Streit über Microsoft 365: EU-Kommission verklagt EU-Datenschutzbeauftragten
Die EU-Kommission soll Microsoft 365 rechtswidrig genutzt haben, sagte der EU-Datenschutzbeauftragte. Dagegen klagen die Kommission und Microsoft.
(Bild: EU / Microsoft)
Nachdem der EU-Datenschutzbeauftragte (EDSB) der EU-Kommission vorwarf, Microsoft-Produkte rechtswidrig zu nutzen, bekommt er nun Contra. Die Kommission will erreichen, dass der Gerichtshof der EU den Untersuchungsbericht des EDSB zur Nutzung von Microsoft 365 für nichtig erklärt. Offenbar will die EU-Kommission weiterhin wie bisher diese Software nutzen.
Die Klage der EU-Kommission (Rechtssache T-262/24) vom 17. Mai 2024 wurde Anfang dieses Monats im Amtsblatt der EU veröffentlicht, darauf hingewiesen hat der europäische Abgeordnete der Piratenpartei Patrick Breyer. Auch Microsoft selbst geht vor dem EU-Gericht gegen den EDSB vor (Rechtssache T-265/24). Die Kläger werfen dem Datenschutzbeauftragten "Rechts- und Tatsachenfehler bei der Feststellung von Verstößen" beziehungsweise "fehlerhafte Auslegung und Anwendung" von EU-Bestimmungen vor. Dabei weist die Microsoft-Klage vier Klagegründe auf, die der EU-Kommission 13.
Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hatte drei Jahre lang die rechtlichen Aspekte der Verwendung von Microsoft 365 in der EU-Kommission untersucht. Im März dieses Jahres sagte er, die Kommission habe gegen mehrere Vorgaben aus der speziellen Datenschutzverordnung für die EU-Institutionen verstoßen. Insbesondere habe die Kommission keinen ausreichenden Schutz persönlicher Informationen gewährleistet, die über MS 365 in Drittstaaten wie die USA gehen.
"Unverhältnismäßige Abhilfemaßnahmen"
Die Kommission wehrt sich unter anderem gegen den Vorwurf, sie habe in der interinstitutionellen Lizenzvereinbarung nicht festgelegt, welche Arten personenbezogener Daten verarbeitet werden sollten und zu welchen Zwecken. Ebenso hält sie die Feststellung des EDSB für falsch, die Kommission habe nicht ausreichend klar dokumentierte Anweisungen bereitgestellt.
Der Datenschutzbeauftragte hatte im März die EU-Kommission angewiesen, spätestens bis zum 9. Dezember 2024 jeden Datenverkehr auszusetzen, der sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU beziehungsweise des EWR ergeben. Ebenso wie Microsoft meint die EU-Kommission, der Datenschutzbeauftragte habe "unverhältnismäßige Abhilfemaßnahmen angeordnet". Diese beruhten auf unbegründeten Annahmen von Verstößen gegen die EU-Verordnung 2018/1725, so Microsoft.
Wiewiórowski hatte die Ermittlungen eingeleitet, nachdem der Europäische Gerichtshofs (EuGH) im Juli 2020 das "Privacy Shield" zwischen der EU und den USA für unzulässig erklärt hatte. Viele Verträge für Cloud-Dienste seien vor dieser Grundsatzentscheidung abgeschlossen worden und müssten neu überprüft werden, meinte er seinerzeit.
(anw)
