Newsletter

Auswirkungen der EDSB-Entscheidung zu Microsoft 365

Weiterlesen: Auswirkungen der EDSB-Entscheidung zu Microsoft 365

Die Verwendung cloudbasierter Bürosoftware, die Verbindungen zu Drittländern aufweisen, bedarf aus datenschutzrechtlicher Sicht besonderer Sorgfalt. Mit der am 28.07.2025 bekanntgegebenen Abschlussbewertung des Europäischen Datenschutzbeauftragten (EDSB), nach der der Einsatz von Microsoft 365 durch die EU-Kommission datenschutzkonform ist, scheint nun Klarheit für die Nutzung der Software durch die EU-Kommission geschaffen zu sein (wir berichten). Ob die EDSB-Entscheidung zu Microsoft 365 allerdings auch Auswirkungen für die Allgemeinheit hat, ist zweifelhaft.

Entscheidung des EDSB

Der EDSB teilte im März 2024 mit, dass die EU-Kommission mit der Verwendung von Microsoft 365 den Datenschutz verletzt hat. Das ergab sich aus einer im Mai 2021 gestarteten Untersuchung, die auf das Schrems II Urteil folgte. Der EDSB warf der Kommission vor, gegen die Verordnung (EU) 2018/1725 verstoßen zu haben. Konkret kritisiert er das Fehlen von Schutzmaßnahmen, die eine unrechtmäßige Datenübertragung an Drittländer ohne angemessenes Datenschutzniveau verhindern.

Ende letzten Jahres hatte der EDSB dann mitgeteilt, dass die EU-Kommission fristgerecht einen Umsetzungsbericht vorgelegt hatte, der die Befolgung der Anordnungen belegen sollte. Im Anschluss hat der EDSB laut seiner aktuellen Pressemitteilung das Verfahren mit einem Abschlussbericht offiziell beendet. Essenziell für das positive Ergebnis sei die konstruktive Zusammenarbeit mit der EU-Kommission und Microsoft gewesen, so der EDSB, Wojciech Wiewiórowski. Konkret hat die EU-Kommission viele Maßnahme zur Nachbesserung getroffen, um den Einsatz von Microsoft 365 datenschutzkonform zu gestalten.

Einsatz von Microsoft 365 jetzt sicher?

Ob tatsächlich alle datenschutzrechtlichen Bedenken bezüglich des Einsatzes von Microsoft 365 beseitigt sind, ist fraglich.

Punktuelle Entscheidung des EDSB

Zunächst gilt die Entscheidung nur für die EU-Kommission und auch nur bezüglich des Verstoßes gegen konkrete Vorgaben aus der Verordnung 2018/1725. Dass keine komplette Prüfung der Datenschutzkonformität stattgefunden hat, erklärt der EDSB sogar ausdrücklich. Deshalb können private Organisationen und andere staatliche Stellen nicht automatisch aufgrund des positiven Abschlussberichts auf einen eigenen datenschutzkonformen Einsatz schließen.

Mittel und Verhandlungsmacht der EU-Kommission

Außerdem ergibt sich die Tatsache, dass der Einsatz von Microsoft 365 durch die EU-Kommission datenschutzkonform ist, daraus, dass diese in besondere Verhandlungen mit dem Tech-Konzern getreten ist und dieser einen gesonderten Vertrag mit der EU-Kommission geschlossen hat, in dem er ihr zusätzliche Garantien liefert. Der Standardvertrag für Unternehmen und auch kleinere Behörden sieht wohl anders aus. Sie haben in der Regel auch nicht die gleiche Verhandlungsmacht gegenüber einem solchen Tech-Giganten, wie die EU-Kommission. Hinzu hat die EU-Kommission besondere technische und organisatorische Maßnahmen ergriffen. Entsprechende Schutzmaßnahmen liegen oft beim Einsatz durch andere Behörden und erst recht nicht bei Privatunternehmen vor. Diese müssen also eigenständig prüfen, ob ein datenschutzkonformer Einsatz von Microsoft 365 möglich ist oder ob vergleichbare Schutzmaßnahmen ergriffen werden können.

Keine Garantie bezüglich Drittlandsdatenübermittlung

Zuletzt ist ganz generell fraglich, ob eine Nutzung der Software überhaupt datenschutzkonform möglich ist. Denn erst vor wenigen Wochen hatte der Chefjustiziar von Microsoft France bei einer Anhörung im französischen Senat keine Gewähr geben können, dass keine personenbezogenen Daten von EU-Bürgern in die USA übermittelt werden. Bei einer formal korrekten Anweisung müsse eine Weitergabe der Daten erfolgen, auch wenn dies nach europäischem Recht nicht zulässig sei.

Dilemma um den Angemessenheitsbeschluss

Abschließend kann man hier feststellen, dass sich die Zulässigkeit des Einsatzes durch die EU-Kommission allein daraus ergibt, dass formal ein Angemessenheitsbeschluss für die USA vorliegt. Ob dieser allerdings einer Überprüfung durch den Europäischen Gerichtshof standhalten würde, ist stark umstritten. Durch den Amtsantritt von Präsident Donald Trump hat sich die Situation nach Ansicht von Datenschutzexperten noch verschärft. Es ist insofern bedauerlich, dass der EDSB die genauere Prüfung des Angemessenheitsbeschlusses vertagt hat.

Fazit

Die Erklärung des EDSB, dass der Einsatz von Microsoft 365 durch die EU-Kommission datenschutzkonform ist, ist deshalb kein Freibrief, sondern voraussichtlich eher der Ausgangspunkt für weitere Prüfungen. Unternehmen, die Cloud-Anbieter verwenden wollen, sind deshalb weiterhin gut beraten besondere Sorgfalt bei der datenschutzrechtlichen Prüfung anzuwenden und auf die Expertise von Externen Datenschutzbeauftragten zu vertrauen.

Das könnte Sie auch interessieren..

Im Trend

LinkedIn plant KI-Training mit Profildaten ab 3. November 2025
LinkedIn plant KI-Training mit Profildaten ab 3. November 2025
Cybersicherheit: BSI warnt vor Bias in der Künstlichen Intelligenz
Cybersicherheit: BSI warnt vor Bias in der Künstlichen Intelligenz
Palantir: Übermittlung in die USA technisch ausgeschlossen
Data Act: Standardvertragsklauseln für Cloud Switching & Exit
Data Act: Standardvertragsklauseln für Cloud Switching & Exit