Home Blog Paukenschlag aus Brüssel…
Zurück
seitz.digital

Paukenschlag aus Brüssel: Die Nutzung von Microsoft 365 durch die Europäische Kommission verstößt gegen europäisches Datenschutzrecht!

Home Blog Paukenschlag aus Brüssel…
Zurück
Autoren
Dr. Johannes Traut, Kevin Leibold
Datum

18. März 2024

Diesen Beitrag teilen

Der Europäische Datenschutzbeauftragte (nachfolgend: „EDSB“) hat am 11.03.2024 bekannt gegeben, dass nach seiner Einschätzung die EU-Kommission durch die Nutzung von Microsoft 365 gegen mehrere wichtige europäische Datenschutzvorschriften verstößt. Damit attestiert der EDSB der EU-Kommission, die in wesentlichen Teilen Autor der Datenschutz-Grundverordnung (nachfolgend: „DSGVO“) ist (!), selbst datenschutzwidrig zu handeln. Das wirft auch für Unternehmen – einmal mehr – die Frage auf, ob Microsoft 365 datenschutzkonform eingesetzt werden kann.

I. Sachverhalt

In der Folge der „Schrems-II-Entscheidung“ des Europäischen Gerichtshofs (C-311/18 vom 16. Juli 2020) untersuchte der EDSB im Jahr 2021 die Nutzung von Microsoft 365 durch die EU-Kommission. Ein Fokus war hierbei insbesondere die Prüfung, ob die EU-Kommission die Empfehlungen des EDSB zur Nutzung von Microsoft-Produkten und -Diensten umgesetzt hatte.

II. Entscheidung

Der EDSB stellte nun fest, dass die EU-Kommission gegen mehrere Bestimmungen der Verordnung (EU) 2018/1725 verstoßen habe. Bei dieser Verordnung handelt es sich um das Pendant zur DSGVO. Die Verordnung (EU) 2018/1725 regelt speziell die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union.

Folgende Verstöße, die im Zeitraum vom 12. Mai 2021 bis zum 8. März 2024 vorgelegen haben sollen, stellte der EDSB konkret fest:

  • Kein Nachweis, welche Arten von personenbezogenen Daten im Rahmen des 2021 mit Microsoft geschlossenen Lizenzvertrags mit Microsoft Irland zu welchen Zwecken verarbeitet wurden;
  • keine Sicherstellung, dass die Zwecke, für die Microsoft personenbezogene Daten erhebt, spezifiziert und bestimmt sind;
  • keine dokumentierten Weisungen gegenüber Microsoft;
  • keine Prüfung, ob die Weiterverarbeitungen der Daten zu anderen Zwecken mit den ursprünglichen Zwecken vereinbar sind;
  • keine Prüfung, ob die Übermittlung der personenbezogenen Daten an Microsoft notwendig, verhältnismäßig und im öffentlichen Interesse war;
  • keine Angabe, welche Arten von personenbezogenen Daten an welche Empfänger in welchem Drittland und zu welchen Zwecken übermittelt werden;
  • kein Ergreifen von geeigneten Garantien und Transfer Impact Assessments („TIA“) für die Übermittlung in Drittländer; dies betrifft auch die zusätzlichen Maßnahmen auf der Grundlage von Standardvertragsklauseln, die vor Anwendbarkeit des Angemessenheitsbeschlusses für die USA galten.

Im Wesentlichen beanstandet der EDSB somit (1) Verstöße gegen die Zweckbindung, (2) die speziellen datenschutzrechtlichen Hürden für die Übermittlung personenbezogener Daten in Drittländer und (3) unklare Regelungen für die Übermittlung personenbezogener Daten.

Nach Ansicht des EDSB ist es Aufgabe der EU-Organe, dafür zu sorgen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU bzw. des EWR, auch im Zusammenhang mit Cloud-Diensten, mit soliden Datenschutzgarantien und -maßnahmen einhergehe. Dies sei unbedingt erforderlich, um sicherzustellen, dass die Daten natürlicher Personen gemäß der Verordnung (EU) 2018/1725 geschützt werden, wenn ihre Daten von einer der oben genannten Stellen verarbeitet werden.

