Microsoft 365: EU-Kommission darf keine Daten mehr in USA übertragen

Teams, Word, Outlook – Microsofts Office-Suite ist weitverbreitet. Auch die EU-Kommission nutzt sie und hat dafür heute Probleme bekommen: Die Benutzung verstößt gegen Datenschutzrecht, verkündete der Europäische Datenschutzbeauftragte. Er hat die Kommission zu Änderungen verdonnert.

Die EU-Kommission hat mit der Nutzung von Microsoft 365, der Office-Suite des Tech-Riesens, gegen geltende Datenschutzbestimmungen verstoßen. Das hat heute der Europäische Datenschutzbeauftragte (EDSB) verkündet. Die Kommission muss nun aufhören, mit Microsoft 365 Daten in Länder ohne angemessene Datenschutzregeln zu übertragen – wie etwa die USA. Der EDSB hat der Kommission dafür eine Frist bis zum 9. Dezember dieses Jahres gesetzt.

Der EDSB hatte sein Verfahren nach dem Schrems II-Urteil im Jahr 2021 eröffnet. Der Europäische Gerichtshof hatte damals das „Privacy Shield“ für unrechtmäßig erklärt. So heißt der Beschluss der Kommission, der das Datenschutzniveau in den Vereinigten Staaten als angemessen nach europäischen Standards bezeichnete. Er erlaubte es Firmen wie Facebook und Google, persönliche Daten von Europäer:innen in die USA zu transferieren. Sechs Jahre vorher hatte der Gerichtshof schon eine erste Regelung namens „Safe Harbor“ gekippt.

Nach dem Schrems II-Urteil hatte der EDSB kritisiert, dass EU-Institutionen zunehmend mit Cloud-Software von US-Unternehmen arbeiteten. Die Unternehmen hätten zwar angekündigt, die Urteilssprüche umsetzen zu wollen. Der Datenschutzbeauftragte hat dies nun überprüft und kommt zu dem Schluss, dass dies nicht der Fall ist.

Eine Reihe von Fehlern

Der EDSB stellt in seiner Entscheidung eine Reihe von Fehlern fest. So hat die Kommission in ihrer Lizenzvereinbarung mit Microsoft nicht festgelegt, dass bestimmte Daten nur unter bestimmten Gründen verarbeitet werden dürfen. Außerdem kann die Kommission nicht sichergehen, dass Microsoft Daten nur zu dem Zweck verarbeitet, zu dem sie gesammelt wurden.

Laut dem EDSB hat die Kommission auch nicht dafür gesorgt, dass die Daten bei der Übertragung in Drittländer ausreichend geschützt sind. Die Vereinbarung mit Microsoft enthalte keine Regeln dazu, welche Daten übertragen werden dürfen. Darüber hinaus habe die Kommission in ihrer Vereinbarung mit Microsoft einige Klauseln einbezogen, für die es eine Genehmigung des Datenschutzbeauftragten gebraucht hätte, heißt es in der Entscheidung. Eine solche Genehmigung habe die Kommission aber nicht eingeholt.

Besondere Probleme sieht der Datenschutzbeauftragte im Umgang mit dem Schrems II-Urteil. Für die Übertragung persönlicher Daten ins Ausland müssen die Zielländer ein bestimmtes Datenschutzniveau aufweisen. Im Fall von Microsoft sind das die Vereinigten Staaten, und laut dem EuGH-Urteil erfüllt das Land die geforderten Standards nicht. Ähnliches gilt beim behördlichen Zugriff auf gespeicherte Daten, in diesem Fall durch US-amerikanische Sicherheitsbehörden und Geheimdienste: Die Kommission hätte hier die bestehenden Gesetze analysieren und sicherstellen müssen, dass Microsoft die Kommission vor einem eventuellen Zugriff informiert, schreibt der EDSB. Das habe sie aber nicht getan.

Reaktion noch ungewiss

Es liege in der Verantwortung der EU-Institutionen, dass alle persönlichen Daten mit einem angemessenen Datenschutz verarbeitet werden, sagte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski zu der Entscheidung. Das gelte innerhalb wie außerhalb der Union.

Ein Microsoft-Sprecher sagte The Register, man würde das Urteil nun zusammen mit der Kommission analysieren. Andere Kund:innen könnten Microsoft 365 aber ohne Bedenken und mit Rechtssicherheit weiterbenutzen, weil die Entscheidung nur für das spezielle Datenschutzgesetz für EU-Institutionen gilt.

Die Kommission selbst war sich sicher, geltenden Datenschutzregeln entsprochen zu haben. Das sagte gestern ein Sprecher. Während der Untersuchung des Datenschutzbeauftragten habe man auch bereits Verbesserungen umgesetzt.

„Es scheint leider wahrscheinlich, dass die Umsetzung der EDSB-Entscheidung das momentan hohe Niveau mobiler und integrierter IT-Dienste gefährden wird“, so der Kommissionssprecher. „Das trifft nicht nur auf Microsoft zu, sondern möglicherweise auch auf andere kommerzielle IT-Dienste.“ Bevor die Kommission die Entscheidung weiter kommentiere, werde sie diese aber zunächst eingehend prüfen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.