M365, EDSB und Europäische Kommission: Eine Kontroverse mit weitreichenden Folgen

Am 11. März 2024 erschütterte eine Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) die digitale Landschaft der EU: Die Europäische Kommission hat bei der Nutzung von Microsoft 365 (M365) gegen geltende Datenschutzbestimmungen verstoßen. Nun setzt sich die Kommission zur Wehr und verklagt den EDSB – gemeinsam mit Microsoft.

Dieser Vorfall wirft nicht nur ein Schlaglicht auf die Praktiken der höchsten EU-Behörde, sondern stellt auch – erneut – die Datenschutzkonformität eines der weltweit meistgenutzten Cloud-Dienste in Frage.  

Für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Europäischen Union gilt die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018. Diese Verordnung ist an die DSGVO angelehnt, die für Unternehmen und Organisationen in den EU-Mitgliedstaaten gilt. Beide Verordnungen setzen strenge Standards für den Umgang mit persönlichen Daten, insbesondere in Bezug auf die Zweckbindung der Datenverarbeitung und den Schutz bei Datenübertragungen in Drittländer.

Im Mai 2021 leitete der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski eine Untersuchung über die Nutzung von Microsoft 365 durch die Europäische Kommission ein. Diese Untersuchung zielte darauf ab zu überprüfen, ob die Kommission die vom EDSB im Juli 2020 veröffentlichten Empfehlungen zur Nutzung von Microsoft-Produkten und -Diensten einhält.

Die Ergebnisse waren alarmierend: Der EDSB stellte fest, dass die Europäische Kommission bei der Nutzung von M365 gegen mehrere Datenschutzvorschriften der Verordnung (EU) 2018/1725 verstoßen hat.

Zu den Hauptkritikpunkten des EDSB gehörten vor allem die Ausgestaltung des Auftragsverarbeitungsverhältnisses. Zum Hintergrund: Erfolgt eine Verarbeitung im Auftrag von Verantwortlichen, so arbeiten diese nur mit Auftragsverarbeiter:innen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. So zumindest die Theorie.  

Im Falle der Europäischen Kommission haperte es laut EDSB an den folgenden Punkten:

1. Unzureichende Festlegung der Datenverarbeitungszwecke

Die Kommission hatte in ihrem Lizenzvertrag mit Microsoft nicht klar definiert, welche Arten personenbezogener Daten zu welchen spezifischen Zwecken bei der Nutzung von M365 verarbeitet werden sollten.

2. Mangelnde Kontrolle über die Datenverarbeitung

Microsoft hatte weitgehend selbst bestimmt, zu welchen Zwecken Daten verarbeitet wurden, ohne ausreichend detaillierte Anweisungen von der Kommission zu erhalten.

3. Unzureichender Schutz bei Datenübermittlungen in Drittländer

Die Kommission konnte nicht gewährleisten, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, ein gleichwertiges Schutzniveau wie innerhalb der EU genießen.

Nun soll die Europäische Kommission Maßnahmen ergreifen. Zu den zentralen Forderungen des EDSB gehört die sofortige Aussetzung aller Datenflüsse, die aus der Nutzung von Microsoft 365 resultieren und an Microsoft sowie dessen verbundene Unternehmen in Drittländer übermittelt werden. Die Kommission muss bis zum 9. Dezember 2024 nachweisen, dass sie diese Anweisung befolgt hat.

Zusätzlich fordert der EDSB von der Kommission, dass sie die Verarbeitungsvorgänge im Zusammenhang mit Microsoft 365 in Einklang mit der Verordnung (EU) 2018/1725 bringt. Dies umfasst unter anderem die klare Definition der Zwecke, für die personenbezogene Daten verarbeitet werden, sowie die Gewährleistung, dass Microsoft nur mit ausdrücklicher Genehmigung der Kommission auf diese Daten zugreifen kann.

Die Entscheidung des EDSB hat zu unterschiedlichen Reaktionen der beteiligten Parteien geführt, die die Komplexität und Brisanz der Situation verdeutlichen.

Die Europäische Kommission zeigte sich überrascht von der Entscheidung des EDSB. Ein Sprecher der Kommission erklärte, man sei überzeugt gewesen, die geltenden Datenschutzregeln eingehalten zu haben. Während der Untersuchung habe man bereits Verbesserungen umgesetzt.

In einer überraschenden Wendung hat die Europäische Kommission am 17. Mai 2024 Klage gegen den EDSB beim Gerichtshof der EU eingereicht (Rechtssache T-262/24). Die Kommission strebt an, den Untersuchungsbericht des EDSB zur Nutzung von Microsoft 365 für nichtig erklären zu lassen. In ihrer Klage führt die Kommission 13 Klagegründe an und wirft dem EDSB "Rechts- und Tatsachenfehler bei der Feststellung von Verstößen" vor.