Der EDSB verhängte konkrete Abhilfemaßnahmen, die angesichts der Schwere und Dauer der festgestellten Verstöße angemessen, erforderlich und verhältnismäßig seien. Viele der festgestellten Verstöße beträfen Verarbeitungen, die von der Kommission oder in ihrem Auftrag bei der Nutzung von Microsoft 365 durchgeführt würden, und beträfen eine große Zahl von Personen (siehe dazu Ziffer III).

III. Abhilfemaßnahmen

Der EDSB beschloss, folgende konkrete Abhilfemaßnahmen in Bezug auf die Verstöße zu ergreifen:

  • Ab dem 9. Dezember 2024 sind alle Datenströme auszusetzen, die sich aus der Nutzung von Microsoft 365 an Microsoft in Drittländern ergeben, die nicht unter einen Angemessenheitsbeschluss fallen, und es ist nachzuweisen, dass die tatsächliche Umsetzung einer solchen Aussetzung erfolgt ist.
  • Die Verarbeitungen, die sich aus der Nutzung von Microsoft 365 ergeben, sind in Einklang mit dem Datenschutzrecht zu bringen und bis zum 9. Dezember 2024 nachzuweisen. Dazu muss die Kommission unter anderem:
    • ein Transfer-Mapping durchführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien übermittelt werden, einschließlich einer Weiterübermittlung;
    • sicherstellen, dass alle Übermittlungen in Drittländer nur erfolgen, um die Durchführung von Aufgaben zu ermöglichen, die in die Zuständigkeit der Kommission als Verantwortlichen fallen;
    • sicherstellen, dass durch vertragliche Bestimmungen und durch andere organisatorische und technische Maßnahmen:
      • alle personenbezogenen Daten für ausdrückliche und festgelegte Zwecke erhoben werden;
      • die Arten personenbezogener Daten in Bezug auf die Zwecke, für die sie verarbeitet werden, hinreichend bestimmt sind, für die sie verarbeitet werden;
      • jede Verarbeitung durch Microsoft nur aufgrund dokumentierter Weisungen der Kommission erfolgt, es sei denn, die Verarbeitung ist innerhalb des Rechts der EU oder eines Mitgliedstaats vorgeschrieben. Eine Ausnahme besteht, wenn die Verarbeitung außerhalb der EU/EWR erfolgt. In dem Fall muss das Recht des Drittlandes ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/EWR gewährleisten;
      • keine personenbezogenen Daten in einer Weise weiterverarbeitet werden, die nicht mit nicht mit den Zwecken vereinbar ist, für die die Daten erhoben wurden;
      • alle Übermittlungen an Microsoft Irland, die im EWR ansässig sind, mit Art. 9 der Verordnung (EU) 2018/1725 übereinstimmen.

IV. Konsequenzen

Die Entscheidung des EDSB – auch wenn sie noch nicht im Volltext vorliegt – dürfte in der Praxis für Aufsehen sorgen. Die meisten Unternehmen sind im Rahmen ihrer Geschäftstätigkeit auf den Einsatz von Microsoft 365 angewiesen. Auch wenn die Risiken im Umgang mit Microsoft 365 bereits bekannt sind (vgl. z.B. Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von „Microsoft 365“ mit Stand: 24.08.2023 von der Landesbeauftragten für den Datenschutz Niedersachsen) und zumindest für die USA mittlerweile eine Angemessenheitsentscheidung vorliegt, stellt der datenschutzkonforme Einsatz die Verantwortlichen vor große Herausforderungen.

