{"id":293211,"date":"2024-03-11T12:08:05","date_gmt":"2024-03-11T11:08:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293211"},"modified":"2024-03-21T23:10:51","modified_gmt":"2024-03-21T22:10:51","slug":"eu-datenschtzer-eu-kommission-verstt-mit-microsoft-365-gegen-dsgvo-untersagung-bis-dez-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/11\/eu-datenschtzer-eu-kommission-verstt-mit-microsoft-365-gegen-dsgvo-untersagung-bis-dez-2024\/","title":{"rendered":"EU-Datenschützer: EU-Kommission verstößt mit Microsoft 365 gegen DSGVO; Korrektur bis Dez. 2024"},"content":{"rendered":"

\"Stop[English<\/a>]Es ist in meinen Augen ein Meilenstein, den ich schon l\u00e4nger erwartet habe. Die Europ\u00e4ischen Datenschutzbeauftragten (EDSB) haben am heutigen Montag, den 11. M\u00e4rz 2024, \u00f6ffentlich in einem Bericht festgestellt, dass die Europ\u00e4ische Kommission bei der Nutzung von Microsoft 365 nicht mit den eigenen (Datenschutz-)bestimmungen im Einklang ist. Das Gremium der EDSB hat die EU-Kommission angewiesen, ab dem 9. Dezember 2024 keine Daten mehr aus der Nutzung von Microsoft 365 an Microsoft und seine Tochtergesellschaften in Nicht-EU\/EWR-L\u00e4ndern ohne Angemessenheitsbeschluss zu \u00fcbermitteln.<\/p>\n

<\/p>\n

\"\"Das Thema \"Ist Microsoft 365 DSGVO-konform\" dr\u00e4ut nun ja schon seit Jahren. Ich hatte es 2022 erstmals f\u00fcr Deutschland aufgegriffen, als die Datenschutzkonferenz (DSK) feststellte, dass Microsoft 365 nicht datenschutzkonform sei. Wer das Produkt verwendet, handelt datenschutzwidrig \u2013 zumindest, was die von Microsoft vorgegebene Standardkonfiguration betrifft. Trotz Nachbesserungen war es Microsoft bis 2022 nicht gelungen, die DSGVO-Konformit\u00e4t von Microsoft 365 sicherzustellen. So das Fazit der Datenschutzkonferenz (DSK).<\/p>\n

Die Datenschutzkonferenz (DSK<\/a>) ist die Konferenz der unabh\u00e4ngigen Datenschutzbeh\u00f6rden des Bundes und der L\u00e4nder in Deutschland. Das Gremium befasst sich mit aktuellen Fragen des Datenschutzes in Deutschland und nimmt dazu Stellung.<\/p>\n

Nun sind wir im Jahr 2024 und Microsoft posaunt, in allen Produkten Copilot einsetzen zu wollen – ein No-Go f\u00fcr den Datenschutz. Ich warte daher darauf, dass der Europ\u00e4ische Gerichtshof (EuGH) ein weiteres \"Schrems III\"-Urteil spricht, das den Datentransfer au\u00dferhalb der EU f\u00fcr unzul\u00e4ssig erkl\u00e4rt, wenn kein gleichwertiges Datenschutzniveau hergestellt werden kann.<\/p>\n

Untersuchung seit 2021<\/h2>\n

Die Pr\u00fcfung der Nutzung von Microsoft 365 durch die EU-Kommission begann im Mai 2021<\/a>, nachdem das Urteil in der Rechtssache Schrems II durch den EuGH gef\u00e4llt wurde. In seinem Grundsatzurteil konzentrierte sich der Gerichtshofs der Europ\u00e4ischen Union auf die Frage der Rechtm\u00e4\u00dfigkeit der \u00dcbermittlung personenbezogener Daten aus der EU in Drittl\u00e4nder, das sich insbesondere auf die Daten\u00fcbermittlung in die Vereinigten Staaten und die Angemessenheit der Ma\u00dfnahmen zum Schutz von Daten und Privatsph\u00e4re in diesem Zusammenhang. Der EuGH kam zum Schluss, dass diese \u00dcbermittlung nicht mit der DSGVO konform sei.<\/p>\n

Ziel der Untersuchung des EDSB ist es, die Einhaltung der Empfehlungen des EDSB zu Produkten und Diensten von Microsoft zu \u00fcberpr\u00fcfen. Dies ist Teil des Beitrags der Aufsichtsbeh\u00f6rde zur koordinierten Durchsetzungsma\u00dfnahme 2022 des Europ\u00e4ischen Datenschutzausschusses [(2022 Coordinated Enforcement Action of the European Data Protection Board](EDSB), dem Vertreter der nationalen Datenschutzbeh\u00f6rden sowie der EDSB angeh\u00f6ren.<\/p>\n

