Microsoft 365EU-Kommission hat rechtswidrig Daten übertragen

Teams, Word, Outlook – Microsofts Office-Suite ist weitverbreitet. Auch die EU-Kommission nutzt sie und hat dafür heute Probleme bekommen: Die Benutzung verstößt gegen Datenschutzrecht, verkündete der Europäische Datenschutzbeauftragte. Er hat die Kommission zu Änderungen verdonnert.

Ein Handybildschirm zeigt verschiedene Microsoft-Apps.
Die EU-Kommission nutzt eine ganze Palette an Microsoft-Diensten. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Ed Hardie

Korrektur: In einer früheren Version dieses Artikels hieß es, es gebe keinen Datenschutz-Angemessenheitsbeschluss zwischen EU und USA. Das stimmt aktuell nicht.

Die EU-Kommission hat mit der Nutzung von Microsoft 365, der Office-Suite des Tech-Riesens, gegen geltende Datenschutzbestimmungen verstoßen. Das hat heute der Europäische Datenschutzbeauftragte (EDSB) verkündet. Die Kommission muss nun aufhören, mit Microsoft 365 Daten in Länder ohne angemessene Datenschutzregeln zu übertragen und seinen Umgang mit den Programmen ändern. Der EDSB hat der Kommission dafür eine Frist bis zum 9. Dezember dieses Jahres gesetzt.

Der EDSB hatte sein Verfahren nach dem Schrems II-Urteil im Jahr 2021 eröffnet. Der Europäische Gerichtshof hatte damals das „Privacy Shield“ für unrechtmäßig erklärt. So heißt der Beschluss der Kommission, der das Datenschutzniveau in den Vereinigten Staaten als angemessen nach europäischen Standards bezeichnete. Er erlaubte es Firmen wie Facebook und Google, persönliche Daten von Europäer:innen in die USA zu transferieren. Sechs Jahre vorher hatte der Gerichtshof schon eine erste Regelung namens „Safe Harbor“ gekippt. Inzwischen gilt mit dem „Transatlantischen Datenschutzrahmen“ eine neue Regelung, zu der der Aktivist Max Schrems auch bereits eine neue Klage angekündigt hat.

Nach dem Schrems II-Urteil hatte der EDSB kritisiert, dass EU-Institutionen zunehmend mit Cloud-Software von US-Unternehmen arbeiteten. Die Unternehmen hätten zwar angekündigt, die Urteilssprüche umsetzen zu wollen. Der Datenschutzbeauftragte hat dies nun überprüft und kommt zu dem Schluss, dass dies nicht der Fall ist.

Eine Reihe von Fehlern

Der EDSB stellt in seiner Entscheidung eine Reihe von Fehlern fest. So hat die Kommission in ihrer Lizenzvereinbarung mit Microsoft nicht festgelegt, dass bestimmte Daten nur unter bestimmten Gründen verarbeitet werden dürfen. Außerdem kann die Kommission nicht sichergehen, dass Microsoft Daten nur zu dem Zweck verarbeitet, zu dem sie gesammelt wurden.

Laut dem EDSB hat die Kommission auch nicht dafür gesorgt, dass die Daten bei der Übertragung in Drittländer ausreichend geschützt sind. Die Vereinbarung mit Microsoft enthalte keine Regeln dazu, welche Daten übertragen werden dürfen. Darüber hinaus habe die Kommission in ihrer Vereinbarung mit Microsoft einige Klauseln einbezogen, für die es eine Genehmigung des Datenschutzbeauftragten gebraucht hätte, heißt es in der Entscheidung. Eine solche Genehmigung habe die Kommission aber nicht eingeholt.

Besondere Probleme sieht der Datenschutzbeauftragte im Umgang mit dem Schrems II-Urteil. Für die Übertragung persönlicher Daten ins Ausland müssen die Zielländer ein bestimmtes Datenschutzniveau aufweisen. Im Fall von Microsoft sind das die Vereinigten Staaten, und laut dem EuGH-Urteil erfüllt das Land die geforderten Standards nicht. Ähnliches gilt beim behördlichen Zugriff auf gespeicherte Daten, in diesem Fall durch US-amerikanische Sicherheitsbehörden und Geheimdienste: Die Kommission hätte hier die bestehenden Gesetze analysieren und sicherstellen müssen, dass Microsoft die Kommission vor einem eventuellen Zugriff informiert, schreibt der EDSB. Das habe sie aber nicht getan.

Reaktion noch ungewiss

Es liege in der Verantwortung der EU-Institutionen, dass alle persönlichen Daten mit einem angemessenen Datenschutz verarbeitet werden, sagte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski zu der Entscheidung. Das gelte innerhalb wie außerhalb der Union.

