EU-Datenschutzbeauftragter: EU-Kommission hat Microsoft 365 rechtswidrig genutzt

Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hat am Montag das Resultat seiner im Mai 2021 gestarteten Untersuchungen des Einsatzes von Microsoft Office 365 durch die EU-Kommission verkündet. Demnach hat die Brüsseler Regierungsinstitution mit der Nutzung des Cloud-Office-Pakets des US-Softwareriesen gegen mehrere Vorgaben aus der speziellen Datenschutzverordnung für die EU-Institutionen verstoßen. Der Kontrolleur reibt sich demnach besonders daran, dass die Kommission kein hinreichendes Schutzniveau persönlicher Informationen gewährleistet habe, die über MS 365 in Drittstaaten wie die USA gehen. Die sogenannten Standardvertragsklauseln für Transfers an Microsoft, die der Konzern schon mehrfach überarbeitet hat, seien nicht klar genug gewesen.

Ferner hat die Exekutivinstanz in ihrem Vertrag mit Microsoft generell nicht ausreichend spezifiziert, welche Arten personenbezogener Daten zu welchen expliziten und festgelegten Zwecken bei der Nutzung von Microsoft 365 erhoben werden, geht aus der Entscheidung vom 8. März hervor. Die Verstöße der Kommission in ihrer Funktion als verantwortliche Stelle für die Datenverarbeitung bezögen sich auch auf die Übermittlung von Informationen, die in ihrem Namen durchgeführt werden. Zudem habe die Regierungseinrichtung keine effektiven technischen und organisatorischen Schutzmaßnahmen ergriffen, die auch jenseits der EU und des Europäischen Wirtschaftsraums (EWR) eine Verarbeitung im Einklang mit dem Grundsatz der Integrität und Vertraulichkeit gewährleisten würden.

Wiewiórowski leitete die Ermittlungen nach dem "Schrems-II-Urteil" des Europäischen Gerichtshofs (EuGH) ein, womit dieser das "Privacy Shield" zwischen der EU und den USA kippte. Viele Verträge für Cloud-Dienste seien vor dieser Grundsatzentscheidung abgeschlossen worden und müssten im Lichte der Rechtsprechung überprüft werden, hob er damals hervor. Inzwischen gibt es mit dem EU-US-Datenschutzrahmen zwar ein Nachfolgeabkommen, das Kritikern zufolge aber ebenfalls auf tönernen Füßen steht und nicht lange halten dürfte.

Kommission muss viele Datentransfers bis Dezember unterbinden

Auf Basis der Resultate hat die Aufsichtsbehörde die Kommission angewiesen, spätestens bis zum 9. Dezember 2024 alle Datenströme auszusetzen, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU beziehungsweise des EWR ergeben. Ausnahmen gelten nur für Drittstaaten, die laut der Kommission ein vergleichbares Datenschutzniveau wie die EU haben. Die Exekutivinstanz muss zudem bis zu dem Stichtag nachweisen, dass sie die Schutzverordnung einhält. Die Abhilfemaßnahmen hält Wiewiórowski "angesichts der Schwere und Dauer der festgestellten Verstöße" für "angemessen, notwendig und verhältnismäßig". Viele der Rechtsverletzungen beträfen eine große Zahl von Einzelpersonen. Weitere Sanktionen hat sich der Kontrolleur vorbehalten.

Wiewiórowski prüfte die Verträge der EU-Einrichtungen mit Microsoft bereits wiederholt und war 2020 etwa schon zu dem Ergebnis gelangt, dass die Zwecke der Datenverarbeitung beim Nutzen von Windows oder Microsoft Office viel zu offen definiert sind. Die Regeln für Unterauftragsverarbeiter seien unzureichend, Daten könnten ohne Kontrolle der EU-Institutionen in Drittstaaten übertragen werden. Am besten sollten sich Nutzer daher laut dem Beauftragten nach Alternativen umschauen, die höhere Datenschutzstandards erlauben. Hierzulande unterstrich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder 2022, dass Einrichtungen wie Ämter, Schulen und Unternehmen das Office-Paket von Microsoft mit Cloud-Anschluss ohne Weiteres nicht rechtskonform einsetzen könnten.

(bme)