Nach einer dreijährigen Untersuchung hat der Europäische Datenschutzbeauftragte (EDSB) erklärt, dass die Europäische Kommission bei der Nutzung verschiedener Microsoft-Dienste unrechtmäßig handelt. Besonders besorgniserregend ist die Nutzung von Microsoft 365 .
Der Europäischen Kommission wurde nun eine 9-monatige Frist eingeräumt, um ihre Datenverwaltungspraktiken in Ordnung zu bringen und einen Weg zu finden, das rechtswidrige Verhalten zu beenden. Dementsprechend könnte das Problem noch in diesem Jahr gelöst werden, vorausgesetzt, der EuGH ist in der Lage, eine angemessene Lösung für den Fall zu finden, in dem Microsoft die andere beteiligte Partei ist. Man könnte sagen: 'Hängt den Henker', aber das ist hier nicht wirklich der Fall. Das Problem ist, dass die Europäische Kommission außerhalb der EU nicht garantieren kann, dass die Daten der Nutzer im Einklang mit dem Gesetz behandelt werden.
Wenn Nutzer Microsoft-Dienste wie Microsoft 365 für die Büroarbeit bei der Europäischen Kommission oder anderen Organisationen nutzen, können die in der Cloud gespeicherten Daten in Nicht-EU-Länder übertragen werden. In diesem Fall ist die Europäische Kommission nicht in der Lage, den Datenschutz im Einklang mit dem EU-Recht zu gewährleisten, so die Untersuchungen des Europäischen Datenschutzbeauftragten. Der EDSB hat daher die Kommission aufgefordert, dieser Praxis ein Ende zu setzen.
"Die Kommission war nicht in der Lage, Unterlagen vorzulegen, die zweifelsfrei belegen, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, im Wesentlichen demselben Schutzniveau unterliegen wie diejenigen, die innerhalb der EU/des EWR gewährleistet sind", so der EDSB in einer Erklärung.
Der EDSB war auch besorgt darüber, dass die Verwendung und der Schutz personenbezogener Daten in den Verträgen nicht ausreichend behandelt wird, so der EDSB im Fall 2021. Die Europäische Kommission sollte dies ebenfalls ansprechen. "Die Kommission hat in ihrem Vertrag mit Microsoft nicht ausreichend festgelegt, welche Arten von personenbezogenen Daten bei der Nutzung von Microsoft 365 erhoben werden können und für welche Zwecke sie verwendet werden können", so der EDSB.
Die einfachste Lösung wäre, dass Microsoft die Daten der europäischen Bürger in Europa verarbeitet. Es gibt Länder auf internationaler Ebene, die Vereinbarungen getroffen haben und das Datenschutzniveau bieten können, das die EU erwartet. Die USA sind eines dieser Länder, ebenso wie Südkorea, Japan, die Schweiz, das Vereinigte Königreich und viele andere. Microsoft kann also im Prinzip eine Lösung in Zusammenarbeit mit der EU anbieten, aber das Problem geht darüber hinaus, worauf das Unternehmen hingewiesen hat.
Das Redmonder Unternehmen hat mitgeteilt, dass es eine Untersuchung der Entscheidung des Europäischen Datenschutzbeauftragten eingeleitet hat und mit den europäischen Entscheidungsträgern zusammenarbeiten wird, um sicherzustellen, dass die Probleme ordnungsgemäß angegangen werden. Sie haben auch die Gründe für die aktuellen Probleme hervorgehoben. "Die vom EDSB geäußerten Bedenken beziehen sich größtenteils auf die strengeren Transparenzanforderungen der EUDPR, die nur für die Institutionen der Europäischen Union gilt", sagte ein Microsoft-Sprecher.
Dieser Fall veranschaulicht, wie komplex und vielschichtig die Datenschutzregelung international ist. Und er zeigt auch, dass es viele Fälle gibt, in denen Verstöße an Orten gefunden werden können, an denen man es am wenigsten erwarten würde, weshalb die notwendigen Untersuchungen überall durchgeführt werden müssen, um Bedrohungen zu identifizieren.
