European Data Protection Supervisor stellt Verfahren zur Microsoft 365-Nutzung ein – mit Anpassungen und Vorbehalten 

Der Europäische Datenschutzbeauftragte (EDSB) hat offiziell das Verfahren gegen die Europäische Kommission zur Nutzung von Microsoft 365 beendet. Nach Einschätzung des EDSB sind die zuletzt umgesetzten vertraglichen, technischen und organisatorischen Maßnahmen ausreichend, um die datenschutzrechtlichen Mängel zu beheben. Welche Fortschritte tatsächlich erzielt wurden – und welche Fragen weiter offen bleiben – beleuchtet dieser Beitrag. 

Hintergrund des Verfahrens 

Bereits im Mai 2021 begann der EDSB, die Nutzung von Microsoft 365 durch die EU-Kommission zu untersuchen, mit Blick auf die Einhaltung der Empfehlungen von 2020. Im März 2024 beanstandete der EDSB in seiner Untersuchung mehrere Verstöße: Mängel bei Auftragsverarbeitungsverträgen, unzureichende Garantien für ein gleichwertiges Schutzniveau und zu großzügige Datenübermittlungen in Drittländer. Die Kommission erhielt Abhilfemaßnahmen, gegen die sowohl sie selbst als auch Microsoft Klage erhoben. 

Warum der EDSB das Verfahren jetzt beendet 

Laut der offiziellen Mitteilung des EDSB und wurden die im Jahr 2024 aufgezeigten Mängel behoben. Besonders hervorgehoben werden: 

  • Zweckbindung & Weisungsstruktur: Microsoft und dessen Unterauftragsverarbeiter dürfen Daten nur aufgrund dokumentierter Anweisungen und ausschließlich für festgelegte Zwecke verarbeiten.  

  • Beschränkung der Datenübermittlung in Drittländer: Die Kommission hat spezifische Empfänger und Zwecke formal festgelegt und technische Maßnahmen ergriffen, um solche Transfers nur zulässig zu machen, wenn sie unter Ausnahmeregelungen gemäß EU-Recht fallen.  

  • Vertragliche Regelungen zur Offenlegung von Daten: Microsoft darf personenbezogene Daten, die innerhalb der EU oder des EWR verarbeitet wurden, nur offenlegen, wenn dies durch EU- oder nationales Recht vorgeschrieben ist. Zudem wurden Regelungen geschaffen, wann – und ob – eine Benachrichtigungspflicht der Kommission greift.  

  • Bereitstellung der verbesserten Lizenzvereinbarung: Die überarbeitete Vertragsstruktur wurde auch anderen EU-Organen und Einrichtungen zur Verfügung gestellt, um die Konformität mit der Verordnung (EU) 2018/1725 sicherzustellen.  

Der EDSB kommt zu dem Schluss, dass die zuvor festgestellten Verstöße nun nicht mehr vorliegen – zumindest für den untersuchten Anwendungsbereich bei der Kommission. 

Einschätzung: Überzeugend oder lückenhaft? 

Die Entscheidung des EDSB ist in mehrfacher Hinsicht bemerkenswert – und zugleich nicht unumstritten: 

  • Der EDSB zieht als zentralen Fortschritt die Umsetzung der EU Data Boundary heran – was Transfers in die USA auf ein Minimum reduzieren soll. 

  • Kritiker monieren jedoch, dass die EU Data Boundary eher ein technisches/Konfigurations-Framework als ein sicherer Rechtsmechanismus sei, und sehen sie als Flickwerk, das nicht alle Risiken abdecke. 

  • Besonders brisant sind neuere Aussagen von Microsoft in Frankreich, wonach Zugriffe durch US-Behörden nicht vollständig ausgeschlossen werden können – ob diese in die Bewertung des EDSB eingegangen sind, bleibt offen. 

Die Stellungnahme des EDSB behandelt diese kritischen Aspekte nicht im Detail, was Zweifel nährt, ob die Bewertung umfassend und dauerfest ist. 

Bedeutung für die Private Wirtschaft 

Für private Unternehmen bleibt die Lage weitgehend unverändert: 

  • Der EDSB darf nur EU-Institutionen beurteilen. Für die private Wirtschaft sind nationale Datenschutzaufsichtsbehörden zuständig. 

  • Die Kommission konnte mit Microsoft individuelle Vertragsbedingungen durchsetzen, die für Unternehmen praktisch unerreichbar sind. 

  • Dennoch kann die überarbeitete Lizenzvereinbarung der Kommission als Orientierung dienen — sofern Unternehmen prüfen, ob sie die gleichen Maßnahmen (technisch, organisatorisch, vertraglich) auch selbst umsetzen können. 

Fazit & Ausblick 

Der EDSB hat die Verfahren gegen die EU-Kommission eingestellt, weil die Kommission nach seiner Auffassung inzwischen hinreichende datenschutzkonforme Maßnahmen umgesetzt hat. Dennoch bleiben für viele Aspekte – insbesondere die rechtlichen Risiken bei Drittlandübermittlungen und die praktische Umsetzbarkeit der Maßnahmen – Unsicherheiten bestehen. 

Für die Praxis heißt das: 

  • Verträge und Maßnahmen prüfen: Wer Microsoft 365 nutzt, sollte eigenen AV-Verträge und technische/organisatorische Maßnahmen mit Blick auf Zweckbindung, Datenfluss und Offenlegungsregelungen kritisch analysieren. 

  • Auf Rechtsentwicklungen achten: Aussagen von Unternehmen, Entscheidungen nationaler Gerichte oder neuere Einschätzungen von Aufsichtsbehörden könnten die Bewertung ändern. 

  • Behördendialog forcieren: Nationale Datenschutzbehörden sollten daran arbeiten, einheitliche Leitlinien zur datenschutzkonformen Nutzung von Cloud-Services – insbesondere Microsoft 365 – zu etablieren. 

Unterstützung durch Bitkom Consult 

Die Bewertung des EDSB zeigt, wie komplex die Nutzung von Cloud-Diensten unter der DSGVO und der KI-Verordnung bleibt. Bitkom Consult unterstützt Unternehmen und öffentliche Einrichtungen dabei: 

  • bei der Analyse und Gestaltung von Auftragsverarbeitungsverträgen und TOMs, 

  • in der rechtlichen und organisatorischen Prüfung von Cloud-Einsätzen, 

  • in der strategischen Beratung bei der Umsetzung von KI-Projekten, 

  • und durch unsere KI-Compliance-Seminare, die praxisnah aufzeigen, wie sich regulatorische Anforderungen effizient und rechtssicher umsetzen lassen. 

So stellen Organisationen sicher, dass sie auch bei komplexen Diensten wie Microsoft 365 rechtlich abgesichert sind und den Anforderungen der Aufsichtsbehörden gerecht werden.

Share