Die Verwendung von Microsoft 365 der EU Kommission verstößt gegen das Datenschutzrecht (EUI) in Bezug auf EU Organe und Einrichtungen

Der EDPS (Europäische Datenschutzbeauftragte) zuständig für alle EU Organe und Einrichtungen untersuchte

Diese Untersuchung ist Teil der Maßnahmen des EDPS im Zusammenhang mit der Teilnahme des EDSB an der koordinierten Durchsetzungsmaßnahme des EDPS 2022.

Quelle https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf
Presseschau (folgt) https://www.rakoellner.de/2024/03/presseschau-zur-pressemitteilung-der-edps-zur-entscheidung-zu-microsoft-365/
Analyse (folgt / Gerade in Redmond) https://www.rakoellner.de/2024/03/analyse-der-entscheidung-des-edps-zu-microsoft-365-und-der-nutzung-fuer-eu-behoerden-und-einrichtungen-im-maerz-2024/

Hinweis: Aktuell warten wir noch auf den gesamten Bericht der Prüfung.

 

Beschluss des EDPS

  1. Datenströme auszusetzen, die nicht unter einen Angemessenheitsbeschluss fallen.  (( RK: Damit sind alle Datenströme gemeint, die nicht in der EU oder den USA verarbeitet werden. Davon gibt es einige in Microsoft 365, so dass aktuell einige Werkzeuge nicht mehr genutzt werden können, inkl. Support.)
  2. Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.

Frist. 09.12.2024

 

Verstöße gegen das EUI (Datenschutz)

“Insbesondere hat die Kommission keine angemessenen Garantien getroffen, um sicherzustellen, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, ein im Wesentlichen gleichwertiges Schutzniveau erhalten, das in der EU/im EWR garantiert ist. Darüber hinaus hat die Kommission in ihrem Vertrag mit Microsoft nicht ausreichend festgelegt, welche Arten personenbezogener Daten zu erheben sind und zu welchen expliziten und spezifizierten Zwecken bei der Nutzung von Microsoft 365. Die Verstöße der Kommission als Verantwortlicher beziehen sich auch auf die Datenverarbeitung, einschließlich der Übermittlung personenbezogener Daten, die in ihrem Namen durchgeführt werden.”

 

Verstöße als Liste (Zusammenfassung)

Diese beziehen sich auf die Datenverarbeitung einschließlich der Übermittlung von pers. Daten.

  • keine angemessenen Garantien getroffen, um sicherzustellen, dass pers. Daten, die außerhalb der EU/EWR verarbeitet werden im Wesentlichen gleiches Schutzniveau erhalten, die in der EU/EWR.
  • Vertrag mit Microsoft sagt nicht ausreichend aus, welche Arten von pers. Daten zu erheben sind und zu welchen spezifischen Zwecken bei der Nutzung von Microsoft 365.

 

Ziel der datenschutzkonformen Verarbeitung bei Cloud basierten Diensten

“Cloud basierte Dienste robusten Datenschutzgarantien und -maßnahmen begleitet wird. Dies ist unerlässlich, um sicherzustellen, dass die Informationen von Einzelpersonen gemäß der Verordnung (EU) 2018/1725 geschützt werden”, so Wojciech Wiewiórowski vom EDSB.

 

Korrekturmaßnahmen zum datenschutzkonformen Betrieb von Microsoft365

Anhang: Liste der Abhilfemaßnahmen und Verstöße im Anschluss an die Untersuchung des EDSB über die
Nutzung von Microsoft 365 durch die Europäische Kommission

Abhilfemaßnahmen

1. Der EDPS hat beschlossen, die folgenden Abhilfemaßnahmen in Bezug auf die Verstöße zu ergreifen
zu ergreifen:
1.1. die Kommission anzuweisen, gemäß Artikel 58 Absatz 2 Buchstabe j der Verordnung (EU) 2018/1725 und mit Wirkung vom ab dem 9. Dezember 2024 alle Datenströme auszusetzen, die sich aus seiner Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Drittländern, die nicht unter einen Angemessenheitsbeschluss gemäß Artikel 47 Absatz 1 der Verordnung fallen, auszusetzen und nachzuweisen, dass
die tatsächliche Umsetzung einer solchen Aussetzung (Verstöße gemäß Absatz 3 Buchstaben a und b, erster Spiegelstrich, und 4 unten);

