EU-Datenschützer und Kommission im Clinch über Einsatz von Microsoft 365

Der Streit um die Anwendung von Microsoft 365 bei der EU-Kommission und ihr unterstellter Behörden spitzt sich zu. Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski befand im März, dass die Brüsseler Regierungsinstitution das Cloud-basierte Office-Paket im Lichte des "Schrems-II-Urteils" des Europäischen Gerichtshofs rechtswidrig genutzt habe. Er wies die Kommission an, spätestens bis zum 9. Dezember 2024 alle Datenströme auszusetzen, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) ergeben. Doch ein Kommissionssprecher erklärte gegenüber heise online, man sehe keinen Grund für einen Verzicht auf MS 365.

Die Fronten sind festgefahren. Wiewiórowski legte nach Ablauf der von ihm gesetzten Frist nach und unterstrich, dass seine Entscheidung vom März "voll anwendbar bleibt". Davon will die Kommission nichts wissen. Sie sei der Ansicht, dass ihr Einsatz von MS 365 den gesetzlichen Anforderungen entspreche und sie dies während der Untersuchung des EU-Datenschutzbeauftragten "ausreichend nachgewiesen hat", betonte der Sprecher. "Das Engagement der Kommission für den Schutz der Datenschutzvorschriften bleibt unerschütterlich und sie wird weiterhin die höchsten Standards bei der Einhaltung dieser Vorschriften aufrechterhalten." Am 6. Dezember habe die Exekutivinstanz Wiewiórowski den angeforderten Konformitätsbericht nebst zugehöriger Unterlagen vorgelegt.

Kommission sieht keine echten Alternativen zu Microsoft

Der EU-Datenschutzbeauftragte hat den Eingang der Dokumente bestätigt, sieht die Kommission aber weiter verpflichtet, auf MS 365 zumindest vorläufig zu verzichten. Seine Stelle überprüfe derzeit die bereitgestellten Informationen, um zu beurteilen, ob die Kommission der Entscheidung vom März nachgekommen ist. Angesichts des Umfangs der Eingabe und der Komplexität der damit verbundenen Verarbeitungsvorgänge müsse diese Analyse "innerhalb eines angemessenen Zeitrahmens gründlich durchgeführt" werden. Zugleich kündigte Wiewiórowski an, keine weiteren Kommentare zu dem Fall abzugeben, da die Kommission seine Entscheidung angefochten habe und die entsprechenden Verfahren vor dem Gericht der EU liefen (Az.: T-262/24 und T-265/24).

Schon 2020 hatte Wiewiórowski die Kommission auch aufgefordert, sich nach Alternativen zu MS 365 umzuschauen, die "höhere Datenschutzstandards erlauben". Die Regierungsinstitution unternahm in diese Richtung bislang aber wenig. "Es gibt keine bekannten glaubwürdigen Angebote von europäischen Anbietern", zitiert Euractiv aus einem internen Kommissionsdokument. Französische Behörden haben demnach aber besondere Sorgen über die potenziellen Risiken geäußert, "die mit der Nutzung von Lösungen mit Sitz in den USA verbunden sind". Ein Bericht der Generaldirektion für digitale Dienste thematisiere zudem die "übermäßige Macht einiger weniger außereuropäischer Unternehmen, Risiken im Zusammenhang mit einem einzigen Anbieter (Preiserhöhungen, Migrationsschwierigkeiten) und den potenziellen Verlust interner Kompetenzen".

Wiewiórowskis Wiederwahl ist offen

Die Generaldirektion lobt laut Euractiv zugleich Initiativen der Mitgliedstaaten zur Entwicklung offener und souveräner Alternativen zu Microsoft im Streben nach digitaler Souveränität. Sie bewerte dies intern aber nur als "mögliche Ergänzung" für kleine IT-Vorhaben mit "sehr begrenztem Umfang". Hierzulande verwiesen Wirtschaftsprüfer 2019 in einer Studie fürs Innenministerium auf "Schmerzpunkte bei der Bundesverwaltung", die die seit Jahren monierte Abhängigkeit von Microsoft-Produkten verursache. Das Zentrum für digitale Souveränität (ZenDiS) fördert mittlerweile die Windows-Alternative OpenDesk. Schleswig-Holstein will sich ganz von Microsoft lösen.

Wie die Auseinandersetzung weitergeht, dürfte auch mit davon abhängen, ob Wiewiórowski nach dem offiziellen Ende seiner Amtszeit im Dezember wiedergewählt wird. Den Posten streitig machen ihm Bruno Gencarelli von der Generaldirektion Justiz und Verbraucher, der der Kommission weniger kritisch gegenüberstehen könnte, François Pellegrini, Ex-Vizepräsident der französischen Datenschutzbehörde CNIL, und Anna Pouliou, Datenschutzbeauftragte der EU-Organisation für Kernforschung (CERN). Der Innenausschuss des EU-Parlaments führt am Donnerstag eine Anhörung der Kandidaten durch.

(olb)