Inhalt:

• Unabsehbare Folgen: Die Verwendung von Microsoft 365 durch die EU-Kommission widerspricht der Rechtslage

 

 

Unabsehbare Folgen: Die Verwendung von Microsoft 365 durch die EU-Kommission widerspricht der Rechtslage

Es war eine eher unauffällige Meldung in zwei österreichischen Medien - allerdings mit Sprengkraft: Der Datenschutzbeauftragte der Europäischen Behörden stellte am 11.3.2024 offiziell fest, dass die Verwendung von Microsoft 365 durch die EU-Kommisssion der Rechtslage widerspricht. Zwar richtet sich Wojciech Wiewiórowski, der Chef der Behörde, nur an die Kommission selbst und trägt ihr auf, bis 9. Dezember 2024 eine rechtskonforme Lösung zu finden. Die Wirkung der Entscheidung geht aber weit darüber hinaus: Wenn sie keine Strafen und Schadenersatzforderungen riskieren wollen, müssen alle Verantwortlichen in der EU die Verwendung von Microsoft 365 so rasch wie möglich (mithilfe von Microsoft selbst!!) ändern - oder sie im schlimmsten Fall sogar beenden.

Die Entscheidung des Datenschutzbeauftragten ist das Ergebnis einer dreijährigen Untersuchung. Hauptgrund der Entscheidung sind mangelhafte Verträge der Kommission mit Microsoft, die dazu führen, dass geschützte personenbezogene Daten bei Verwendung von Microsoft 365 rechtswidrig aus der EU verbracht und anderweitig verarbeitet werden. Ausdrücklich beruft sich der Datenschutzbeauftragte auf das EuGH-Urteil "Schrems II" (17.7.2022). Man muss davon ausgehen, dass der "Angemessenheitsbeschluss" der Kommission vom Juli 2023 ebenfalls bei der Entscheidung berücksichtigt wurde, am Ergebnis der Beurteilung allerdings nichts geändert hat.

Mit der Entscheidung endet eine lange Phase der Unsicherheit und der Diskussion. Folgende Umstände müssen als erwiesen angesehen werden:

• Microsoft greift über MS-365 bei seinen Kunden rechtswidrig auf geschützte personenbezogene Daten zu und verarbeitet sie außerhalb der EU, obwohl dort für die Betroffenen kein ausreichender Rechtsschutz besteht.
• Die jahrelangen Behauptungen von Microsoft, den europäischen Datenschutz zu respektieren, haben sich in den ausführlichen Untersuchungen des Datenschutzbeauftragten der Kommission als falsch erwiesen.
• Selbst wenn es der EU-Kommission gelingen könnte, für ihre Microsoft-Anwendungen eine vertragliche Änderung durchzusetzen, wonach keine Daten mehr aus der EU verbracht und die Daten auch rechtskonform verarbeitet werden, bleiben Zweifel, ob Microsoft auch gegenüber kleineren Kunden seine Geschäftspraktiken ändert.
• KI-Anwendungen von Microsoft laufen in der "Cloud" von Microsoft. Die Entscheidung gilt daher auch für diese Anwendungen.
• Die Glaubwürdigkeit und die Reputation von Microsoft muss als durch das Untersuchungsergebnis beeinträchtigt angesehen werden.
• Aufgrund der umfangreichen Auswirkungen der Entscheidung (z.B. drohende Notwendigkeit des Verzichtes auf MS-Word und MS-Excel, sofern es sich um Bestandteile von Microsoft 365 handelt) werden bereits Stimmen laut, die den Datenschutz grundsätzlich in Frage stellen (und damit eine Gefährdung der Demokratie und des Rechtsstaates in Betracht ziehen!), anstatt das Verhalten von Microsoft zu hinterfragen.

Anqi Chen, Juristin beim Beratungsunternehmen "intersoft consulting" schreibt u.a. dazu:

Wenigstens einige der angesprochenen Problemzonen sind für die einzelnen Anwender kaum durchschaubar, weil Microsoft trotz Drängens großer Kunden und Organisationen in der Vergangenheit die Fakten nicht unmissverständlich deklariert hat. Trotzdem bleiben die Anwender für allfällige Rechtsverstöße verantwortlich, sobald sie das System nutzen.

Selbstverständlich könnte die jetzige Entscheidung des Datenschutzbeauftragten der EU-Kommission nach Verhandlungen im Ergebnis dazu führen, dass Microsoft die Verarbeitung personenbezogener Daten, die bei den unterschiedlichen Anwendungen aktuell aus der EU "abgesaugt" werden, nur mehr innerhalb der EU durchführt und eine rechtskonforme Verarbeitung zuläßt. Dies ist zwar im Licht vergangener Anpassungen möglich; ob es auch tatsächlich gemacht wird, bleibt abzuwarten.

Sollte sich die Kommission in den nächsten Monaten allerdings nicht gegenüber Microsoft durchsetzen, wird es künftig nicht möglich sein, Microsoft 365 in seiner Gesamtheit in der EU rechtskonform zu betreiben. Speziell Berufe mit Verschwiegenheitspflichten wären dann genötigt, sich ungeachtet des Aufwandes anderen Lösungen (die es größtenteils ja schon gibt) zuzuwenden. Eine weitere Verwendung aller Module von Microsoft 365 würde ein unverhältnismäßig hohes Risiko nach sich ziehen, bestraft zu werden und sich mit hohen Schadenersatzforderungen konfrontiert zu sehen.

Quellen:

https://orf.at/stories/3351222/
(11.3.2024)

https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf
(11.3.2024)

Datenschutzbeauftragte halten MS-Office365 für rechtswidrig
https://www.heise.de/news/Datenschutzbeauftragte-versagen-Microsofts-Clouddiensten-Rechtskonformitaet-7392338.html
(22.12.2022)

IHK (München und Oberbayern): Vertrag mit Microsoft allein reicht nicht aus
https://www.heise.de/news/Datenschutzbeauftragte-versagen-Microsofts-Clouddiensten-Rechtskonformitaet-7392338.html
(11.3.2024)

Michael Will: Ein Standard-Vertrag mit Microsoft ist zu wenig
https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Die-EU-Datenschutz-Grundverordnung/Microsoft-365-Interview-mit-Michael-Will-BayLDA.html
(11.3.2024)

Datenschutz: lästig und hinderlich?
https://orf.at/stories/3351232/
(12.3.2024)

Ist ein rechtskonformer Betrieb von Microsoft 365 möglich?
https://www.dr-datenschutz.de/datenschutz-microsoft-365-dsgvo-konformer-einsatz-moeglich/
(24.1.2024)