Ein Microsoft-Sprecher sagte The Register, man würde das Urteil nun zusammen mit der Kommission analysieren. Andere Kund:innen könnten Microsoft 365 aber ohne Bedenken und mit Rechtssicherheit weiterbenutzen, weil die Entscheidung nur für das spezielle Datenschutzgesetz für EU-Institutionen gilt.

Die Kommission selbst war sich sicher, geltenden Datenschutzregeln entsprochen zu haben. Das sagte gestern ein Sprecher. Während der Untersuchung des Datenschutzbeauftragten habe man auch bereits Verbesserungen umgesetzt.

„Es scheint leider wahrscheinlich, dass die Umsetzung der EDSB-Entscheidung das momentan hohe Niveau mobiler und integrierter IT-Dienste gefährden wird“, so der Kommissionssprecher. „Das trifft nicht nur auf Microsoft zu, sondern möglicherweise auch auf andere kommerzielle IT-Dienste.“ Bevor die Kommission die Entscheidung weiter kommentiere, werde sie diese aber zunächst eingehend prüfen.

14 Ergänzungen

  1. Kommission lol. Also quasi unsere Regierung packt unsere Daten… irgendwohin. Und beim Monieren von Vertragsbedingungen … Mumpitz! Da kann kein Vertrag schützen. Das Minimum ist On-Premises (Einweg) + Kryptographie von allem was rausgeht unter unserer Kontrolle, nicht irgendwie irgendwas verarbeiten. Wie sollte es denn anders gehen? Die Kür wäre dann eine Prüfung auf Abhängigkeiten unserer Wirtschaft, z.B. von bestimmte Softwareprodukten ;). Dass nicht zu viele Firmen bestimmte Sorten von oder sogar konkrete Exemplare von Software/Systemen nutzen.

    Klar, ist hier nur ein juristisches Gedankenspielchen. Relevanz erhält es z.B. bei Militarisierung, gemeinsamer Bündnisstrategie, internationalem Handel. Alles so Sachen, auf die man früher nie gekommen wäre…

  2. > Andere Kund:innen könnten Microsoft 365 aber ohne Bedenken und mit Rechtssicherheit weiterbenutzen, weil die Entscheidung nur für das spezielle Datenschutzgesetz für EU-Institutionen gilt.

    Aber worin besteht denn der Unterschied in der Zumutung für Consumer-Kunden und EU-Institutionen, wenn Firmenkunden sich ebenfalls Sorgen machen sollen? Leider wird das weder in diesem Artikel für Nicht-Juristen deutlich, noch im Register-Artikel?

    Geht es um juristische Double-Standards?

    1. Steht in dem Zitat drinnen.
      DSGVO vs Gesetz für EU-Institution.

      Das ist vordergründig sinnvoll, dass Regierung u.ä. höhere Standards erfüllen müssen. Dann der Sinn und die Abhängigkeitsdebatte für die Wirtschaft z.B…

    2. Da gibt es keinen Unterschied. Das wird aber auch gar nicht behauptet.

      Es geht vielmehr darum, dass der EDSB ausschließlich für die EU-Institutionen zuständig ist. Andere Kunden stehen nicht besser da, haben aber keinen EDSB im Rücken, der ihnen die Nutzung untersagen könnte.

  3. Man sollte an dem Punkt vielleicht das 3-strikes-you-are-gone Modell umsetzen. In Microsofts Fall hat das Vorgehen Methode, Agenda und erfüllt, mit Verletzung sämtlicher Bewährungsbedingungen, die Voraussetzung zur Verbannung für mind. 12 Jahre bei guter Führung. Eventuell Sicherheitsverwahrung.

  4. >Andere Kunden könnten Microsoft 365 aber ohne Bedenken und mit Rechtssicherheit weiterbenutzen, weil die Entscheidung nur für das spezielle Datenschutzgesetz für EU-Institutionen gilt.

    Microsoft will also wieder mal das Recht brechen, dabei gilt doch Schrems II für alle Leute in der EU und auch Firmen und nicht nur für EU-Kommissare. Zugegeben bei dehnen haben die Verbrecher von NSA und Co ein spezielles Interesse, aber genauso stehlen sie ja die Daten von allen Leuten weltweit.

    Aber schon interessant, wie egal den EU-Kommissaren ihr eigener Datenschutz ist, da haben die erst Recht nichts übrig für den Datenschutz der Bürger.

    >„Es scheint leider wahrscheinlich, dass die Umsetzung der EDSB-Entscheidung das momentan hohe Niveau mobiler und integrierter IT-Dienste gefährden wird“, so der Kommissionssprecher.

