EC hat bei der Nutzung von Microsoft 365-Diensten gegen die Datenschutzgesetze der Union verstoßen

Nach Angaben des Europäischen Datenschutzbeauftragten (EDSB) hat die Europäische Kommission bei der Nutzung von Microsoft 365-Diensten mehrere wichtige Datenschutzbestimmungen der Datenschutzgesetze der Europäischen Union nicht eingehalten.

Der EDSB ist eine unabhängige Stelle, die für die Durchführung von Datenschutzprüfungen innerhalb der EU-Institutionen zuständig ist und Korrekturmaßnahmen zur Behebung von Verstößen erlassen kann.

Wojciech Wiewiórowski, EDSB, sagte:

Die wichtigsten Ergebnisse der Untersuchung deuten darauf hin, dass EC in seinem Vertrag mit Microsoft weder die Arten der Daten spezifiziert hat, die gesammelt werden dürfen, noch den Zweck derselben erwähnt hat.

Darüber hinaus hat die EG keine angemessenen Sicherheitsvorkehrungen für die Übermittlung von Daten außerhalb des Raums der Europäischen Union getroffen, einem wichtigen Aspekt zur Gewährleistung des Schutzes personenbezogener Daten natürlicher Personen.

Der Europäische Datenschutzbeauftragte hat die Europäische Kommission angewiesen, die Nutzung der Microsoft 365-Dienste an die strengen Datenschutzbestimmungen der EU anzupassen. Es wurde außerdem darüber informiert, dass Microsoft 365-Datenströme, die nicht den Vorschriften entsprechen, mit Wirkung zum 9. Dezember 2024 ausgesetzt werden.

Der Verstoß ereignete sich über einen Zeitraum von drei Jahren, der am 21. Mai 2021 begann und mit der Entscheidung des EDSB am 8. März 2024 endete.

Der Europäische Datenschutzbeauftragte sagte, die Europäische Kommission habe es versäumt, ordnungsgemäße vertragliche Spezifikationen mit Microsoft sicherzustellen, da die Europäische Kommission die Verwendung von Daten nicht klargestellt und Microsoft dafür nicht verantwortlich gemacht habe.

Da der EDSB ein Verschulden der EU feststellte, setzte er die EU-Verordnung 2018/1725 über die Verarbeitung personenbezogener Daten durch, was zeigt, wie wichtig solide Datenschutzmaßnahmen sind, insbesondere bei der Zusammenarbeit mit externen Dienstleistern.

Dieser Vorfall erinnert Menschen, die in Europa Geschäfte machen, daran, auf alle winzigen Vertragsdetails zu achten und sich an die gesetzlichen Rahmenbedingungen zu halten, um künftige Probleme zu vermeiden.

Was denken Sie darüber? Teilen Sie Ihre Meinung im Kommentarbereich unten mit.

Es liegt in der Verantwortung der Organe, Einrichtungen, Ämter und Agenturen der EU, dafür zu sorgen, dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU/des EWR, auch im Zusammenhang mit cloudbasierten Diensten, mit strengen Datenschutzgarantien einhergeht und Maßnahmen. Dies ist unbedingt erforderlich, um sicherzustellen, dass die Daten natürlicher Personen gemäß der Verordnung (EU) 2018/1725 geschützt sind, wenn ihre Daten von einer EU oder im Namen einer EU verarbeitet werden.