Abgebildet ist das Gebäude der Europäische Kommission - Europäische Kommission Datenschutzbeauftragten Symbolbild

Am 17. Mai 2024 hat die Europäische Kommission eine Klage gegen den Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski (EDPS) eingereicht (Fall T-262/24). Der Streitpunkt ist die Entscheidung des Datenschutzbeauftragten vom 8. März 2024, welche die Nutzung von Microsoft 365 durch die Europäische Kommission betrifft. Diese Entscheidung entstand im Rahmen einer Untersuchung (Fall 2021-0518) und stellt eine Reihe von Datenschutzverstößen fest, die durch den Einsatz der Microsoft-Produkte entstanden sein sollen.

Die Europäische Kommission beantragt die Aufhebung dieser Entscheidung und fordert, dass der Datenschutzbeauftragte die Verfahrenskosten trägt. Die Kommission stützt sich dabei auf dreizehn Argumente, die unter anderem falsche Auslegungen und Anwendungen der Datenschutzverordnung der EU-Institutionen (Verordnung (EU) 2018/1725) betreffen sollen.

Im Zentrum der Auseinandersetzung stehen Vorwürfe gegen die Kommission, sie habe ihre Pflichten hinsichtlich der Bestimmung und des Schutzes der verarbeiteten personenbezogenen Daten nicht ausreichend erfüllt. Die Kommission weist diese Vorwürfe zurück und argumentiert, dass der Datenschutzbeauftragte in seiner Entscheidung die relevanten Rechtsvorschriften falsch ausgelegt habe. Ein wesentlicher Kritikpunkt ist die angeblich fehlerhafte Annahme des Beauftragten, dass personenbezogene Daten direkt von der Kommission an Microsoft in den USA übertragen wurden.

Microsoft verklagt ebenfalls den Datenschutzbeauftragten

Parallel dazu hat Microsoft Ireland Operations Ltd. am 21. Mai 2024 eine eigene Klage gegen den Datenschutzbeauftragten eingereicht (Fall T-265/24). Auch Microsoft fordert die Aufhebung der Entscheidung und alternativ die Annullierung spezifischer Teile der Entscheidung. Microsoft argumentiert, dass der Datenschutzbeauftragte Fehler in der Auslegung und Anwendung der Datenschutzverordnung gemacht habe, insbesondere im Hinblick auf internationale Datenübertragungen und angebliche unautorisierte Offenlegungen.

Diese beiden Klagen verdeutlichen die Spannungen zwischen der Europäischen Kommission und dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski in Bezug auf den Datenschutz und die Nutzung von Cloud-Diensten großer Technologieunternehmen. Die Frage, ob und wie europäische Institutionen Dienste wie Microsoft 365 nutzen können, ohne gegen Datenschutzvorschriften zu verstoßen, bleibt nach wie vor umstritten.

Datenschützer sehen Vorgehen kritisch

Während die Kommission und Microsoft die Entscheidung von Wiewiórowski als überzogen und rechtlich fehlerhaft betrachten, sehen Datenschützer hierin einen notwendigen Schritt, um die Daten europäischer Bürger vor unbefugten Zugriffen, speziell aus Drittstaaten wie den USA, zu schützen.

Patric Breyer von der Piratenpartei Deutschland hat auf X (ehemals Twitter) geschrieben, dass die EU-Kommission den EU-Datenschutzbeauftragten verklagt, weil sie weiterhin die datenschutzwidrigen Microsoft-Produkte Office und Cloud Suite nutzen möchte. Er fragt, ob jemand gehofft hatte, dass die Kommission stattdessen gegen Microsofts Datenschutzverstöße wie Datenabflüsse in den USA vorgehen würde.

Kritisiert wurde zudem häufig die fehlende Transparenz, zum Zweck der Datennutzung bei Microsoft 365. Die Datenschutzkonferenz erklärte dazu bereits, dass diese nicht transparent genug sein, um der Rechenschaftspflicht zu genügen. Auch verschiedene Landesbeauftragte für Datenschutz in der Bundesrepublik Deutschland kommen zu einer ähnlichen Einschätzung. Nach der Einführung des „neuen Outlooks“ wies die Datenschutzaufsicht von NRW darauf hin, dass die Nutzung der neuen Microsoft-Version einen vollständigen Zugriff auf das Postfach ermöglichte. Der Schriftverkehr sowie mögliche Anhänge würden in der Cloud gespeichert und von Microsoft verarbeitet. Es bleibt unklar, zu welchen konkreten Zwecken diese Datenverarbeitung erfolgt. Microsoft verweist aktuell selbst auf eine Synchronisation mit der Cloud.

Die Ergebnisse dieser Rechtsstreitigkeiten könnten weitreichende Auswirkungen auf die zukünftige Nutzung von Cloud-Diensten durch europäische Institutionen haben und sind daher von großer Bedeutung für den Datenschutz in der EU.

Quellen:
Eigene Recherche
EUR-Lex – 62024TN0262 – EN – EUR-Lex (europa.eu)
EUR-Lex – 62024TN0262 – EN – EUR-Lex (europa.eu)
(1) Patrick Breyer #JoinMastodon auf X: „🇩🇪 Von der Leyens EU-Kommission verklagt EU-Datenschutzbeauftragten, weil sie die datenschutzwidrigen Microsoft-Produkte Office und Cloud Suite weiter nutzen will. Hat irgend jemand gehofft, diese Kommission würde stattdessen gegen Microsofts Datenschutzverstöße wie“ / X

Von Steven Oberstein

Steven Oberstein oder auch besser bekannt unter dem Pseudonym OBIausHV ist freier Journalist und beschäftigt sich in letzter Zeit vor allem mit der Corona-Pandemie, ansonsten schreibt er über folgende Themen: Medienkritik, Gesundheit/Medizin (Coronavirus, Anthroposophie, Homöopathie), Politik und Technik.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Skip to content