    Wieso denn das? Entweder sorgt Microsoft dafür, dass keine Daten nach Amerika abfließen können, oder die EU-Kommission wechselt zum Beispiel zu LibreOffice. Das macht den Job: Dokumente, Präsentationen, Tabellen. Und für die anderen Sachen gibt es bestimmt auch OpenSource-Alternativen. Und wenn etwas an solch einer Alternative nicht optimal ist, können verbessert werden, da muss die EU-Kommission nur eine Firma beauftragen oder selbst Programmierer einstellen. Ohne Ausgaben für überteuerte Lizenzen, sollten sie ja das Geld übrig haben.

  5. > Andere Kund:innen könnten Microsoft 365 aber ohne Bedenken und mit Rechtssicherheit weiterbenutzen, weil die Entscheidung nur für das spezielle Datenschutzgesetz für EU-Institutionen gilt.

    Aber worin besteht denn der Unterschied in der Zumutung für Consumer-Kunden und EU-Institutionen, wenn Firmenkunden sich ebenfalls Sorgen machen sollen? Leider wird das weder in diesem Artikel für Nicht-Juristen deutlich, noch im Register-Artikel?

    Ich bitte um Erklärung.

  6. Der nächste Schritt ist MS-Produkte die durch unlautere und wettbewerbwidrige Praktiken Einzug gelhalten haben zu verbannen.

    Insbesondere aus den Schulen.

    Denn gerade dort konnte die MS-Pest nur Einzug halten, weil Mickysoft völlig marktunübliche und natürlich wettbewerbswidrige Rabatte gewährt hat.
    Kaufleute würden sagen: Die unterhalb des Einkaufspreises (bzw der Erstellungskosten) angeboten wurden.
    Aber das ist bei den MS-Produkten nicht möglich denn da lassen sich ja keine Erstellungskosten berechnen.

    Und die öffentliche Hand hat ja kein Geld.
    Und die Entscheider aben alle fette Villen …

  7. Und wann verstößt endlich das private Nutzen von MS Office gegen die Datenschutzbestimmungen?

    Sprich: Als private Person muss ich die Möglichkeit haben, Office zu nutzen ohne die kommerzielle Verwendung meiner Daten. Krieg ich das nicht von MS, muss es juristische Konsequenzen geben.

  8. Pranee: Oder nehmen wir das Beispiel des „Brave Browsers“. Wenn man z. B. bei Netflix ein Monatsabo bestellt, um Filme zu schauen, verweigert dies Netflix, es sei denn, man schaltet beim Brave Browser die datenschutzfreundlichen Schutzmechanismen aus oder nutzt einen anderen Browser.

    Man wird also erpresst, und das, obwohl man bereits für die Nutzung bezahlt hat.

    Dasselbe gilt für diverse Zeitungen, wenn auch mit umgekehrtem Vorzeichen. Will man einen Artikel lesen, muss man sämtliche Cookies und Werbung zulassen, bekommt aber selbst dann keinen Artikel zu lesen, es sei denn, man zahlt und registriert sich mit einer Mailadresse. Es werden Daten erhoben, obwohl keine Leistung erbracht wird.

    1. Da Brave auf der Google ChromeEngine beruht, wird dieser sowieso niemals datenschutzfreundlich. Abgesehen davon dass einem bestimmte Erweiterungen (z. B. YT-Downloader) vorenthalten werden.

  9. Erschreckend ist, dass den Leuten offensichtlich immer noch nicht klar ist, dass durch KI und Quantencomputer zukünftig (oder bereits jetzt?) sämtliche Daten, die in Speichern von Drittland-Unternehmen verarbeitet werden, diesen und deren Behörden praktisch ‚zur freien Verfügung‘ stehen – vollkommen egal ob verschlüsselt (Stichwort: Quanten-Computing).

    Daran werden auch Verträge mit diesen Unternehmen nichts ändern.

    Solch uneingeschränkten Zugriff zu verhindern funktioniert nur, wenn die Daten in privaten Speichern (On-Premise) oder bei unabhängigen Service-Providern (ohne Drittland-Hintergrund) abgelegt werden.

    Für alle, die Microsoft nutzen (müssen/wollen):
    – Nein: Es gibt nicht nur noch die Microsoft Cloud!
    – Ja: Es gibt unabängige Service-Provider die Microsoft Windows mit Microsoft Office sowie Dienste wie Exchange-Server, File-Sharing, etc. bereitstellen – ‚datensouverän‘ von ihren regionalen DE/EU Rechenzentrums-Standorten und ohne Datenübertragung zur Microsoft Cloud!