1.2. der Kommission gemäß Artikel 58 Absatz 2 Buchstabe e der Verordnung (EU) 2018/1725 aufzugeben, die
Verarbeitungen, die sich aus der Nutzung von Microsoft 365 ergeben, in Einklang zu bringen und
bis zum 9. Dezember 2024 nachzuweisen, indem sie:
1.2.1. ein Transfer-Mapping durchführt, in dem ermittelt wird, welche personenbezogenen Daten
an welche Empfänger in welchen Drittländern, zu welchen Zwecken und zu welchen Zwecken und vorbehaltlich welcher Garantien, einschließlich einer Weiterübermittlung (Verstöße gemäß Absatz 3.a und b, erster Gedankenstrich, unten);
1.2.2. sicherzustellen, dass alle Übermittlungen in Drittländer ausschließlich dazu dienen, Aufgaben zu erfüllen, die in die Zuständigkeit des für die Verarbeitung Verantwortlichen fallen Zuständigkeit des für die Verarbeitung Verantwortlichen fallen (Verstoß gemäß Absatz 3.d unten);
1.2.3. sicherzustellen, dass durch vertragliche Bestimmungen gemäß Artikel 29 Absatz 3 der
Verordnung (EU) 2018/1725 und durch andere organisatorische und technische Maßnahmen, dass:
a) alle personenbezogenen Daten für ausdrückliche und festgelegte Zwecke erhoben werden (Verstöße
in Absatz 2.a und b unten aufgeführt);
b) die Arten personenbezogener Daten in Bezug auf die Zwecke, für die sie verarbeitet werden, hinreichend bestimmt sind
für die sie verarbeitet werden (Verstöße gemäß Absatz 2.a und b unten);
c) jede Verarbeitung durch Microsoft oder seine verbundenen Unternehmen oder Unterauftragsverarbeiter erfolgt nur
dokumentierten Anweisungen der Kommission durchgeführt, es sei denn, die Verarbeitung innerhalb des
EWR ist nach dem Recht der EU oder eines Mitgliedstaats vorgeschrieben, oder die Verarbeitung erfolgt außerhalb des EWR, das Recht eines Drittlandes, das ein im Wesentlichen gleichwertiges Schutzniveau wie im EWR gewährleistet
im EWR, dem Microsoft oder seine Unterauftragsverarbeiter unterworfen sind (Verstöße
die in den Absätzen 2.b und c, 3.a und 4 unten aufgeführt sind);
d) keine personenbezogenen Daten in einer Weise weiterverarbeitet werden, die nicht mit
nicht mit den Zwecken vereinbar ist, für die die Daten erhoben wurden, und zwar gemäß den Kriterien
gemäß Artikel 6 der Verordnung (EU) 2018/1725 (Verstoß gemäß
Absatz 2.d unten);
e) alle Übermittlungen an Microsoft Irland oder seine verbundenen Unternehmen und Unterauftragsverarbeiter
die im EWR ansässig sind, mit Artikel 9 der Verordnung (EU) 2018/1725 übereinstimmen
(Verstoß ist in Absatz 2.e unten aufgeführt);
f) für personenbezogene Daten, die im EWR verarbeitet werden, verbietet nur das Recht der EU oder eines Mitgliedstaats
die Meldung eines Antrags auf Offenlegung an die Kommission, und bei personenbezogenen Daten, die außerhalb des EWR verarbeitet werden, stellt jedes Verbot einer solchen Meldung eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft dar, die den den Kern der in der Charta anerkannten Grundrechte und -freiheiten achten, wie es Artikel 29 Absatz 3 Buchstabe a der Verordnung (EU) 2018/1725 verlangt, insbesondere da 4 im Lichte des Urteils Schrems II auszulegen (Verstoß, der unter Punkt 4.a unten);
g) keine Weitergabe von personenbezogenen Daten durch Microsoft oder seine Unterauftragsverarbeiter erfolgt,
es sei denn, für personenbezogene Daten, die innerhalb des EWR verarbeitet werden, ist die Weitergabe nach
EU-Recht oder dem Recht der Mitgliedstaaten erforderlich ist, oder bei personenbezogenen Daten, die außerhalb des EWR verarbeitet werden, die Weitergabe durch das Recht eines Drittlandes vorgeschrieben ist, das ein Schutzniveau gewährleistet das ein Schutzniveau gewährleistet, das dem im EWR im Wesentlichen gleichwertig ist und dem Microsoft oder seine Unterauftragsverarbeiter unterworfen sind (Verstöße, die in Absatz 4.b unten aufgeführt sind).
1.3. eine Rüge an die Kommission gemäß Artikel 58 Absatz 2 Buchstabe b der Verordnung (EU) 2018/1725 zu erteilen
(alle unten aufgeführten Verstöße).

