.
Kernpunkte der Entscheidung
Die EDPS identifizierte mehrere Verstöße der EU-Kommission gegen die für EU-Institutionen geltende Datenschutz-Verordnung EU 2018/1725 durch die Nutzung von Microsoft 365 (MS365). Insbesondere im Hinblick auf die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums gibt es Verbesserungsbedarf. Die EU-Kommission hat vor allem nicht die notwendigen Sicherheitsvorkehrungen getroffen, um zu gewährleisten, dass die außerhalb der EU/EWR übertragenen personenbezogenen Daten ein gleichwertiges Schutzniveau genießen, wie es innerhalb der EU garantiert wird.
Des Weiteren wurde im Vertrag mit Microsoft nicht ausreichend spezifiziert, welche Arten personenbezogener Daten gesammelt und zu welchen ausdrücklichen und spezifizierten Zwecken diese beim Einsatz von Microsoft 365 verwendet werden. Die Verstöße der Kommission als Datenverantwortliche beziehen sich auch auf die Datenverarbeitung, einschließlich der Übermittlung personenbezogener Daten, die in ihrem Auftrag durchgeführt wird.
Anordnungen der EDPS
Um diesen Verstößen entgegenzuwirken, hat die EDPS die Kommission angewiesen, ab dem 9. Dezember 2024 alle Datenflüsse, die aus der Nutzung von MS365 resultieren und an Microsoft sowie dessen Tochterunternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/EWR ohne Angemessenheitsbeschluss gehen, zu unterbrechen. Weiterhin muss die Kommission die Verarbeitungsvorgänge, die aus der Nutzung von Microsoft 365 resultieren, rechtskonform gestalten und dies nachweisen.
Ausblick
Diese Entscheidung unterstreicht die Notwendigkeit robuster Datenschutzmaßnahmen bei der Verarbeitung personenbezogener Daten sowohl innerhalb als auch außerhalb des EWR. Es ist von entscheidender Bedeutung, dass die Informationen der Betroffenen in jedem Verarbeitungsschritt ausreichend geschützt sind. Dies gilt sowohl nach der DSGVO, als auch der in diesem Fall anwendbaren Datenschutz-Verordnung EU 2018/1725 für die Organe, Stellen und Einrichtungen der Union. Die Anforderungen beider Verordnungen sind in dieser Hinsicht nahezu identisch. Verantwortliche müssen vor allem sicherstellen, dass sie mit ihren Auftragsverarbeitern entsprechende Auftragsverarbeitungsvereinbarungen abgeschlossen haben. Aber auch schon bei der Auswahl des Auftragsverarbeiters ist Vorsicht geboten.
Die Entscheidung der EDPS ist ein klares Signal, Datenschutz ernst zu nehmen und die Verarbeitung personenbezogener Daten rechtskonform zu gestalten. Die Entscheidung verdeutlicht, dass trotz des Data Privacy Frameworks Datenübermittlungen an US-Unternehmen weiterhin problematisch sein können.
Weitere Informationen zum Angemessenheitsbeschluss der EU für die USA finden Sie hier.
Die Pressemitteilung des EDPS ist hier nachzulesen.
Bildnachweis: KI generiert