Der Europäische Datenschutzbeauftragte (EDSB) hat am 8. März 2024 festgestellt, dass die Europäische Kommission bei der Nutzung von Microsoft 365 gegen EU-Datenschutzrichtlinien verstößt und ihr Abhilfemaßnahmen auferlegt.
Die Frage, ob der Einsatz von Microsoft 365 datenschutzkonform ist, wird bereits seit längerer Zeit kontrovers diskutiert. Der Europäische Datenschutzbeauftragte EDSB hat hierauf nun eine klare Antwort gegeben und in einer Pressemitteilung das Ergebnis seiner im Mai 2021 gestarteten Untersuchung zum Einsatz von Microsoft 365 durch die EU-Kommission verkündet: Die EU-Kommission habe danach gegen mehrere Bestimmungen der Verordnung (EU) 2018/1725, die den Datenschutz für die Organe der EU regelt, verstoßen. Es sei im Vertrag zwischen der Kommission und Microsoft nicht ausreichend festgelegt und spezifiziert, welche Arten von personenbezogenen Daten zu welchen expliziten Zwecken bei der Nutzung von Microsoft 365 erhoben und verarbeitet werden sowie welche Daten an welche Empfänger zu welchen Zwecken weitergegeben werden dürfen. Zudem habe die Kommission insbesondere in der Vergangenheit vor Inkrafttreten des Angemessenheitsbeschlusses mit der USA versäumt, angemessene Garantien dafür zu schaffen, dass personenbezogene Daten, die an Drittländer übermittelt werden, ein angemessenes Schutzniveau erhalten.
Der EDSB hat die Kommission daher angewiesen, spätestens bis zum 9. Dezember 2024 alle Datenströme auszusetzen, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Drittländer ergeben. Ausnahmen gelten lediglich für Drittstaaten, die ein mit der EU vergleichbares Datenschutzniveau haben. Durch Inkrafttreten des EU-U.S. Data Privacy Frameworks im Juli 2023 zählt die USA derzeit zu den Ländern, in denen ein solches Datenschutzniveau besteht. Darüber hinaus muss die Kommission bis zum genannten Stichtag ihre Datenverarbeitung unter Verwendung von Microsoft 365 in Einklang mit den Vorgaben der Verordnung (EU) 2018/1725 bringen und die entsprechende Datenschutz-Compliance nachweisen. Die Liste der zu ergreifenden Maßnahmen ist umfassend: So gibt der EDSB der Kommission auf, (i) ein Data-Transfer-Mapping zu erstellen, um festzustellen an welche Empfänger welche Daten in welche Drittländer zu welchen Zwecken und mit welchen Schutzmaßnahmen gelangen, (ii) sicherzustellen, dass Daten im Rahmen der Auftragsverarbeitung nur auf Weisung der Kommission verarbeitet werden sowie (iii) vertragliche Grundlagen zu schaffen zur Einhaltung der Gebote der Zweckbindung sowie Datenminimierung, der Gewährleistung interner Transparenz über die Datenverarbeitung sowie die Verhinderung der Offenlegung personenbezogener Daten an staatliche Stellen außerhalb des EWR.
Diese Anordnung des EDSB bedeutet nicht, dass der Einsatz von Microsoft 365 generell nicht rechtskonform möglich wäre. Auch findet die Verordnung (EU) 2018/1725, auf die sich die Entscheidung stützt, keine Anwendung auf private Unternehmen. Die für diese geltende DSGVO enthält jedoch identische Anforderungen an die Einbindung von Clouddienstleistern. Damit unterstreicht und bestätigt diese Entscheidung des EDSB die bereits von der Datenschutzkonferenz (DSK) und verschiedenen Aufsichtsbehörden veröffentlichte Auffassung, dass verantwortliche Stellen, die Microsoft 365 einsetzen, gehalten sind, eindeutig in den Auftragsverarbeitungsverträgen mit Microsoft zu bestimmen, welche personenbezogenen Daten zu welchen Zwecken über die Cloudanwendung verarbeitet werden und sich interne Transparenz hinsichtlich der Verarbeitung in Drittländern zu verschaffen, um dort geeignete Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus zu implementieren. Unternehmen, die Microsoft 365 einsetzen, sollten daher eine datenschutzrechtliche Überprüfung durchführen, wie genau im Einsatz des Tools personenbezogene Daten durch wen (einschließlich etwaiger Unterauftragnehmer) verarbeitet werden, inwieweit Microsoft Daten möglicherweise gar zu eigenen Zwecken verarbeitet, wie das Weisungsrecht gegenüber Microsoft vertraglich ausgestaltet wird, welche Regelungen zur Datenlöschung erforderlich sind, wie genau die technischen und organisatorischen Maßnahmen (TOMs) auszugestalten sind und welche weitere Risiko-Assessments einschließlich einer etwaigen Datenschutzfolgenabschätzung (DSFA) erforderlich sind.