Microsoft 365EU-Kommission stellt Schutz sensibler Behördendaten auf dünnes Eis

Nach einem langen Konflikt bestätigt der Europäische Datenschutzbeauftragte, dass die EU-Kommission Microsoft 365 datenschutzkonform nutze. Grund für ernste Datenschutz-Bedenken gibt es aber weiterhin. Die Analyse.

- - in Datenschutz - 6 Ergänzungen
Ursula von der Leyen mit hellem Blazer steht an einem Rednerpult
Präsidentin der EU-Kommission Ursula von der Leyen brachte den Datenschutzrahmen EU-USA 2023 mit auf den Weg. – Alle Rechte vorbehalten IMAGO/Chris Emil Janßen

Eine E-Mail über Outlook verschicken, eine Tabelle mit Excel erstellen oder die nächste Präsentation mit PowerPoint – die Anwendungen von Microsoft 365 nutzen viele Mitarbeiter*innen in Behörden selbstverständlich und vertrauen dem US-amerikanischen Tech-Konzern damit Daten über interne Vorgänge der EU an, etwa Inhalte aus E-Mails oder Präsentationen. Doch wie schützt Microsoft diese Behördendaten? Und vor allem: Wer kontrolliert, wie Microsoft mit den Daten umgeht?

Gute Kundin für Microsoft 365 ist die öffentliche Verwaltung auf EU-Ebene, etwa die Europäische Kommission. Die Behörde beschäftigt 32.860 Mitarbeiter*innen, also eine ganze Menge Nutzer*innen von Microsofts Büro-Software. Das bedeutet eine Menge Daten – und Verantwortung, diese Daten zu schützen. In einem mehrjährigen Verfahren musste die Kommission belegen, dass das gelingt.

Nun hat der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski das dazugehörige Verfahren abgeschlossen. Mitte Juli bescheinigte er der Kommission die „Datenschutzkonformität bei der Nutzung von Microsoft 365“. In einem Brief an die Generaldirektorin Veronica Gaffey stellte er fest:

Die Kommission hat nun die Kontrolle darüber, was bei der Nutzung der Microsoft 365-Dienste geschieht. Dies ist das Ergebnis zusätzlicher vertraglicher, technischer und organisatorischer Maßnahmen, die in Zusammenarbeit mit Microsoft umgesetzt wurden oder geplant sind.

Ein Grund zur Entwarnung ist das aber nicht. Ein Blick auf die Gesamtsituation zeigt: Nach wie vor gibt es Grund für ernste Bedenken beim Schutz sensibler Behördendaten. Sie fallen bloß nicht mehr in die Zuständigkeit von Datenschutz-Wächter Wojciech Wiewiórowski.

Deshalb zeigt sich Wiewiórowski nun zufrieden

Noch im März 2024 hatte Wiewiórowski die Kommission dazu aufgefordert (PDF), beim Datenschutz massiv nachzubessern. Sein Befund: Die Lizenzvereinbarung mit Microsoft sei lückenhaft, und das präge die Art und Weise, wie die Kommission die Büroanwendungen nutzt. Die Behörde habe versäumt, vertraglich festzulegen, dass Microsoft bestimmte Daten nur zu bestimmten Zwecken verarbeiten dürfe. Zudem seien die Daten nicht ausreichend geschützt, wenn die Kommission sie in Drittländer außerhalb der EU überträgt.

Im Fokus der Aufforderung standen nur ein paar der Bestimmungen eines Gesetzes für die Verwaltung der EU von 2018, wie der EDSB auf Anfrage von netzpolitik.org erklärt. Das Gesetz hat einen langen Namen: „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr“. Die Datenschutz-Grundverordnung (DSGVO) wiederum sei nicht Teil der Prüfung durch den EDSB. Denn die falle „in die ausschließliche Zuständigkeit der nationalen Datenschutzbehörden“.

Laut Wiewiórowski habe die Kommission inzwischen die Mängel behoben, die er und sein Team bei ihrer Prüfung gefunden haben, vor allem die Zweckbindung. Das hört sich zunächst wie eine gute Nachricht für behördlichen Datenschutz an. Worauf der EDSB wenig Einfluss hat: Es gibt mehrere Gesetze zum transatlantischen Datentransfer, die US-Behörden den Zugriff auf Daten aus der EU erlauben.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Der kurze Erfolg von „Schrems II“

Als der EDSB im Jahr 2021 seine Untersuchung zur Microsoft-365-Nutzung der Kommission aufgenommen hatte, stand insbesondere in der Kritik, dass die Kommission das „Schrems II“-Urteil nicht berücksichtige (PDF). Diese Einschätzung wiederholte er im Mai 2024. Nun hat der EDSB das Verfahren beigelegt und äußert sich nicht mehr zu „Schrems II“.

Bei „Schrems II“ handelt es sich um ein Urteil des Europäischen Gerichtshofs aus dem Jahr 2020. Damals kippte der Gerichtshof den Privacy Shield, ein Datenschutzabkommen zwischen EU und USA. Anlass war eine Beschwerde des Juristen und Datenschutzaktivisten Max Schrems bei der irischen Datenschutzbehörde: Facebook Irland leite demnach seine Daten an den Mutterkonzern in den USA weiter. Und Schrems hatte Erfolg.