Zweckbindung
2. Der EDSB stellt fest, dass die Kommission am 12. Mai 2021 (“Stichtag”) und kontinuierlich
danach bis zum 8. März 2024 (“Datum des Erlasses der Entscheidung des EDSB”)
a) gegen Artikel 4 Absatz 1 Buchstabe b der Verordnung (EU) 2018/1725 verstoßen hat, indem sie es versäumt hat,:
– hinreichend bestimmt hat, welche Arten von personenbezogenen Daten im Rahmen der mit Microsoft Irland geschlossenen interinstitutionellen Lizenzvereinbarung 2021 (“ILA 2021”) in Bezug auf jeden der Zwecke der Verarbeitung so bestimmt hat, dass diese Zwecke spezifiziert und eindeutig sind;
– sicherzustellen, dass die Zwecke, für die Microsoft personenbezogene Daten gemäß
2021 ILA zu erheben, spezifiziert und explizit sind;
b) gegen Art. 29 Abs. 3 Buchst. a der Verordnung (EU) 2018/1725 verstoßen hat, indem sie in der
ILA 2021 nicht hinreichend bestimmt hat, welche Arten personenbezogener Daten zu welchen Zwecken verarbeitet werden sollen, und indem sie es versäumt hat ausreichend klare dokumentierte Anweisungen für die Verarbeitung gegeben hat;
c) gegen Artikel 4 Absatz 2 und Artikel 26 Absatz 1 in Verbindung mit Artikel 30 der Verordnung (EU) 2018/1725 verstoßen hat indem sie nicht sichergestellt hat, dass Microsoft personenbezogene Daten zur Erbringung seiner Dienste nur auf dokumentierten Anweisungen der Kommission verarbeitet;
d) gegen Art. 6 der Verordnung (EU) 2018/1725 verstoßen hat, indem sie nicht geprüft hat, ob die Zwecke
Zwecke der Weiterverarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar sind ursprünglich erhoben wurden;
e) gegen Art. 9 der Verordnung (EU) 2018/1725 verstoßen hat, indem sie nicht geprüft hat, ob es notwendig
und verhältnismäßig ist, die personenbezogenen Daten an Microsoft Irland und seine Unterauftragsverarbeiter zu übermitteln (einschließlich verbundener Unternehmen) mit Sitz im EWR für einen bestimmten Zweck im öffentlichen Interesse zu übermitteln.

Übertragungen von personenbezogenen Daten außerhalb der EU/des EWR
3. Der EDSB stellt fest, dass die Kommission zum Stichtag und mit Ausnahme von Buchstabe b),
zweiter Gedankenstrich, und zu Buchstabe c), danach kontinuierlich bis zum Tag des Erlasses der Entscheidung des EDSB:
a) gegen Art. 29 Abs. 3 Buchst. a der Verordnung (EU) 2018/1725 verstoßen hat, indem sie es versäumt hat, in der
2021 ILA nicht klar angegeben hat, welche Arten von personenbezogenen Daten an welche Empfänger in welchem Drittland und zu welchen Zwecken übermittelt werden können Land und zu welchen Zwecken übermittelt werden können, und Microsoft diesbezüglich keine dokumentierten Anweisungen gegeben hat;
b) gegen Art. 4 Abs. 2, Art. 46 und Art. 48 der Verordnung (EU) 2018/1725 verstoßen hat, indem sie es versäumt hat
geeignete Garantien vorgesehen hat, die gewährleisten, dass die übermittelten Daten ein im Wesentlichen gleichwertiges

Schutzniveau
Schutzniveau genießen, das dem im EWR entspricht, da sie:
– weder vor der Einleitung der Übermittlungen noch danach beurteilt hat, welche
welche personenbezogenen Daten an welche Empfänger in welchen Drittländern zu welchen Zwecken übermittelt werden
welche Empfänger in welchen Drittländern und zu welchen Zwecken übermittelt werden, so dass sie nicht über die Mindestinformationen verfügt, die erforderlich sind, um festzustellen
ob zusätzliche Maßnahmen erforderlich sind, um die Gleichwertigkeit der Daten im Wesentlichen zu gewährleisten.