Microsoft reagierte ebenfalls auf die Entscheidung. Ein Unternehmenssprecher erklärte gegenüber The Register, man würde das Urteil nun zusammen mit der Kommission analysieren. Interessanterweise betonte Microsoft, dass andere Kund:innen Microsoft 365 ohne Bedenken und mit Rechtssicherheit weiterbenutzen könnten, da die Entscheidung nur für das spezielle Datenschutzgesetz für EU-Institutionen gelte. Auch Microsoft selbst hat eine Klage gegen den EDSB eingereicht (Rechtssache T-265/24), in der das Unternehmen dem Datenschutzbeauftragten eine "fehlerhafte Auslegung und Anwendung" von EU-Bestimmungen vorwirft.

Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski bekräftigte seine Position und betonte die Verantwortung der EU-Institutionen: "Es liegt in der Verantwortung der EU-Institutionen, dass alle persönlichen Daten mit einem angemessenen Datenschutz verarbeitet werden". Dies gelte sowohl innerhalb als auch außerhalb der Union. 

Die Entscheidung des EDSB zur Nutzung von Microsoft 365 durch die Europäische Kommission hat weitreichende Implikationen für Verantwortliche in der EU, auch wenn sie nicht direkt auf sie anwendbar ist. Hier sind einige der wichtigsten Konsequenzen und Überlegungen:

1. Rechtliche Unsicherheit

Die Klagen der EU-Kommission und Microsoft gegen den EDSB schaffen zunächst rechtliche Unsicherheit. Verantwortliche in der EU sollten die Entwicklung dieser Fälle aufmerksam verfolgen, da sie richtungsweisend für die zukünftige Nutzung von Cloud-Diensten sein könnten.

2. Überprüfung der eigenen Verträge

Auch wenn die Entscheidung des EDSB spezifisch für EU-Institutionen gilt, sollten Unternehmen und Organisationen ihre eigenen Verträge mit Microsoft und anderen Cloud-Anbietern überprüfen. Besonderes Augenmerk sollte dabei auf die Zweckbindung der Datenverarbeitung und den Schutz bei Drittlandsübermittlungen gelegt werden.

3. Risikobewertung

Verantwortliche sollten eine umfassende Dokumentation und Bewertung der Risiken im Zusammenhang mit der Nutzung von Microsoft 365 und ähnlichen Diensten durchführen.

4. Alternative Lösungen

Organisationen sollten die Möglichkeit in Betracht ziehen, alternative Softwarelösungen zu evaluieren, die möglicherweise besser mit den EU-Datenschutzbestimmungen vereinbar sind, und eine Exitstrategie vorzubereiten.

5. Schulung und Sensibilisierung

Mitarbeitende sollten geschult und für die Datenschutzproblematik bei der Nutzung von Cloud-Diensten sensibilisiert werden. 

Die Kontroverse um die Nutzung von Microsoft 365 durch die Europäische Kommission markiert einen Wendepunkt in der Diskussion über Datenschutz und Cloud-Dienste in der EU. Die Entscheidung des EDSB und die darauffolgenden Klagen der EU-Kommission und Microsoft unterstreichen die Komplexität und Brisanz des Themas.

Die weitere Entwicklung in diesem Fall wird zweifellos großen Einfluss auf die zukünftige Nutzung von Cloud-Diensten in der EU haben. Es bleibt abzuwarten, wie der Gerichtshof der EU in den anhängigen Klagen entscheiden wird und welche Konsequenzen sich daraus für die Praxis ergeben werden. 

European Data Protection Supervisor (2024): „European Commission’s use of Microsoft 365 infringes data protection law for EU institutions and bodies”, 11. März 2024, https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf, letzter Zugriff am 19. Juli 2024.

Henning, Maximilian (2024): “EU-Kommission hat rechtswidrig Daten übertragen“, Netzpolitik.org, 11. März 2024, https://netzpolitik.org/2024/microsoft-365-eu-kommission-hat-rechtswidrig-daten-uebertragen/, letzter Zugriff am 19. Juli 2024.

Hessel, Stefan (2024): „Nutzung von Microsoft 365 durch die EU-Kommission“, reusch law, 05. April 2024, https://www.reuschlaw.de/news/nutzung-von-microsoft-365-durch-die-eu-kommission/, letzter Zugriff am 19. Juli 2024.

Tar, Julia (2024): „EU-Kommission verstieß mit Microsoft-Nutzung gegen eigene Datenschutzregeln“, Euractiv, 11. März 2024, https://www.euractiv.de/section/innovation/news/eu-kommission-verstiess-mit-microsoft-nutzung-gegen-eigene-datenschutzregeln/, letzter Zugriff am 19. Juli 2024.

tarnkappe.info (2024): „EU-Kommission verklagt Datenschutzbeauftragten“, 04. Juli 2024, https://tarnkappe.info/artikel/it-sicherheit/datenschutz/eu-kommission-verklagt-datenschutzbeauftragten-298192.html, letzter Zugriff am 19. Juli 2024.

Wilkens, Andreas (2024): „Streit über Microsoft 365: EU-Kommission verklagt EU-Datenschutzbeauftragten“, heise online, 05. Juli 2024, https://www.heise.de/news/Streit-ueber-Microsoft-365-EU-Kommission-verklagt-EU-Datenschutzbeauftragten-9791143.html, letzter Zugriff am 19. Juli 2024.