Die Verantwortlichen sind verpflichtet, alle ihnen zur Verfügung stehenden Maßnahmen zur Risikominimierung umzusetzen. Der EDSB stellt hohe Anforderungen an den Einsatz von Microsoft 365. Verantwortliche, die entsprechende Produkte einsetzen, werden ohne die Unterstützung und das Entgegenkommen von Microsoft kaum in der Lage sein, alle vom EDSB angesprochenen Maßnahmen umzusetzen. Microsoft hat mit der Einführung und Umsetzung des EU Data Boundary bereits erste Abhilfemaßnahmen getroffen, die jedoch anscheinend nicht im Rahmen der Verträge zwischen Microsoft und der EU-Kommission berücksichtigt wurden.

Auch wenn das Ergebnis der Prüfung des EDSB zunächst keine direkten Auswirkungen auf andere Verantwortliche hat, die Entscheidung nicht zur DSGVO ergangen ist und nicht klar ist, wie der konkrete Vertrag zwischen Microsoft und der EU-Kommission ausgestaltet ist, sollten Verantwortliche die vom EDSB aufgezeigten Missstände ernst nehmen und ihre Dokumentation im Zusammenhang mit dem Einsatz von Microsoft 365 überprüfen. Unternehmen, die Produkte von Microsoft 365 in ihrem Unternehmen einsetzen, müssen weiterhin sicherstellen, dass ein datenschutzkonformer Einsatz gewährleistet ist. Dazu zählt u.a. den neuesten Microsoft Products and Services Data Protection Addendum (DPA) vom 2. Januar 2024 mit Microsoft abzuschließen.

Es bleibt abzuwarten, wie die nationalen Datenschutzaufsichtsbehörden in Zukunft mit der Prüfung des Einsatzes von Microsoft 365 umgehen werden. Es ist wahrscheinlich, dass die Datenschutzaufsichtsbehörden sich an den Ausführungen des EDSB orientieren werden und es zukünftig nicht mehr bei einem Hinweis auf die Datenschutzwidrigkeit des Einsatzes von Microsoft 365 belassen werden. Ob und wann mit ersten konkreten Aufsichtsmaßnahmen zu rechnen ist, bleibt aber nach wie vor unklar.

Paukenschlag aus Brüssel: Die Nutzung von Microsoft 365 durch die Europäische Kommission verstößt gegen europäisches Datenschutzrecht!

Der Europäische Datenschutzbeauftragte (nachfolgend: „EDSB“) hat am 11.03.2024 bekannt gegeben, dass nach seiner Einschätzung die EU-Kommission durch die Nutzung von Microsoft 365 gegen mehrere wichtige europäische Datenschutzvorschriften verstößt. Damit attestiert der EDSB der EU-Kommission, die in wesentlichen Teilen Autor der Datenschutz-Grundverordnung (nachfolgend: „DSGVO“) ist (!), selbst datenschutzwidrig zu handeln. Das wirft auch für Unternehmen – einmal mehr – die Frage auf, ob Microsoft 365 datenschutzkonform eingesetzt werden kann.

I. Sachverhalt

In der Folge der „Schrems-II-Entscheidung“ des Europäischen Gerichtshofs (C-311/18 vom 16. Juli 2020) untersuchte der EDSB im Jahr 2021 die Nutzung von Microsoft 365 durch die EU-Kommission. Ein Fokus war hierbei insbesondere die Prüfung, ob die EU-Kommission die Empfehlungen des EDSB zur Nutzung von Microsoft-Produkten und -Diensten umgesetzt hatte.

II. Entscheidung

Der EDSB stellte nun fest, dass die EU-Kommission gegen mehrere Bestimmungen der Verordnung (EU) 2018/1725 verstoßen habe. Bei dieser Verordnung handelt es sich um das Pendant zur DSGVO. Die Verordnung (EU) 2018/1725 regelt speziell die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union.

