Die Hütte brennt: EU-Kommission verklagt EDSB

Die Diskussion, ob Microsoft 365 datenschutzrechtlich zulässig ist oder nicht, ebbt nicht ab. Wir haben bereits verschiedene Male auf die unterschiedlichen Rechtsmeinungen hingewiesen, vor allem auch in Bezug auf die DSK-Veröffentlichung aus 2022, wonach Verantwortliche (also Unternehmen) die Einhaltung des Datenschutzes bei Verwendung von Microsoft 365 nicht nachweisen könnten.

Auch im Oktober 2023 hat das LDI NRW nochmals darauf hingewiesen, dass der Vertrag zur Auftragsverarbeitung unzureichend wäre und die Unternehmen ihren Nachweispflichten nicht nachkommen könnten.

Diese Rechtsauffassung endete nun darin, dass der Europäische Datenschutzbeauftragte (EDSB) auch der EU-Kommission eine nicht datenschutzkonforme Nutzung von Microsoft 365 vorgeworfen[1] hat und die EU-Kommission dazu aufgefordert hat, bis Dezember 2024 weitere Maßnahmen zu ergreifen, die verhindern, dass Microsoft oder einer der Unterauftragnehmer weiterhin Daten ins Drittland übermitteln.

Gegen diese Aufforderung hat die EU-Kommission nun Klage eingereicht[2], um weiterhin Microsoft-Software verwenden zu können. Die Kommission argumentiert, dass die Produkte von Microsoft für ihre Arbeit unerlässlich seien und keine gleichwertigen Alternativen verfügbar wären. Die Klage zielt darauf ab, diese Position zu verteidigen und die Nutzung der Software fortzusetzen[3]. Dieser Klage hat sich auch Microsoft angeschlossen[4].

Aus unserer Sicht könnten die Klagen durchaus „Sprengkraft“ besitzen. Gewinnt die EU-Kommission, dürfte die Diskussion um den rechtskonformen Einsatz von Microsoft 365 deutlich nachlassen. Gewinnt der Europäische Datenschutzbeauftragte, dürfte der Druck auf die Unternehmen und auf Microsoft deutlich stärker werden.

In beiden Fällen wäre es ein wünschenswerter Schritt in Richtung mehr Rechtssicherheit, denn aktuell gehen die juristischen Meinungen zu Microsoft weit auseinander.

Wir sind gespannt und werden den Vorgang natürlich für Sie weiterhin verfolgen. Sobald es neue Erkenntnisse in Bezug auf diese Klagen gibt, werden wir Sie informieren!

Unsere Mandanten weisen wir in diesem Zusammenhang nochmals auf unsere bisherigen Veröffentlichungen in Bezug auf Microsoft 365 hin. Eine Zusammenstellung möglicher „weiterer Maßnahmen“ zur Erhöhung des Datenschutzes ist in der entsprechenden Orientierungshilfe im BK5 der Dateiablage des DSMS abrufbar.


[1] https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf
[2] https://x.com/echo_pbreyer/status/1808466420478411202
[3] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:C_202403925
[4] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:C_202403926

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

pexels-jonathan-borba-3818629-cut532191279_compressed