Das Verfahren zwischen der EU Kommission, Microsoft und dem Europäischen Datenschutzbeauftragten neigt sich dem Ende zu. Hierzu gab es nun am 28.07.2025 eine Pressemitteilung.
Zusammenfassung
Die Europäische Kommission hat ihre Nutzung von Microsoft 365 nach einer Untersuchung durch den Europäischen Datenschutzbeauftragten (EDPS) an die Anforderungen der Datenschutzverordnung (EU) 2018/1725 angepasst. Die EDPS hatte im März 2024 Verstöße festgestellt und Korrekturmaßnahmen angeordnet. Nach Umsetzung dieser Maßnahmen und weiteren Klärungen hat der EDPS am 11. Juli 2025 bestätigt, dass die Verstöße behoben wurden und das Verfahren abgeschlossen ist.
Hintergrund
- Die Untersuchung begann im Mai 2021.
- Die ursprüngliche Entscheidung vom März 2024 stellte Verstöße gegen Zweckbindung, internationale Datenübermittlungen und unautorisierte Offenlegungen fest.
- Die EDPS bleibt weiterhin zuständig für die Überwachung der Einhaltung der Datenschutzvorgaben durch EU-Institutionen.
Blogpost zu den Folgen für Unternehmen in der EU
Highlights
- Zweckbindung (Purpose Limitation)
- Klare Definition der Zwecke und Arten der verarbeiteten personenbezogenen Daten.
- Microsoft und Subunternehmer dürfen Daten nur auf dokumentierte Anweisungen hin und zu festgelegten Zwecken verarbeiten.
- Verarbeitung außerhalb des EWR nur bei gleichwertigem Datenschutzniveau.
- Internationale Datenübermittlungen
- Nur an klar definierte Empfänger und Zwecke.
- Transfers außerhalb des EWR nur bei Angemessenheitsbeschluss oder auf Grundlage von Art. 50(1)(d) der Verordnung.
- Verbindliche Anweisungen an Microsoft und Subunternehmer.
- Offenlegung und Benachrichtigung
- Nur EU- oder Mitgliedstaatenrecht darf Microsoft verpflichten, Daten offenzulegen oder die Kommission nicht zu benachrichtigen.
- Gilt auch für Datenverarbeitung außerhalb des EWR, sofern gleichwertiger Schutz besteht.
- Verfahrensabschluss
- Die EDPS hat festgestellt, dass die festgestellten Verstöße behoben wurden.
- Das Verfahren wurde offiziell abgeschlossen.
- Signalwirkung für andere EU-Institutionen
- Die Kommission hat ihre Vertragsänderungen auch anderen EU-Institutionen zur Verfügung gestellt.
- Der EDPS ruft diese auf, ähnliche Bewertungen und Maßnahmen umzusetzen.
Quelle:
Gesamte Übersetzung
Europäische Kommission bringt Nutzung von Microsoft 365 in Einklang mit Datenschutzvorschriften für EU-Organe und -Einrichtungen
Nach einem Durchsetzungsverfahren des Europäischen Datenschutzbeauftragten (EDSB) hat die Europäische Kommission die Einhaltung der Verordnung (EU) 2018/1725 in Bezug auf ihre Nutzung von Microsoft 365, wie vom EDSB geprüft, nachgewiesen. Dies folgt auf die Entscheidung des EDSB vom 8. März 2024, in der eine Reihe von Verstößen festgestellt und der Kommission Abhilfemaßnahmen auferlegt wurden. Nach Erhalt eines Konformitätsberichts im Dezember 2024 führte der EDSB mehrere Gespräche mit den Dienststellen der Kommission, um die erforderlichen Klarstellungen zu erhalten. Auf dieser Grundlage und insbesondere nach dem Schreiben der Kommission vom 3. Juli 2025 über zusätzliche Maßnahmen, die von der Kommission und Microsoft umgesetzt wurden und geplant sind, kam der EDSB in seinem Schreiben vom 11. Juli zu dem Schluss, dass die in der Entscheidung des EDSB von 2024 festgestellten Verstöße behoben wurden. Wojciech Wiewiórowski, Datenschutzbeauftragter, erklärte: „Dank unserer gründlichen Untersuchung und der Folgemaßnahmen der Kommission haben wir gemeinsam zu einer erheblichen Verbesserung der Einhaltung der Datenschutzvorschriften bei der Nutzung von Microsoft 365 durch die Kommission beigetragen. Wir würdigen und begrüßen auch die Bemühungen von Microsoft, sich an die Anforderungen der Kommission anzupassen, die sich aus der Entscheidung des EDSB vom März 2024 ergeben. Dies ist ein bedeutender gemeinsamer Erfolg und ein starkes Signal dafür, was durch konstruktive Zusammenarbeit und wirksame Aufsicht erreicht werden kann.“
Zu den wichtigsten Verbesserungen und Compliance-Maßnahmen der Kommission gehören:
• Zweckbindung: Die Kommission hat die Arten der verarbeiteten personenbezogenen Daten und die Zwecke der Verarbeitung bei der Nutzung von Microsoft 365 ausdrücklich festgelegt. Durch aktualisierte vertragliche, technische und organisatorische Maßnahmen hat sie sichergestellt, dass Microsoft und Unterauftragsverarbeiter Daten ausschließlich auf der Grundlage dokumentierter Anweisungen und nur für bestimmte Zwecke im öffentlichen Interesse verarbeiten. Die Kommission hat außerdem sichergestellt, dass die weitere Verarbeitung innerhalb des Europäischen Wirtschaftsraums (EWR) gemäß den Rechtsvorschriften der EU oder der Mitgliedstaaten oder außerhalb des EWR in Übereinstimmung mit den Rechtsvorschriften von Drittländern erfolgt, die ein Schutzniveau gewährleisten, das dem der EU entspricht.