Folgende Verstöße, die im Zeitraum vom 12. Mai 2021 bis zum 8. März 2024 vorgelegen haben sollen, stellte der EDSB konkret fest:

  • Kein Nachweis, welche Arten von personenbezogenen Daten im Rahmen des 2021 mit Microsoft geschlossenen Lizenzvertrags mit Microsoft Irland zu welchen Zwecken verarbeitet wurden;
  • keine Sicherstellung, dass die Zwecke, für die Microsoft personenbezogene Daten erhebt, spezifiziert und bestimmt sind;
  • keine dokumentierten Weisungen gegenüber Microsoft;
  • keine Prüfung, ob die Weiterverarbeitungen der Daten zu anderen Zwecken mit den ursprünglichen Zwecken vereinbar sind;
  • keine Prüfung, ob die Übermittlung der personenbezogenen Daten an Microsoft notwendig, verhältnismäßig und im öffentlichen Interesse war;
  • keine Angabe, welche Arten von personenbezogenen Daten an welche Empfänger in welchem Drittland und zu welchen Zwecken übermittelt werden;
  • kein Ergreifen von geeigneten Garantien und Transfer Impact Assessments („TIA“) für die Übermittlung in Drittländer; dies betrifft auch die zusätzlichen Maßnahmen auf der Grundlage von Standardvertragsklauseln, die vor Anwendbarkeit des Angemessenheitsbeschlusses für die USA galten.

Im Wesentlichen beanstandet der EDSB somit (1) Verstöße gegen die Zweckbindung, (2) die speziellen datenschutzrechtlichen Hürden für die Übermittlung personenbezogener Daten in Drittländer und (3) unklare Regelungen für die Übermittlung personenbezogener Daten.

Nach Ansicht des EDSB ist es Aufgabe der EU-Organe, dafür zu sorgen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU bzw. des EWR, auch im Zusammenhang mit Cloud-Diensten, mit soliden Datenschutzgarantien und -maßnahmen einhergehe. Dies sei unbedingt erforderlich, um sicherzustellen, dass die Daten natürlicher Personen gemäß der Verordnung (EU) 2018/1725 geschützt werden, wenn ihre Daten von einer der oben genannten Stellen verarbeitet werden.

Der EDSB verhängte konkrete Abhilfemaßnahmen, die angesichts der Schwere und Dauer der festgestellten Verstöße angemessen, erforderlich und verhältnismäßig seien. Viele der festgestellten Verstöße beträfen Verarbeitungen, die von der Kommission oder in ihrem Auftrag bei der Nutzung von Microsoft 365 durchgeführt würden, und beträfen eine große Zahl von Personen (siehe dazu Ziffer III).

III. Abhilfemaßnahmen

Der EDSB beschloss, folgende konkrete Abhilfemaßnahmen in Bezug auf die Verstöße zu ergreifen:

  • Ab dem 9. Dezember 2024 sind alle Datenströme auszusetzen, die sich aus der Nutzung von Microsoft 365 an Microsoft in Drittländern ergeben, die nicht unter einen Angemessenheitsbeschluss fallen, und es ist nachzuweisen, dass die tatsächliche Umsetzung einer solchen Aussetzung erfolgt ist.
  • Die Verarbeitungen, die sich aus der Nutzung von Microsoft 365 ergeben, sind in Einklang mit dem Datenschutzrecht zu bringen und bis zum 9. Dezember 2024 nachzuweisen. Dazu muss die Kommission unter anderem:
    • ein Transfer-Mapping durchführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien übermittelt werden, einschließlich einer Weiterübermittlung;
    • sicherstellen, dass alle Übermittlungen in Drittländer nur erfolgen, um die Durchführung von Aufgaben zu ermöglichen, die in die Zuständigkeit der Kommission als Verantwortlichen fallen;
    • sicherstellen, dass durch vertragliche Bestimmungen und durch andere organisatorische und technische Maßnahmen:
      • alle personenbezogenen Daten für ausdrückliche und festgelegte Zwecke erhoben werden;
      • die Arten personenbezogener Daten in Bezug auf die Zwecke, für die sie verarbeitet werden, hinreichend bestimmt sind, für die sie verarbeitet werden;
      • jede Verarbeitung durch Microsoft nur aufgrund dokumentierter Weisungen der Kommission erfolgt, es sei denn, die Verarbeitung ist innerhalb des Rechts der EU oder eines Mitgliedstaats vorgeschrieben. Eine Ausnahme besteht, wenn die Verarbeitung außerhalb der EU/EWR erfolgt. In dem Fall muss das Recht des Drittlandes ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/EWR gewährleisten;
      • keine personenbezogenen Daten in einer Weise weiterverarbeitet werden, die nicht mit nicht mit den Zwecken vereinbar ist, für die die Daten erhoben wurden;
      • alle Übermittlungen an Microsoft Irland, die im EWR ansässig sind, mit Art. 9 der Verordnung (EU) 2018/1725 übereinstimmen.