    Man müsste Sie nur finden wollen…
    Google: Microsoft Hosted Exchange datensouverän

    Ja, das kostet – aufgrund fragwürdiger Microsoft Lizenz-Politik – den ein oder anderen Euro mehr. Allerdings muss man sich schon fragen, warum die EU-Kommission hierzu nicht entweder das Kartellamt bemüht (und faire Lizenzbedingungen ‚für alle‘ schafft) oder diese Mehrkosten für ihre Daten-Souveränität nicht einfach ausgibt – für alles andere ist schließlich auch Geld da.

    Wenn man sich überlegt, was der Aufwand für das ganze Diskutier-Kaffee, Datenschutz-Studien, Rechtsverdreher und die schlechte Reputation kostet, kommt’s sich auf’s Gleiche raus oder ist wahrscheinlich sogar kostengünstiger.

    Das gilt übrigens auch für Unternehmer.

    Der Beobachter

    1. Ki und Quantencomputer. Abgesehen davon, dass eigene Daten in Drittländern zu horten, bereits für sich strategisch fragwürdig ist, gibt es hier möglicherweise einiges Potential:
      https://www.fraunhofer.de/de/forschung/aktuelles-aus-der-forschung/quantentechnologien/quanten-ki.html
      https://www.spektrum.de/news/revolutioniert-die-fusion-von-ki-und-quantenphysik-die-wissenschaft/2203074

      Inwiefern wir „bald“ Quantencomputer große Datenmengen bearbeiten sehen, bin ich mir allerdings nicht so sicher, und ob ein adiabatisches System reicht, oder wir den real deal brauchen (, bzw. ob das schneller kommt als Fusionskraftwerke?).

      Klar ist, dass die Unternehmen, denen wir die Daten in den Rachen schaufeln, einen großen Vorteil haben, der auch nicht durch irgendwelche Teilhabegeschichten heilbar ist. Teilhabe wird langsam und ineffizient und unvollständig. Wir können nur dafür sorgen, dass Daten nicht mehr anfallen. Das benötigt allerlei Infrastruktur, wofür den Parteien dieser Welt die Eier fehlen. Als Mensch sollte man sich Echtzeitfeedback jeglicher Art widersetzen (bevorzuge Interaktionen, bei denen du dir mit oder ohne Hilfsmittel eine andere handelnde Persönlichkeit zu vorstellen kannst, nicht weil dieser Esoterikquatsch funktionieren würde, sondern weil es die minimal nötige Distanz zur Auswertung deines Verhaltens schafft), Datensparsamkeit üben, digitale Selbstverteidigung etc., wenn man da aktivistisch drauf ist.

      Extrapolation: Wer im Moment an KI an der Börse denkt, sollte rechtzeitig einen Wald gekauft haben, wenn KI+Quantencomputer an die Börse kommen – als Händler.

      1. Mir nicht ganz klar: ist die Datenwäschefrageüberhaupt geklärt? Bauen die großen Modelle im Moment quasi auf „fair use“ auf? Ich habe von einigen Initativen zur Datenkuration u.ä. gehört, aber lange nichts mehr zu laufenden Verfahren und dem aktuellen Stand, u.ä. Man hört irgendwie nur noch die Werbung, nach dem Motto „das Wetter ist jetzt KI“. Aber das ist ja eigentlich ein anderes Thema.

        Was Quantencomputer betrifft, also den „real deal“, sollten wir überlegen, ob EU-Kommunikation und Bürgerdaten wirklich auf allen Ebenen so verschlüsselt sind, dass ein Angreifer weder die Inhaltssorten raten kann, noch sie mit einem Quantencomputer entschlüsseln kann. Auch Gesundheitsdaten, Transportschicht, etc.p.p. Falls Postquantum überhaupt etwas wird, wird es wahrscheinlich irgendwann gekommen sein, dann vor einem Monat, vor einem Jahr, oder Jahrzehnt(e) her. D.h. wir erfahren es dann ziemlich spät. Wer weiß, wer die Menge mitschneiden kann, aber heute schon eine Selektion zuzulassen wäre schon etwas problematisch.

        Und nein, es wäre kein Glück, wenn wir es aus der Wissenschaft zuerst erfahren, nur um zu wissen, dass in wenigen Tagen/Monaten jemand das Ding gebaut haben wird. Zu spät ist zu spät. Bei allen sich bietenden Wegen, wie man alles an die Wand fahren kann, sollten wir nicht so tun, als wäre Geostrategie bei digitalen Daten plötzlich dann nicht mehr vorhanden.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.