Am 28. Juli 2025 schloss der Europäische Datenschutzbeauftragte (EDPS) das Durchsetzungsverfahren gegen die EU-Kommission zur Nutzung von Microsoft 365 offiziell ab. Vorausgegangen war eine umfassende Untersuchung samt verbindlicher Korrekturmaßnahmen, die im März 2024 angeordnet wurden. Die Entscheidung gilt als deutliches Signal für alle Institutionen und Unternehmen in der EU, die cloudbasierte Dienste einsetzen: Datenschutz bleibt eine verbindliche Verpflichtung – auch im komplexen Zusammenspiel mit globalen Technologiekonzernen wie Microsoft.
Der EDPS als Aufsichtsbehörde der EU-Kommission
Als unabhängige Aufsichtsbehörde überwacht der EDPS die Verarbeitung personenbezogener Daten durch EU-Institutionen und -Organe. Im Mai 2021 leitete der EDPS eine Untersuchung zur Nutzung von Microsoft 365 durch die Europäische Kommission im Rahmen des Interinstitutionellen Lizenzvertrags (ILA) von 2021 ein. Ziel war die Überprüfung der Einhaltung der Verordnung (EU) 2018/1725, welche die Datenschutzregeln für EU-Institutionen festlegt.
Mängel bei Datenschutz und Kontrolle
In seiner Entscheidung vom März 2024 identifizierte der EDPS mehrere schwerwiegende Verstöße. Die Kommission hatte weder Zweck und Umfang der Datenverarbeitung ausreichend präzisiert noch sichergestellt, dass Microsoft nur auf dokumentierte Anweisungen hin handelt. Außerdem fehlten klare Regelungen zur Datenübermittlung in Drittländer und es bestanden unzureichende Schutzmaßnahmen gegen unbefugte Offenlegungen.
Reaktion auf Kritik und gerichtliche Auseinandersetzung
Der EDPS ordnete umfangreiche Korrekturmaßnahmen an – unter anderem die Aussetzung bestimmter Drittland-Datenflüsse und Nachbesserungen in der Dokumentation der Verarbeitungsvorgänge. Gegen diese Anordnung reichten die EU-Kommission und Microsoft Klage beim Gericht der EU ein. Trotz dieser rechtlichen Schritte blieb die Anordnung in Kraft. Parallel dazu nahmen auch nationale Datenschutzbehörden, wie der BfDI und der TLfDI, zunehmend kritisch Stellung zu Microsoft-Produkten. Besonders die Einführung des „Neuen Outlooks“ und die Sicherheitslücke „EchoLeak“ in Microsoft Copilot im Jahr 2025 unterstrichen systemische Schwächen in der Sicherheits- und Datenschutzarchitektur der Microsoft-365-Dienste. Auch das LKA NRW warnte vor Cyberangriffen über Microsoft Office-Komponenten, insbesondere Outlook und die Dokumentenverwaltung.
Die umgesetzten Maßnahmen
Nach Vorlage eines Compliance-Berichts im Dezember 2024 und weiteren Abstimmungen legte die Europäische Kommission dem EDPS im Juli 2025 konkrete Änderungen vor, um die datenschutzrechtlichen Mängel zu beheben. Im Mittelpunkt stand eine deutliche Präzisierung der Datenverarbeitung: Die Kommission definierte nun klar die Arten personenbezogener Daten und deren spezifische Verarbeitungszwecke. Microsoft wurde vertraglich verpflichtet, ausschließlich auf dokumentierte Anweisungen hin und nur im öffentlichen Interesse zu handeln. Zudem wurde sichergestellt, dass alle Verarbeitungen entweder innerhalb des EWR oder unter Bedingungen erfolgen, die ein im Wesentlichen gleichwertiges Datenschutzniveau bieten.
Nachbesserung im internationalen Datenverkehr
Auch bei den internationalen Datenübermittlungen wurden klare Fortschritte erzielt. Die Kommission legte die Empfänger und Zwecke detailliert offen und beschränkte Drittlandübermittlungen auf Länder mit Angemessenheitsbeschluss oder mit Ausnahmetatbeständen gemäß Artikel 50 der Verordnung. Zusätzliche vertragliche Bestimmungen stellen sicher, dass nur EU- oder Mitgliedstaatenrecht die Benachrichtigung der Kommission über Offenlegungsanfragen für personenbezogene Daten verbieten darf, die innerhalb des EWR verarbeitet werden. Für außerhalb des EWR verarbeitete Daten kann dies nur unter Drittlandrecht erforderlich sein, das einen im Wesentlichen gleichwertigen Schutz bietet. Ob auch die zuletzt von Microsoft Umsetzung der „EU Data Boundary“ zu dem Wandel beigetragen hat, bleibt offen. Dennoch markieren Microsofts Zusagen einen wichtigen Schritt in Richtung europäischer Datensouveränität.
Der Abschluss des Verfahrens
Angesichts dieser umgesetzten Maßnahmen hat der EDPS festgestellt, dass sich die Sachlage im Vergleich zur ursprünglichen Untersuchung vom März 2024 wesentlich geändert habe. Die Kommission habe die Kontrolle darüber demonstriert, was mit den Daten bei der Nutzung von Microsoft 365-Diensten geschieht. Infolgedessen wurden die festgestellten Verstöße als behoben angesehen und die Durchsetzungsverfahren offiziell geschlossen.
