Nach seiner Untersuchung hat der Europäische Datenschutzbeauftragte (EDPS) festgestellt, dass die Europäische Kommission (Kommission) mehrere wichtige Datenschutzregeln bei der Nutzung von Microsoft 365 verletzt hat. In seiner Entscheidung verhängt der EDPS korrektive Maßnahmen gegen die Kommission.
Der EDPS stellte fest, dass die Kommission mehrere Bestimmungen der Verordnung (EU) 2018/1725, dem Datenschutzgesetz der EU für EU-Institutionen, Organe, Einrichtungen und Agenturen (EUIs), verletzt hat, einschließlich derjenigen über die Übertragung personenbezogener Daten außerhalb der EU/des Europäischen Wirtschaftsraums (EWR). Insbesondere hat die Kommission keine angemessenen Vorkehrungen getroffen, um sicherzustellen, dass personenbezogene Daten, die außerhalb der EU/des EWR übertragen werden, ein im Wesentlichen gleichwertiges Schutzniveau erhalten, wie es in der EU/im EWR garantiert ist. Darüber hinaus hat die Kommission in ihrem Vertrag mit Microsoft nicht ausreichend spezifiziert, welche Arten personenbezogener Daten gesammelt werden und zu welchen ausdrücklichen und festgelegten Zwecken bei der Nutzung von Microsoft 365. Die Verstöße der Kommission als Datenverantwortliche beziehen sich auch auf die Datenverarbeitung, einschließlich der Übertragungen personenbezogener Daten, die in ihrem Namen durchgeführt werden.
Wojciech Wiewiórowski, der EDPS, sagte: „Es liegt in der Verantwortung der EU-Institutionen, Organe, Einrichtungen und Agenturen (EUIs), sicherzustellen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/des EWR, einschließlich im Kontext von Cloud-basierten Diensten, von robusten Datenschutzvorkehrungen und -maßnahmen begleitet wird. Dies ist unerlässlich, um sicherzustellen, dass die Informationen der Einzelpersonen geschützt sind, wie es die Verordnung (EU) 2018/1725 fordert, wann immer ihre Daten von einem EUI oder in dessen Auftrag verarbeitet werden.“
Der EDPS hat daher beschlossen, der Kommission mit Wirkung zum 9. Dezember 2024 anzuordnen, alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 durch die Kommission an Microsoft und dessen verbundene Unternehmen und Unterauftragnehmer in Ländern außerhalb der EU/des EWR, für die keine Angemessenheitsbeschlüsse vorliegen, einzustellen. Der EDPS hat auch beschlossen, die Kommission anzuweisen, die Verarbeitungsvorgänge, die sich aus der Nutzung von Microsoft 365 ergeben, in Übereinstimmung mit der Verordnung (EU) 2018/1725 zu bringen. Die Kommission muss bis zum 9. Dezember 2024 die Einhaltung beider Anordnungen nachweisen.