Ein im Wesentlichen gleichwertiges Schutzniveau zu gewährleisten, und ob es wirksame zusätzliche Maßnahmen gibt und diese durchgeführt werden könnten
umgesetzt werden könnten;
– keine wirksamen zusätzlichen Maßnahmen für Verbringungen in die Vereinigten Staaten ergriffen hat
die vor dem Inkrafttreten des Angemessenheitsbeschlusses der USA stattgefunden haben, im Lichte des Urteils
Schrems II-Urteils nicht durchgeführt und auch nicht nachgewiesen, dass solche Maßnahmen existierten;
c) gegen Art. 4 Abs. 2, 46 und 48 Abs. 1 und Abs. 3 Buchst. a der Verordnung (EU) 2018/1725 verstoßen hat, indem sie:
– den Abschluss der Standardvertragsklauseln (“SCC”) für Übermittlungen von der Kommission
an die Microsoft Corporation, ohne die vorgeschlagenen Übertragungen eindeutig zuzuordnen,
eine Folgenabschätzung für die Übertragungen durchgeführt und angemessene Schutzmaßnahmen in diese
SCCs;
– Versäumnis, die Genehmigung dieser SCCs für Übertragungen von der Kommission an
Microsoft Corporation durch den EDSB gemäß Art. 48 Abs. 3 Buchst. a der Verordnung (EU)
2018/1725;
d) gegen Art. 47 Abs. 1 der Verordnung (EU) 2018/1725 im Lichte der Art. 4, 5, 6, 9
und 46 verstoßen, indem sie nicht sichergestellt hat, dass die Übermittlungen “ausschließlich dazu dienen, die Wahrnehmung von Aufgaben zu ermöglichen, die in die Zuständigkeit
des für die Verarbeitung Verantwortlichen zu ermöglichen.”

Unbefugte Weitergabe personenbezogener Daten
4. Der EDSB stellt fest, dass die Kommission am Stichtag und in der Folgezeit bis zum
Datum des Erlasses der Entscheidung des EDSB:
a) gegen Artikel 29 Absatz 3 Buchstabe a der Verordnung verstoßen hat, insbesondere in der Auslegung im Lichte des Urteils
Urteils Schrems II verstoßen, indem sie nicht sichergestellt hat, dass für personenbezogene Daten, die im EWR verarbeitet werden, nur das Recht der EU oder
das Recht der Mitgliedstaaten die Meldung eines Antrags auf Weitergabe an die Kommission verbietet, und
dass bei personenbezogenen Daten, die außerhalb des EWR verarbeitet werden, ein Verbot einer solchen Meldung
eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft darstellt, die den
den Kern der in der Charta anerkannten Grundrechte und -freiheiten respektiert;
b) gegen Art. 4 Abs. 1 Buchst. f, Art. 33 Abs. 1 und 2 sowie Art. 36 der Verordnung (EU) 2018/1725 verstoßen hat, indem sie:
– die Rechtsvorschriften aller Drittländer nicht geprüft hat, in die personenbezogene Daten
die Übermittlung personenbezogener Daten im Rahmen der ILA 2021 geplant ist, und dadurch nicht sichergestellt hat, dass Microsoft und seine Unterauftragsverarbeiter keine Offenlegungen von personenbezogenen Daten innerhalb und
außerhalb des EWR vornehmen, die nach EU-Recht nicht zulässig sind;
– das Versäumnis, wirksame technische und organisatorische Maßnahmen zu ergreifen, die Folgendes gewährleisten würden Verarbeitung im Einklang mit dem Grundsatz der Integrität und Vertraulichkeit innerhalb des
EWR und, im Rahmen einer wesentlichen Gleichwertigkeit des Schutzniveaus, auch außerhalb des
EWR

Quelle: https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf

Hinweise

  1. Sie benötigen Unterstützung bei der Umsetzung der oben genannten Maßnahmen?
    Dann meldet Sie sich bei uns: kontakt@koellnservice.de
  2. Alle Maßnahmen und ein ausführlicher Beitrag sind im Compliance Center der KöllnService GmbH https://compliance-center.net/
  3. Es folgt noch ein Kommentar Beitrag hier.

 

Quelle

Original

https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en

 Übersetzung durch die EU Kommission

https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en?etrans=de 

Deutsche Version:

 

“Die Verwendung von Microsoft 365 durch die Europäische Kommission verstößt gegen das Datenschutzrecht für EU-Organe und -Einrichtungen

11
Mar
2024

Die Verwendung von Microsoft 365 durch die Europäische Kommission verstößt gegen das Datenschutzrecht für EU-Organe und -Einrichtungen

Nach seiner Untersuchung hat der EDSB festgestellt, dass die Europäische Kommission (Kommission) bei der Verwendung von Microsoft 365 gegen mehrere wichtige Datenschutzvorschriften verstoßen hat. Der EDSB verhängt in seinem Beschluss Abhilfemaßnahmen gegen die Kommission.