Einordnung des EDPS
Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte, würdigte die gemeinsamen Anstrengungen der Kommission und Microsoft als wichtigen Erfolg für die Datenschutzkonformität bei Microsoft 365. Die konstruktive Zusammenarbeit habe gezeigt, dass durch beharrliche Aufsicht und gezielte Maßnahmen substanzielle Verbesserungen erreicht werden können. Zugleich betonte der EDPS, dass die Verfahrenseinstellung sich ausschließlich auf die geprüften Bestimmungen der Verordnung (EU) 2018/1725 bezieht und keine umfassende Bestätigung der Gesamtcompliance darstellt.
Die Kommission hat die jüngsten Verbesserungen des Interinstitutionellen Lizenzvertrags mit Microsoft anderen EU-Institutionen (EUIs) zugänglich gemacht, die Microsoft 365 im Rahmen dieses Vertrags nutzen. Der EDPS begrüßt dies und fordert andere EU-Institutionen dringend auf, ähnliche Bewertungen durchzuführen. Zudem sollen sie vergleichbare technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der Verordnung (EU) 2018/1725 sicherzustellen.
Handlungsempfehlungen für Unternehmen
Die Erkenntnisse aus dem EDPS-Verfahren gegen die EU-Kommission liefern wertvolle Impulse für alle Unternehmen, die Microsoft 365 oder vergleichbare Cloud-Dienste nutzen. Gleichwohl ist sie nicht als generelle Freigabe oder pauschale Unbedenklichkeitsbescheinigung für den Einsatz von Microsoft 365 in anderen Organisationen zu verstehen. Vielmehr verdeutlicht das Verfahren, wie komplex und vielschichtig die Anforderungen an den Datenschutz in solchen Konstellationen sind.
Vor diesem Hintergrund bleibt eine rechtliche und technische Bewertung durch Spezialisten weiterhin zwingend erforderlich. Unternehmen sollten nicht dem Irrtum erliegen, die Entscheidung der Aufsichtsbehörde bedeute eine automatische Übertragbarkeit auf ihre eigene Datenverarbeitung. Die rechtlichen, vertraglichen und technischen Rahmenbedingungen bedürfen einer individuellen Prüfung.
Die Verantwortung für Datenschutz verbleibt stets beim Unternehmen auch wenn ein externer Dienstleister beauftragt ist. Verträge mit Cloud-Anbietern müssen konkrete und detaillierte Angaben zu den verarbeiteten Datenarten, Zwecken sowie der Rechtsgrundlage enthalten. Besonderes Augenmerk gilt der internationalen Datenübermittlung. Unternehmen sollten dort, wo kein Angemessenheitsbeschluss besteht Transfers Impact Assessments (TIAs) durchführen, um Risiken bei Drittlandübermittlungen zu bewerten und wirksame Schutzmaßnahmen zu implementieren. Die bloße Nutzung von Standardvertragsklauseln genügt nicht, solange noch Ausnahmen oder externe Zugriffsmöglichkeiten bestehen.
Compliance bei KI, IoT & Cloud ernst nehmen
Nicht zuletzt zeigt der Fall, dass neue Software-Lösungen, insbesondere KI-gestützte Tools wie Microsoft Copilot, kontinuierlich auf Datenschutz- und Sicherheitsrisiken geprüft werden müssen. Unternehmen sind gut beraten, ihre eigenen Verträge, Datenflüsse und technischen Schutzmaßnahmen regelmäßig zu überprüfen. Damit die DSGVO-Compliance gewährleistet und Haftungsrisiken vermieden wird.
Fazit
Die Entscheidung des EDPS, die Durchsetzungsverfahren gegen die Europäische Kommission einzustellen, ist ein wichtiger Meilenstein. Er zeigt, dass durch konsequente Aufsicht und konstruktive Kooperation datenschutzrechtliche Anforderungen selbst in modernen Cloud-Umgebungen erfüllt werden können. Für Unternehmen ist der Fall ein Weckruf zur Selbstprüfung. Nur wer Datenflüsse kontrolliert, Verträge präzise formuliert und Schutzmaßnahmen wirksam umsetzt, erreicht nachhaltige Compliance und schützt die Rechte seiner Beschäftigten und Kunden. Unsere spezialisierten Beratungsangebote unterstützen Sie dabei gezielt – sei es durch die datenschutzrechtliche Begleitung bei der Einführung und Nutzung von Microsoft 365, die Bestellung eines Externen Datenschutzbeauftragten oder durch qualifizierte Beratung und Stellung eines KI-Beauftragten für neue Technologien. Datenschutz-Compliance ist kein Einmalprojekt, sondern ein kontinuierlicher Prozess. Wir stehen Ihnen mit rechtlicher Fachkompetenz, technischer Expertise und branchenspezifischem Know-how zur Seite, um Ihre Organisation zukunftssicher und DSGVO-konform aufzustellen.