Finale Feststellung vom 11. M\u00e4rz 2024<\/h2>\n

Euroactive berichtet heute im Artikel EU Commission breached data protection rules using Microsoft 365, EU watchdog found<\/a>, dass die Europ\u00e4ischen Datenschutzbeauftragten (EDSB) zum Schluss gekommen seien, dass die Europ\u00e4ische Kommission bei der Nutzung von Microsoft 365 gegen Datenschutzbestimmungen versto\u00dfen hat. Dies umfasst Verst\u00f6\u00dfe gegen mehrere Teile der EU-Datenschutzverordnung f\u00fcr Institutionen (Verordnung 2018\/1725).<\/p>\n

Die Verordnung betrifft den Datenschutz in den Organen, Einrichtungen, \u00c4mtern und Agenturen der EU (EUI) und die Verarbeitung personenbezogener Daten durch diese Einrichtungen, um die Einhaltung der Datenschutzgrunds\u00e4tze zu gew\u00e4hrleisten und das Recht des Einzelnen auf Privatsph\u00e4re in den EU-Institutionen zu sch\u00fctzen.<\/p>\n

Nach Ansicht des EDSB hat es die EU-Kommission vers\u00e4umt, angemessene Garantien f\u00fcr die \u00dcbermittlung personenbezogener Daten au\u00dferhalb der EU oder des Europ\u00e4ischen Wirtschaftsraums (EWR) zu gew\u00e4hrleisten. In ihrem Vertrag mit Microsoft vers\u00e4umte es die EU-Kommission als Institution auch, die Arten der erhobenen personenbezogenen Daten und den Zweck der Datenerhebung bei der Nutzung von Microsoft 365 zu spezifizieren. Microsoft 365 umfasst Kollaborations- und Cloud-basierte Dienste, darunter Anwendungen wie Word, Excel, PowerPoint, Outlook und Online-Dienste wie OneDrive, Teams und SharePoint.<\/p>\n

Die Verst\u00f6\u00dfe der EU-Kommission als f\u00fcr die Verarbeitung Verantwortlicher erstrecken sich auch auf die Datenverarbeitung und die in ihrem Namen durchgef\u00fchrten \u00dcbermittlungen personenbezogener Daten. Laut EDSB betreffen mehrere Verst\u00f6\u00dfe alle Datent\u00e4tigkeiten der EU-Kommission, und umfassen auch T\u00e4tigkeiten, die in Microsoft 365 durchgef\u00fchrt werden. Dies betrifft die pers\u00f6nlichen Daten vieler Menschen, so der EDSB.<\/p>\n

\"Es liegt in der Verantwortung der Organe, Einrichtungen, \u00c4mter und Agenturen der EU (EUI), sicherzustellen, dass jede Verarbeitung personenbezogener Daten au\u00dferhalb und innerhalb der EU\/des EWR, einschlie\u00dflich im Zusammenhang mit Cloud-basierten Diensten, mit robusten Datenschutzgarantien und -ma\u00dfnahmen einhergeht\", sagte der Europ\u00e4ische Datenschutzbeauftragte, Wojciech Wiewi\u00f3rowski. \"Dies ist zwingend erforderlich, um sicherzustellen, dass die Daten nat\u00fcrlicher Personen gem\u00e4\u00df der Verordnung (EU) 2018\/1725 gesch\u00fctzt werden, wenn ihre Daten von einer EUI oder in deren Namen verarbeitet werden.\" Die Pressemitteilung vom 11. M\u00e4rz 2024 l\u00e4sst sich hier nachlesen<\/a>.<\/p>\n

Anmerkung:<\/strong> Ein Blog-Leser hat mich auf Mastodon darauf hingewiesen, dass es bei obiger Entscheidung nicht Verordnung (EU) 2016\/679 geht – das ist die DSGVO. Sondern es geht um die oben erw\u00e4hnte Verordnung (EU) 2018\/1725, die die DSGVO-Entsprechung f\u00fcr die EU-Organe selbst regelt. Und dagegen hat die EU-Kommission wohl versto\u00dfen.<\/p>\n

Zeit bis Dezember 2024 zur Korrektur<\/h2>\n

Der EDSB hat die EU-Kommission angewiesen, ab dem 9. Dezember 2024 keine Daten mehr aus der Nutzung von Microsoft 365 an Microsoft und seine verbundenen Unternehmen in Nicht-EU\/EWR-L\u00e4ndern ohne Angemessenheitsbeschluss zu \u00fcbermitteln. Die EU-Kommission muss au\u00dferdem sicherstellen, dass ihre Microsoft 365-Operationen bis zum gleichen Datum mit der Verordnung 2018\/1725 \u00fcbereinstimmen. Zu diesem Zweck muss die Kommission ein Transfer-Mapping durchf\u00fchren, um die \u00dcbermittlung personenbezogener Daten, die Empf\u00e4nger, die Zwecke und die Garantien im Detail zu beschreiben.<\/p>\n

