Der EU-Datenschutzbeauftragte (EU-DSB) hat das Verfahren gegen die EU-Kommission wegen datenschutzrechtlicher Bedenken bei der Nutzung von Microsoft 365 offiziell eingestellt. Aus seiner Sicht ist die aktuelle Nutzung durch die EU-Kommission datenschutzkonform. Der folgende Beitrag gibt einen Überblick darüber, was den EU-DSB überzeugte.
Der Inhalt im Überblick
Hintergrund des Verfahrens gegen die Kommission zu Microsoft 365
Im Mai 2021 leitete der EU-DSB Wojciech Wiewiórowski eine Untersuchung über die Nutzung von Microsoft 365 durch die Europäische Kommission ein. Er überprüfte im Rahmen dieser Untersuchung, ob die Europäische Kommission die vom EDSB im Juli 2020 veröffentlichten Empfehlungen zur Nutzung von Microsoft-Produkten und -Diensten einhält.
Am 08. März 2024 monierte der EU-DSB dann auf Basis seiner Untersuchung mehrere Datenschutzverstöße der EU-Kommission bei der Nutzung von Microsoft 365 und ordnete Abhilfemaßnahmen an. Insbesondere beanstandete er die Bestimmung personenbezogener Daten sowie die Garantien zur Gewährleistung eines gleichwertigen Schutzniveaus im Auftragsverarbeitungsvertrag mit Microsoft als unzureichend. Gegen die Anordnung erhoben sowohl die EU-Kommission als auch Microsoft Klage zum Europäischen Gericht erster Instanz auf Nichtigerklärung der Entscheidung des EU-DSB.
Warum stellt der EU-DSB das Verfahren nun ein?
In seiner gemessen an der Wichtigkeit der Frage eher kurzen Stellungnahme stuft der EU-DSB die von Microsoft inzwischen umgesetzte EU-Datengrenze (EU Data Boundary) als den wichtigsten Fortschritt ein. Damit sollen Transfers personenbezogener Daten in die USA auf ein Minimum reduziert werden. Ebenso darf Microsoft personenbezogene Daten, die innerhalb der EU oder des EWR verarbeitet wurden, ohne Benachrichtigung der betroffenen Personen nur dann offenlegen, wenn dies nach EU-Recht oder dem Recht der europäischen Mitgliedstaaten erlaubt ist.
Ist die Bewertung des EU-DSB zu Microsoft 365 überzeugend?
Ob die jüngste Aussage des Chefjustiziars von Microsoft Frankreich im französischen Senat, dass Microsoft den Zugriff von US-Behörden auf Kundendaten nicht ausschließen kann, bereits in die Bewertung des EU-DSB eingeflossen ist, ist ungewiss. Insofern mag er seine Meinung im Nachhinein vielleicht doch noch revidieren. Leider geht der EU-DSB in seinen Schreiben nicht auf die Kritiker des EU-Boundary ein, die ein Flickwerk sehen, das weniger Schutz biete als vollmundig versprochen. Insofern hätte man sich zur Überzeugungsbildung eine tiefere Besprechung der Probleme gewünscht.
Relevanz der Stellungnahme des EU-DSB für die Privatwirtschaft?
Es wäre natürlich schön, wenn auch private Akteure den Vertrag der EU-Kommission mit Microsoft abschließen könnten, um sich auf die Stellungnahme des EU-DSB zu berufen. Hieraus wird jedoch nichts werden. Zu einer Verhandlung mit Microsoft kam es nur, weil die EU-Kommission institutionell schwer genug wog, um Microsoft den Abschluss eines individuellen Vertrags schmackhaft zu machen. Nur wenige private Akteure dürften über ein ähnliches Gewicht verfügen. Zudem bleibt das Problem bestehen, dass der EU-DSB nicht für die Beurteilung von Datenverarbeitungsvorgängen der Privatwirtschaft zuständig ist. Dies ist Aufgabe der Aufsichtsbehörden der Mitgliedstaaten. Insofern bleibt es für die Privatwirtschaft beim unzufriedenstellenden Status quo hinsichtlich der Frage, ob und unter welchen Umständen sie Microsoft 365 datenschutzkonform nutzen kann. Liebe Aufsichten, könnt ihr hier nicht mal zu einem Konsens kommen?
