Verwendung von Microsoft 365 durch die europäische Kommission verletzt das Datenschutzrecht für EU-Institutionen und -organe

Der Europäische Datenschutzbeauftragte (EDSB) hat festgestellt, dass die EU-Kommission gegen mehrere Bestimmungen des EU-Datenschutzrechts verstoßen hat, die für die Organe, Einrichtungen, Ämter und Agenturen der EU gelten, einschließlich der Bestimmungen über die Übermittlung personenbezogener Daten außerhalb der EU/des Europäischen Wirtschaftsraums (EWR). Die Kommission hat es versäumt, geeignete Garantien vorzusehen, die gewährleisten, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, ein im Wesentlichen gleichwertiges Schutzniveau genießen wie in der EU/dem EWR. Darüber hinaus hat die Kommission in ihrem Vertrag mit Microsoft nicht hinreichend festgelegt, welche Arten personenbezogener Daten bei der Nutzung von Microsoft 365 erhoben werden sollten und zu welchen klaren und genau festgelegten Zwecken.

Die von der Kommission begangenen Verstöße gegen die Datenschutzgrundverordnung (DSGVO) beziehen sich auch auf die Datenverarbeitung, einschließlich der Übermittlung personenbezogener Daten, die in ihrem Namen erfolgt. Der EDSB hat daher entschieden, dass die Kommission ab dem 9. Dezember 2024 alle Datenübermittlungen auszusetzen hat, die sich aus der Nutzung von Microsoft 365 an Microsoft und seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben, die nicht durch einen Angemessenheitsbeschluss abgedeckt sind. Der EDSB hat außerdem entschieden, dass die Kommission die Verarbeitungen, die sich aus der Nutzung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang bringen muss. Die Kommission hat bis zum 9. Dezember 2024 Zeit, um nachzuweisen, dass sie beiden Anordnungen nachkommt.

Für weitere Informationen klicken Sie bitte hier.