Die Kommission hat außerdem sichergestellt, dass die Weiterverarbeitung innerhalb des Europäischen Wirtschaftsraums (EWR) gemäß den Rechtsvorschriften der EU oder der Mitgliedstaaten oder außerhalb des EWR in Übereinstimmung mit Rechtsvorschriften von Drittländern erfolgt, die ein Schutzniveau gewährleisten, das dem im EWR im Wesentlichen gleichwertig ist.
• Übermittlungen in Drittländer: Die Kommission hat außerdem die konkreten Empfänger und Zwecke festgelegt, für die personenbezogene Daten im Rahmen der Nutzung von Microsoft 365 übermittelt werden dürfen, und die Einhaltung von Artikel 47 der Verordnung (EU) 2018/1725 sichergestellt. Ergänzt wird dies durch technische und organisatorische Maßnahmen der Kommission und von Microsoft, wodurch die Möglichkeit von Übermittlungen in Drittländer, die nicht Gegenstand einer Angemessenheitsentscheidung sind, verringert wird. Übermittlungen außerhalb der EU/des EWR sind nun auf die im geänderten Vertrag aufgeführten Länder beschränkt und beruhen entweder auf Angemessenheitsbeschlüssen oder auf der Ausnahmeregelung aus wichtigen Gründen des öffentlichen Interesses gemäß Artikel 50 Absatz 1 Buchstabe d der Verordnung (EU) 2018/1725. Die Kommission hat Microsoft und seinen Unterauftragsverarbeitern diesbezüglich verbindliche Anweisungen erteilt.
• Offenlegung und Benachrichtigung: Zusätzliche Vertragsbestimmungen stellen sicher, dass nur das Recht der EU oder der Mitgliedstaaten Microsoft oder seine Unterauftragsverarbeiter verpflichten kann, der Kommission keine Benachrichtigungen über Auskunftsersuchen zu personenbezogenen Daten, die im Rahmen der Nutzung von Microsoft 365 durch die Kommission innerhalb des EWR verarbeitet werden, zu übermitteln oder diese Daten offenzulegen. Für außerhalb des EWR verarbeitete Daten kann dies nach dem Recht eines Drittlandes erforderlich sein, sofern dieses einen im Wesentlichen gleichwertigen Schutz bietet. All dies ergänzt die bestehenden technischen und organisatorischen Maßnahmen, die von der Kommission und Microsoft für personenbezogene Daten innerhalb und außerhalb des EWR umgesetzt wurden.
•Abschluss des Verfahrens: Angesichts der getroffenen Maßnahmen hat sich die Sachlage gegenüber der in der Entscheidung des EDSB vom 8. März 2024 untersuchten Situation erheblich geändert. Daher ist der EDSB zu dem Schluss gekommen, dass die festgestellten Verstöße behoben wurden, und hat sein Durchsetzungsverfahren eingestellt. Ein Signal an andere EU-Organe, -Einrichtungen, -Ämter und -Agenturen Die Kommission hat die jüngsten Verbesserungen der interinstitutionellen Lizenzvereinbarung mit Microsoft anderen EU-Organen, -Einrichtungen, -Ämtern und -Agenturen (EUI), die Microsoft 365 im Rahmen dieses Vertrags vertraglich nutzen, zur Verfügung gestellt.
