Der Europäische Datenschutzbeauftragte (EDSB) glaubt, dass die EU-Kommission mit der Nutzung von Microsoft-Software gegen die Datenschutzvorschriften verstossen hat. Zudem habe die Kommission es versäumt, angemessene Schutzmassnahmen für personenbezogene Daten zu ergreifen, die an Nicht-EU-Länder übermittelt werden, heisst es in einer Mitteilung.
Die
Untersuchung durch den EDSB zur Nutzung von Microsoft 365 wurde im Mai 2021 nach dem Schrems-II-Urteil eingeleitet.
Microsoft 365 führt zu Datenübermittlung
Aus der Nutzung von Microsoft 365 würden sich Datenströme an Microsoft ergeben, so der EDSB. Die Kommission habe es versäumt, angemessene Garantien dafür zu schaffen, dass personenbezogene Daten, die ausserhalb der EU und des EWR übermittelt werden, ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU respektive dem EWR erhalten, so die Mitteilung. Ausserdem habe die Kommission in ihrem Vertrag mit Microsoft nicht hinreichend festgelegt, welche Arten personenbezogener Daten bei der Nutzung von MS 365 zu welchen ausdrücklichen und spezifizierten Zwecken erhoben werden sollen.
Der EDSB gibt der EU-Kommission Zeit bis Anfang Dezember, um entsprechende Massnahmen zu ergreifen. Etwa solle die Datenübermittlung an Microsoft und an Tochtergesellschaften in Drittländern, die keine Datenschutzvereinbarungen mit der EU geschlossen haben, gestoppt werden.
Auch in der Schweiz ist die Verwendung von MS 365 durch öffentliche Verwaltungen im Blickfeld der Datenschützer. So verlangte der Eidgenössische Datenschutzbeauftragte
(Edöb) im Sommer 2023, dass die Bundeskanzlei aufzeige, welche datenschutzrechtlich besseren Alternativen zu Microsoft 365 existieren. Bis 2025
sollen 40'000 Arbeitsplätze beim Bund migriert werden.