IV. Konsequenzen

Die Entscheidung des EDSB – auch wenn sie noch nicht im Volltext vorliegt – dürfte in der Praxis für Aufsehen sorgen. Die meisten Unternehmen sind im Rahmen ihrer Geschäftstätigkeit auf den Einsatz von Microsoft 365 angewiesen. Auch wenn die Risiken im Umgang mit Microsoft 365 bereits bekannt sind (vgl. z.B. Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von „Microsoft 365“ mit Stand: 24.08.2023 von der Landesbeauftragten für den Datenschutz Niedersachsen) und zumindest für die USA mittlerweile eine Angemessenheitsentscheidung vorliegt, stellt der datenschutzkonforme Einsatz die Verantwortlichen vor große Herausforderungen.

Die Verantwortlichen sind verpflichtet, alle ihnen zur Verfügung stehenden Maßnahmen zur Risikominimierung umzusetzen. Der EDSB stellt hohe Anforderungen an den Einsatz von Microsoft 365. Verantwortliche, die entsprechende Produkte einsetzen, werden ohne die Unterstützung und das Entgegenkommen von Microsoft kaum in der Lage sein, alle vom EDSB angesprochenen Maßnahmen umzusetzen. Microsoft hat mit der Einführung und Umsetzung des EU Data Boundary bereits erste Abhilfemaßnahmen getroffen, die jedoch anscheinend nicht im Rahmen der Verträge zwischen Microsoft und der EU-Kommission berücksichtigt wurden.

Auch wenn das Ergebnis der Prüfung des EDSB zunächst keine direkten Auswirkungen auf andere Verantwortliche hat, die Entscheidung nicht zur DSGVO ergangen ist und nicht klar ist, wie der konkrete Vertrag zwischen Microsoft und der EU-Kommission ausgestaltet ist, sollten Verantwortliche die vom EDSB aufgezeigten Missstände ernst nehmen und ihre Dokumentation im Zusammenhang mit dem Einsatz von Microsoft 365 überprüfen. Unternehmen, die Produkte von Microsoft 365 in ihrem Unternehmen einsetzen, müssen weiterhin sicherstellen, dass ein datenschutzkonformer Einsatz gewährleistet ist. Dazu zählt u.a. den neuesten Microsoft Products and Services Data Protection Addendum (DPA) vom 2. Januar 2024 mit Microsoft abzuschließen.

Es bleibt abzuwarten, wie die nationalen Datenschutzaufsichtsbehörden in Zukunft mit der Prüfung des Einsatzes von Microsoft 365 umgehen werden. Es ist wahrscheinlich, dass die Datenschutzaufsichtsbehörden sich an den Ausführungen des EDSB orientieren werden und es zukünftig nicht mehr bei einem Hinweis auf die Datenschutzwidrigkeit des Einsatzes von Microsoft 365 belassen werden. Ob und wann mit ersten konkreten Aufsichtsmaßnahmen zu rechnen ist, bleibt aber nach wie vor unklar.

News
Aktuelle News
Newsroom
Arbeitsrechtsteam von Gleiss Lutz in München wechselt zu Seitz
24. April 2024
Deal News
Warenhauskonzern vor Eigentümerwechsel: Insolvenzverwalter überträgt GALERIA erfolgreic...
17. April 2024
Deal News
Post Merger Integration Apleona/Gegenbauer: Apleona führt mit Seitz erstmals einen Haus...
15. April 2024
E-Mail Tel
Footer Mood