Wojciech Wiewiórowski, Datenschutzbeauftragter, erklärte: „Der EDSB begrüßt diesen proaktiven Ansatz der Kommission in ihrer Rolle als federführende Vergabebehörde zur Unterstützung anderer EU-Einrichtungen. Der EDSB fordert andere EU-Einrichtungen, die die Nutzung von Microsoft 365-Diensten in Erwägung ziehen oder bereits nutzen, auf, ähnliche Bewertungen durchzuführen und technische und organisatorische Maßnahmen zu ergreifen, die mit denen der Kommission vergleichbar sind. Solche Maßnahmen sind erforderlich, um die Einhaltung der Verordnung (EU) 2018/1725 sicherzustellen.“
Der EDSB weist außerdem darauf hin, dass sich dieses Verfahren auf bestimmte Bestimmungen der Verordnung (EU) 2018/1725 konzentrierte. Sein Abschluss bedeutet nicht, dass der EDSB die allgemeine Einhaltung anderer Bestimmungen der Verordnung, die nicht Gegenstand dieser Prüfung waren, durch die Kommission bewertet oder bestätigt hat.
Hintergrund Die Vorschriften für den Datenschutz in den EU-Organen sowie die Aufgaben des Europäischen Datenschutzbeauftragten (EDSB) sind in der Verordnung (EU) 2018/1725 festgelegt. Über den EDSB: Der EDSB ist die unabhängige Aufsichtsbehörde, die für die Überwachung der Verarbeitung personenbezogener Daten durch die EU-Organe und -Einrichtungen zuständig ist, zu politischen Maßnahmen und Rechtsvorschriften, die sich auf den Datenschutz auswirken, berät und mit ähnlichen Behörden zusammenarbeitet, um einen einheitlichen Datenschutz zu gewährleisten. Zu unseren Aufgaben gehört es auch, das Bewusstsein für Risiken zu schärfen und die Rechte und Freiheiten der Menschen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Wojciech Wiewiórowski (EDSB) wurde durch einen gemeinsamen Beschluss des Europäischen Parlaments und des Rates für eine Amtszeit von fünf Jahren ab dem 6. Dezember 2019 ernannt.
Zur Untersuchung des EDSB zur Nutzung von Microsoft 365 durch die Kommission: Der EDSB hat im Mai 2021 eine Untersuchung zur Nutzung von Microsoft 365 durch die Kommission eingeleitet. In seiner Entscheidung vom 8. März 2024 (Fall 2021-0518) stellte der EDSB mehrere Verstöße gegen die Verordnung (EU) 2018/1725 fest, die die Zweckbindung, internationale Datenübermittlungen und die unbefugte Weitergabe personenbezogener Daten betreffen. In seiner Entscheidung hat der EDSB der Kommission daher Abhilfemaßnahmen auferlegt. Im vorliegenden Durchsetzungsverfahren hat der EDSB die Maßnahmen bewertet, die die Kommission nach der Entscheidung des EDSB vom 8. März 2024 ergriffen hat. Die Verordnung (EU) 2018/1725 ist der Datenschutzrahmen für Organe, Einrichtungen, Ämter und Agenturen der EU. Sie legt die Verantwortlichkeiten der für die Datenverarbeitung Verantwortlichen und der Auftragsverarbeiter fest, einschließlich der Pflichten im Zusammenhang mit der Kontrolle der EU-Organe und -Einrichtungen über die in ihrem Auftrag durchgeführte Verarbeitung, der Zweckbindung, der Datenübermittlung und der Datensicherheit. Der EDSB ist die unabhängige Datenschutzbehörde für die Organe und Einrichtungen der EU. Weitere Informationen über seine Untersuchungen und Tätigkeiten finden Sie auf der Website des EDSB. Über die Untersuchungen des EDSB: Weitere Informationen über das Untersuchungsverfahren des EDSB finden Sie in der Untersuchungsrichtlinie des EDSB und im Informationsblatt zu den Untersuchungen des EDSB auf der Website des EDSB.
3Der Europäische Datenschutzbeauftragte (EDSB) ist die unabhängige Aufsichtsbehörde für den Schutz personenbezogener Daten und der Privatsphäre sowie für die Förderung bewährter Verfahren in den Organen und Einrichtungen der EU. Er erfüllt diese Aufgabe durch:
• Überwachung der Verarbeitung personenbezogener Daten durch die EU-Verwaltung;
• Überwachung und Beratung bei technologischen Entwicklungen im Bereich der Politik und Gesetzgebung, die sich auf den Schutz der Privatsphäre und personenbezogener Daten auswirken;
• Durchführung von Untersuchungen in Form von Datenschutzaudits/Inspektionen;
• Zusammenarbeit mit anderen Aufsichtsbehörden, um die Kohärenz beim Schutz personenbezogener Daten zu gewährleisten.
EDPS – Die unabhängige Datenschutzbehörde der EU Fragen können an press@edps.europa.eu gerichtet werden. edps.europa.eu