Die Europäische Kommission (Kommission) hat laut einer Untersuchung des Europäischen Datenschutzbeauftragten (EDPS) mehrere wichtige Datenschutzregeln verletzt, indem sie Microsoft 365 verwendet. Der EDPS hat in seiner Entscheidung korrigierende Maßnahmen gegen die Kommission verhängt.

Der EDPS stellte fest, dass die Kommission mehrere Bestimmungen der Verordnung (EU) 2018/1725, dem Datenschutzrecht der EU für EU-Institutionen, Organe, Büros und Agenturen (EUIs), verletzt hat, einschließlich solcher zu Übermittlungen von personenbezogenen Daten außerhalb der EU/Europäischen Wirtschaftszone (EWR). Insbesondere hat die Kommission keine angemessenen Sicherheitsvorkehrungen getroffen, um sicherzustellen, dass personenbezogene Daten, die außerhalb der EU/EWR übermittelt werden, im Wesentlichen den gleichen Schutz erhalten wie in der EU/EWR garantiert. Darüber hinaus hat die Kommission in ihrem Vertrag mit Microsoft nicht ausreichend festgelegt, welche Arten von personenbezogenen Daten gesammelt werden sollen und zu welchen expliziten und bestimmten Zwecken Microsoft 365 verwendet werden soll. Die Verstöße der Kommission als Datenverantwortliche betreffen auch die Datenverarbeitung, einschließlich der Übermittlung von personenbezogenen Daten, die in ihrem Auftrag durchgeführt wird.

Wojciech Wiewiórowski, EDPS, sagte: „Es liegt in der Verantwortung der EU-Institutionen, Organe, Büros und Agenturen sicherzustellen, dass jede Verarbeitung personenbezogener Daten innerhalb und außerhalb der EU/EWR, auch im Zusammenhang mit Cloud-Diensten, von robusten Datenschutzvorkehrungen und Maßnahmen begleitet wird. Dies ist unerlässlich, um sicherzustellen, dass die Informationen der Einzelpersonen, wie von der Verordnung (EU) 2018/1725 gefordert, geschützt werden, wenn ihre Daten von einer EUI oder in ihrem Auftrag verarbeitet werden.“

Der EDPS hat daher entschieden, dass die Kommission ab dem 9. Dezember 2024 alle Datenflüsse aus der Verwendung von Microsoft 365 an Microsoft und deren verbundene Unternehmen und Auftragsverarbeiter in Ländern außerhalb der EU/EWR, für die keine Angemessenheitsentscheidung vorliegt, aussetzen muss. Der EDPS hat auch angeordnet, dass die Kommission die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, in Übereinstimmung mit der Verordnung (EU) 2018/1725 bringt. Die Kommission muss bis zum 9. Dezember 2024 die Einhaltung beider Anordnungen nachweisen.

Der EDPS hält die auferlegten Korrekturmaßnahmen angesichts der Schwere und Dauer der festgestellten Verstöße für angemessen, notwendig und verhältnismäßig.

Viele der festgestellten Verstöße betreffen alle Verarbeitungsvorgänge, die die Kommission oder in ihrem Auftrag bei der Nutzung von Microsoft 365 durchführt, und betreffen eine große Anzahl von Personen.

Der EDPS berücksichtigt auch die Notwendigkeit, die Fähigkeit der Kommission, ihre Aufgaben im öffentlichen Interesse wahrzunehmen oder die ihr übertragene hoheitliche Befugnis auszuüben, nicht zu beeinträchtigen, sowie die Notwendigkeit, der Kommission angemessene Zeit zu gewähren, um die geplante Aussetzung der relevanten Datenflüsse umzusetzen und die Datenverarbeitung in Übereinstimmung mit der Verordnung (EU) 2018/1725 zu bringen.

Die vom EDPS am 8. März 2024 verhängten Maßnahmen stehen einer möglichen weiteren Vorgehensweise des EDPS nicht entgegen.

Klicke, um auf EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf zuzugreifen