Werbung
Allzu gern äußert die EU Kritik an Datenschutzverstößen seitens Unternehmen und Behörden. Wie aus einer aktuellen Untersuchung des Europäischen Datenschutzbeauftragten, kurz EDSB, hervorgeht, fallen die EU-Institutionen aber mitunter selbst mit fragwürdigen Praktiken hinsichtlich des Datenschutzes auf. Konkret geht es um den Einsatz von Microsoft 365 durch die EU-Kommission. Der vorliegende Bericht wirft dieser vor, selbst nicht genug unternommen zu haben, um sicherzustellen, dass personenbezogene Daten auch innerhalb der EU bleiben und dass bei der Nutzung von Microsoft 365 gegen mehrere wichtige Datenschutzvorschriften verstoßen wurde.
So hält der EDSB Wojciech Wiewiórowski fest, "dass die Kommission gegen mehrere Bestimmungen der Verordnung (EU) 2018/1725, dem EU-Datenschutzrecht für Organe, Einrichtungen, Ämter und Agenturen der EU, verstoßen hat". Vor allem soll die Kommission es versäumt haben, sicherzustellen, dass personenbezogene Daten, die die EU verlassen, ein gleichwertiges Schutzniveau wie Daten innerhalb der EU bekommen.
Erschwerend kommt noch hinzu, dass die Kommission in ihrem Vertrag mit Microsoft nicht hinreichend konkretisiert haben soll, "welche Arten personenbezogener Daten zu welchen ausdrücklichen und spezifizierten Zwecken bei der Nutzung von Microsoft 365" übertragen werden.
Der EDSB hat daher beschlossen, die Kommission mit Wirkung zum 9. Dezember 2024 anzuweisen, alle Datenströme, die sich aus der Nutzung von Microsoft 365 ergeben, sowohl an Microsoft als auch an dessen Partnerunternehmen die sich außerhalb der EU befinden und nicht durch einen Angemessenheitsbeschluss abgedeckt sind, zu unterbinden. Dabei muss die Kommission die Einhaltung dieser Anordnung aktiv nachweisen.
Die Untersuchung selbst wurde vor gut drei Jahren im Mai 2021 angestoßen. "Es liegt in der Verantwortung der Organe, Einrichtungen, Ämter und Agenturen der EU, sicherzustellen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU auch im Zusammenhang mit cloudbasierten Diensten von robusten Datenschutzgarantien und -maßnahmen begleitet wird", so Wiewiórowski abschließend.