Der Europäische Datenschutzbeauftragte (EDSB) hat kürzlich festgestellt, dass die Verwendung von Microsoft 365 verstößt gegen die strengen Datenschutzbestimmungen des Blocks.
Diese bahnbrechende Entscheidung verdeutlicht das wachsende Spannungsverhältnis zwischen der Bequemlichkeit cloudbasierter Produktivitätssuiten und der dringenden Notwendigkeit, sensible Daten, insbesondere innerhalb staatlicher Institutionen, zu schützen.
Die Datenpraktiken der Kommission wurden als unsicher eingestuft
Der EDSB hat seine Initiative eingeleitet Untersuchung Bereits im Mai 2021 befasste sich die Kommission mit der Nutzung von Microsoft 365, angeheizt durch Bedenken hinsichtlich der transatlantischen Datenübertragung und der Einhaltung der Datenschutz-Grundverordnung (DSGVO) der EU.
Der Kern des Problems liegt darin, dass Microsoft als in den USA ansässiges Unternehmen US-Gesetzen wie dem unterliegt CLOUD-Gesetzwodurch US-Behörden möglicherweise Zugriff auf Daten gewährt werden, die auf den Servern von Microsoft gespeichert sind.
Nach sorgfältiger Prüfung kam der EDSB zu dem Schluss, dass die Kommission keine ausreichenden Garantien für Datenübermittlungen in die USA umgesetzt hat. Dadurch sind die Daten von EU-Bürgern möglicherweise anfällig für den Zugriff durch US-Geheimdienste, was ernsthafte Fragen zum Datenschutz und zur Datensouveränität aufwirft.
Wo hat der Datenschutz der Kommission versagt?
Der EDSB hat nicht nur allgemeine Besorgnis über Microsoft 365 ausgelöst, sondern auch genau dargelegt, wo die Kommission einen Fehler gemacht hat.
Erstens gab es bei der Übermittlung personenbezogener Daten außerhalb Europas nicht genügend Sicherheitsvorkehrungen. Das ist ein großes Warnsignal, insbesondere nachdem das gesamte Privacy-Shield-Abkommen mit der Schrems-II-Entscheidung verworfen wurde, was deutlich machte, dass die US-Überwachung ein Problem sein könnte.
Dann stellt sich die Frage, ob die Kommission Microsoft 365 überhaupt brauchte. Sie konnten nicht wirklich erklären, warum es so wichtig war. Wir fragen uns daher, ob sie über Microsoft viel mehr Daten verarbeitet haben, als tatsächlich nötig waren.
Und schließlich scheint die erste Datenschutzprüfung der Kommission vor der Nutzung von Microsoft 365 nicht gründlich genug gewesen zu sein. Das ist eine große Sache – wenn Sie diese Bewertung richtig durchführen, können Sie diese Datenschutzrisiken erkennen und mit ihnen umgehen, bevor sie zu einem Problem werden.
Microsoft 365 könnte in der EU aus dem Verkehr gezogen werden
Das Urteil des EDSB ist nicht nur ein Warnschuss vor dem Bug. Dies ist ein ernstes Ultimatum mit schwerwiegenden Konsequenzen. Die Kommission hat nun eine knappe Frist, den 9. Dezember 2024, um alle Datenströme an Microsoft und seine US-Partner, die sich aus der Nutzung der Microsoft 365-Suite ergeben, vollständig zu stoppen.
Bei Nichteinhaltung könnten erhebliche Geldstrafen verhängt und der Ruf der zentralen Verwaltungsbehörde der EU geschädigt werden. Das bringt sie in eine schwierige Lage.
Müssen sie sich bemühen, einen alternativen Weg für den Umgang mit ihren Daten zu finden, der mit dem EU-Recht vereinbar ist, oder sind sie mit den möglichen Folgen von Missachtung konfrontiert?
Die Kommission antwortet
Die Kommission bestätigte den Erhalt der Entscheidung des EDSA und sagte, sie müsse die Begründung „im Detail“ analysieren, bevor sie eine Entscheidung über das weitere Vorgehen treffe.
In einer Reihe von Aussagen während einer PressekonferenzSie zeigten sich zuversichtlich, dass „die geltenden Datenschutzbestimmungen sowohl faktisch als auch rechtlich eingehalten werden“.
Sie führten außerdem „verschiedene Verbesserungen“ an, die bereits während der Untersuchung an den Verträgen mit dem EDSB vorgenommen worden seien.
Die Kommission betonte außerdem ihr Engagement für den Datenschutz und die Zusammenarbeit mit dem EDSB:
„Wir haben seit Beginn der Untersuchung uneingeschränkt mit dem EDSB zusammengearbeitet … Die Kommission war stets bereit, jede begründete Empfehlung des EDSB umzusetzen, und dankbar für den Erhalt.“ Datenschutz hat für die Kommission oberste Priorität.“
Das Dilemma: Privatsphäre vs. Störung
Allerdings deuten die Aussagen der Kommission auch auf das Potenzial erheblicher Störungen hin, sollte sie gezwungen sein, Microsoft 365 einzustellen. Sie behaupten, dass „die Einhaltung der Entscheidung des EDSB leider wahrscheinlich das derzeit hohe Niveau mobiler und integrierter IT-Dienste untergraben wird“.
Diese Aussage unterstreicht die Spannung zwischen der Aufrechterhaltung eines reibungslosen Betriebsablaufs und der Gewährleistung eines lückenlosen Datenschutzes.
Was kommt als nächstes?
Die Kommission hat zugesagt, die Entscheidung des EDSB sorgfältig zu analysieren, und schlägt vor, dass eine Phase interner Beratungen bevorsteht. Das endgültige Ergebnis bleibt ungewiss: Werden sie der Compliance Vorrang einräumen und möglicherweise Abstriche bei der Benutzerfreundlichkeit machen, oder werden sie eine Kompromisslösung suchen?
Die Antwort wird umfassendere Konsequenzen für die Zukunft des Datenmanagements in der Europäischen Union haben.
Hervorgehobener Bildnachweis: Microsoft.