Au\u00dferdem muss die EU-Kommission \u00dcbermittlungen in Drittl\u00e4nder auf Aufgaben beschr\u00e4nken, die in die Zust\u00e4ndigkeit des f\u00fcr die Verarbeitung Verantwortlichen fallen. Zudem muss die EU-Kommission vertragliche Bestimmungen und organisatorische Ma\u00dfnahmen umsetzen. Dazu geh\u00f6rt die Erhebung personenbezogener Daten f\u00fcr eindeutige Zwecke, die Bestimmung der Arten von verarbeiteten Daten und die Sicherstellung der Einhaltung von dokumentierten Anweisungen und rechtlichen Anforderungen.<\/p>\n

Nach Ansicht des EDSB sollten personenbezogene Daten nicht \u00fcber den vorgesehenen Zweck hinaus verwendet werden, es sei denn, dies ist gesetzlich zul\u00e4ssig, und Daten\u00fcbermittlungen innerhalb der EU oder an Microsoft oder seine Partner halten sich an die EU-Datenschutzvorschriften, und die Offenlegung personenbezogener Daten durch Microsoft oder seine Partner ist eingeschr\u00e4nkt, es sei denn, dies ist nach EU-Recht oder dem Recht eines Drittlandes, das einen gleichwertigen Schutz wie in der EU bietet, erforderlich.<\/p>\n

Die Zeit bis Anfang Dezember 2024 zur Korrektur des bisherigen Zustands ber\u00fccksichtigt, dass die Datensch\u00fctzer die die Notwendigkeit der Kommission anerkennt, ihre \u00f6ffentlichen Aufgaben ohne Unterbrechung zu erf\u00fcllen. Jetzt muss die EU-Kommission aber in die Pushen kommen und endlich eine Vereinbarung mit Microsoft bez\u00fcglich der DSGVO-konformen Nutzung von Microsoft 365 abschlie\u00dfen. Ob dies am Ende des Tages \u00fcberhaupt m\u00f6glich ist und einer \u00dcberpr\u00fcfung durch den EuGH standh\u00e4lt, steht dabei auf einem anderen Blatt.<\/p>\n

Erg\u00e4nzung: Eine nette Zusammenfassung des Sachverhalts<\/a> gibt es von Seitz & Partner.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>DSGVO-Info \u00fcber Privatsph\u00e4reneinstellungen in Office 365 Plus<\/a>
\n<\/strong>Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>
\nMS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a>
\nMicrosoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verst\u00f6\u00dfen?<\/a>
\nBerufsschullehrer-Verband \"meint\" MS Office ist DSGVO-konform einsetzbar<\/a><\/p>\n

DSGVO und die \"Ohnmacht\" der Datenschutzbeh\u00f6rden gegen\u00fcber Firmen \u2013 Teil 1<\/a>
\nDSGVO: Firmen w\u00e4gen bei Datenschutz Chancen und Risiken ab und begehen Gesetzesverst\u00f6\u00dfe \u2013 Teil II<\/a><\/p>\n

Bundesl\u00e4nder verweigern Einsicht in Rechtsgutachten zur DSGVO-Einstufung von Microsoft 365<\/a>
\nSchwedische Datenschutzbeh\u00f6rde verh\u00e4ngt Millionenstrafe wegen Google Analytics-Nutzung; wann kommt Office 365?<\/a>
\nEuGH erkl\u00e4rt Facebooks\/Metas DSGVO-Regeln f\u00fcr illegal<\/a><\/p>\n

Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nKeine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a>
\nDatensch\u00fctzer plant durchgreifen bei Privacy Shield-Verst\u00f6\u00dfen<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
\nUS-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
\nEU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a><\/p>\n

Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
\nMicrosoft Cloud: Pers\u00f6nliche Daten lassen sich innerhalb der europ\u00e4ischen Datengrenze halten<\/a>
\nIgnite 2023: Microsofts Zukunftsvision: Copilot in allen Produkten<\/a>
\nNeue Outlook-App: Microsoft \u00e4u\u00dfert sich zu \u00fcbertragenen Zugangsdaten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es ist in meinen Augen ein Meilenstein, den ich schon l\u00e4nger erwartet habe. Die Europ\u00e4ischen Datenschutzbeauftragten (EDSB) haben am heutigen Montag, den 11. M\u00e4rz 2024, \u00f6ffentlich in einem Bericht festgestellt, dass die Europ\u00e4ische Kommission bei der Nutzung von Microsoft 365 … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[1171,451,6932,7377],"class_list":["post-293211","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-cloud","tag-datenschutz","tag-dsgvo","tag-microsoft-365"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293211"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293211\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}