Der EDSB hat festgestellt, dass die Kommission gegen mehrere Bestimmungen der Verordnung (EU) 2018/1725, das Datenschutzrecht der EU für Organe, Einrichtungen und sonstigen Stellen der EU (EUI), verstoßen hat, einschließlich der Bestimmungen über die Übermittlung personenbezogener Daten außerhalb der EU/des Europäischen Wirtschaftsraums (EWR). Insbesondere hat die Kommission keine angemessenen Garantien getroffen, um sicherzustellen, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, ein im Wesentlichen gleichwertiges Schutzniveau erhalten, das in der EU/im EWR garantiert ist. Darüber hinaus hat die Kommission in ihrem Vertrag mit Microsoft nicht ausreichend festgelegt, welche Arten personenbezogener Daten zu erheben sind und zu welchen expliziten und spezifizierten Zwecken bei der Nutzung von Microsoft 365. Die Verstöße der Kommission als Verantwortlicher beziehen sich auch auf die Datenverarbeitung, einschließlich der Übermittlung personenbezogener Daten, die in ihrem Namen durchgeführt werden.

Wojciech Wiewiórowski, EDSB, sagte: „Es liegt in der Verantwortung der Organe, Einrichtungen und sonstigen Stellen der EU (EUI), sicherzustellen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/des EWR, auch im Zusammenhang mit Cloud-basierten Diensten, von robusten Datenschutzgarantien und -maßnahmen begleitet wird. Dies ist unerlässlich, um sicherzustellen, dass die Informationen von Einzelpersonen gemäß der Verordnung (EU) 2018/1725 geschützt werden, wenn ihre Daten von oder im Namen eines EUI verarbeitet werden.“

Der EDSB hat daher beschlossen, die Kommission mit Wirkung vom 9. Dezember 2024 aufzufordern, alle Datenströme, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben, die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen. Der EDSB hat ferner beschlossen, die Kommission aufzufordern, die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringenDie Kommission muss die Einhaltung beider Anordnungen bis zum 9. Dezember 2024 nachweisen.

Der EDSB ist der Auffassung, dass die von ihm verhängten Korrekturmaßnahmen (siehe Anhang für einen ausführlichen Auszug) angesichts der Schwere und Dauer der festgestellten Verstöße angemessen, notwendig und verhältnismäßig sind.

Viele der festgestellten Zuwiderhandlungen betreffen alle Verarbeitungsvorgänge, die von der Kommission oder in ihrem Namen bei der Nutzung von Microsoft 365 durchgeführt werden, und betreffen eine große Anzahl von Personen.

Der EDSB trägt auch der Notwendigkeit Rechnung, die Fähigkeit der Kommission, ihre Aufgaben im öffentlichen Interesse wahrzunehmen oder öffentliche Befugnisse der Kommission auszuüben, nicht zu beeinträchtigen, sowie die Notwendigkeit, der Kommission angemessene Zeit einzuräumen, um die vorgesehene Aussetzung einschlägiger Datenströme umzusetzen und die Datenverarbeitung mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.

Die vom EDSB in seinem Beschluss vom 8. März 2024 verhängten Maßnahmen lassen andere oder weitere Maßnahmen, die der EDSB ergreifen kann, unberührt.

Die Feststellungen von Verstößen und Abhilfemaßnahmen, die der EDSB in seinem Beschluss verhängt hat, sind dem Anhang zu entnehmen.

Hintergrundinformationen

Die Datenschutzvorschriften in den Organen, Einrichtungen und sonstigen Stellen der EU sowie die Aufgaben des Europäischen Datenschutzbeauftragten (EDSB) sind in der Verordnung (EU) 2018/1725 festgelegt.

Wojciech Wiewiórowski (EDPS) wurde durch einen gemeinsamen Beschluss des Europäischen Parlaments und des Rates für eine fünfjährige Amtszeit ab dem 6. Dezember 2019 ernannt.

Über die Untersuchung des EDSB zur Verwendung von Microsoft 365 durch die Kommission: Diese Untersuchung wurde im Mai 2021 nach dem Urteil Schrems II eingeleitet. Ziel war es, die Einhaltung der Empfehlungen des EDSB zur Nutzung der Produkte und Dienste von Microsoft durch EU-Organe und -Einrichtungen durch die Kommission zu überprüfen. Diese Untersuchung ist Teil der Maßnahmen des EDSB im Zusammenhang mit der Teilnahme des EDSB an der koordinierten Durchsetzungsmaßnahme des EDSB 2022. Weitere Informationen finden Sie im EDSA-Bericht über die koordinierte Durchsetzungsmaßnahme 2022.

Über Untersuchungen des EDSBWeitere Informationen zum Untersuchungsverfahren des EDSB finden Sie auf der Website des EDSB in der Untersuchungspolitik des EDSB, dem Factsheet des EDSB.”