„Schrems II“ besagt: Überträgt eine Behörde personenbezogene Daten ins Ausland, dann muss das Zielland ein bestimmtes Datenschutzniveau aufweisen. Das Unternehmen Microsoft hat seinen Sitz in den Vereinigten Staaten. Die erreichen laut EuGH-Urteil das geforderte Schutzniveau nicht. Denn US-Behörden hätten zu viele Zugriffsmöglichkeiten, was mit den hohen Anforderungen an den Datenschutz in der EU nicht vereinbar sei.

So wurde „Schrems II“ ausgehebelt

Dass der EDSB „Schrems II“ inzwischen nicht mehr erwähnt, hängt damit zusammen, dass seit Mitte 2023 der sogenannte Datenschutzrahmen EU-USA gilt (EU-US Data Privacy Framework, kurz DPF). Er hat den Privacy Shield abgelöst. Die EU-Kommission hat auf dieser Basis eine Angemessenheitsentscheidung zugunsten der USA getroffen. Demnach sollen die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten können, die aus der EU an US-Unternehmen übertragen werden. Dabei macht die Kommission hier keine Unterschiede zwischen verschiedenen Unternehmen.

Unterm Strich dürfen US-amerikanische Unternehmen also personenbezogene Daten von EU-Bürger*innen in den USA speichern und verarbeiten, ohne zusätzliche Datenschutzgarantien einrichten zu müssen. Kritiker*innen mahnen, dass „kaum rechtlicher Schutz vor dem anlasslosen wie massenhaften Zugriff der amerikanischen Behörden“ besteht. Schrems bezeichnete dieses neue Abkommen als „Zaubertrick“.

Für die Angemessenheitsentscheidung mit den USA sei der EDSB allgemein und auch beim Thema Microsoft 365 in der Kommissions-Verwaltung nicht zuständig, wie die Behörde gegenüber netzpolitik.org erklärt. Tatsächlich sieht das Verfahren zum Treffen dieser Entscheidung keine Beteiligung des EDSB vor, sondern nur des Europäischen Datenschutzausschusses. Der EDSB verwies lediglich darauf, die Kommission habe detaillierte Vorschriften formuliert, wie entsprechend zertifizierte Unternehmen personenbezogene Daten an US-Behörden zwecks Strafverfolgung und nationaler Sicherheit übermitteln dürfen.

Doch selbst, wenn der DPF erneut vom EuGH gekippt werden würde, kann sich die Kommission dem EDSB zufolge schon jetzt „zurecht“ auf eine Ausnahmeregelung des Gesetzes von 2018 berufen: Sollen Daten an Microsoft in einem Drittland erfolgen, das nicht als angemessen gilt, lässt sich das durch die Kommission mit „wichtigen Gründen des öffentlichen Interesses“ rechtfertigen.

Noch mehr Wege, wie Daten in die USA fließen

Daten der europäischen Verwaltung können zudem per US-amerikanischem Cloud Act (Clarifying Lawful Overseas Use of Data Act) in die USA gelangen. Demnach sind Anbieter, die ihren Unternehmenssitz in den USA haben, dazu verpflichtet, Daten und Informationen zu Nutzer*innen gegenüber US-Behörden offenzulegen, wenn die es verlangen. Das ist unabhängig davon, wo die Daten liegen, etwa auf europäischen Rechenzentren. Zu diesem Schluss kam beispielsweise der Wissenschaftliche Dienst des Deutschen Bundestages in einem Bericht aus dem Jahr 2024.

Auch die Aussage des Chefjustiziars von Microsoft Frankreich, Anton Carniaux, deutet darauf hin. Mitte Juli wurde er im französischen Senat befragt: Können die USA auch Daten einsehen, ohne dass die französischen Behörden zuvor ausdrücklich zugestimmt hätten? Laut Carniaux könne Microsoft nicht garantieren, dass US-Behörden keinen Zugriff auf Nutzer*innendaten erhalten.

Datenschutzbeauftragter mahnt zur Vorsicht

Wie soll die EU also den Zugriff auf Daten regulieren, wenn der Cloud Act US-Behörden derart weitreichende Befugnisse gewährt? Auch auf wiederholte Nachfrage verweist der EDSB dazu lediglich auf zusätzliche Vertragsbestimmungen, die die Kommission mit Microsoft ausgehandelt habe. Demnach hätten alleine die EU oder ihre Mitgliedstaaten das Recht, Microsoft zur Offenlegung von Daten aus Behörden zu verpflichten.

„Uns wurden auch im direkten Austausch mit Microsoft keine technischen Änderungen bekannt, die den Zugriff durch US-Behörden verhindern würden“, schreibt die Datenschutzorganisation noyb auf Anfrage von netzpolitik.org. Sie bezeichnet die Vereinbarungen der Kommission mit Microsoft als Paper-Compliance. Es sei nicht ersichtlich, dass der EDSB ein technisches Audit erstellt habe. Stattdessen vertraue er auf die Vertragsänderungen der EU-Kommission. „Vermutlich kann die NSA weiterhin live in den Dokumenten der EU-Kommission mitlesen“, schätzt noyb.

Denn noch ein weiteres US-Gesetz öffnet dem Datenfluss von der EU in die USA Tür und Tor: der Foreign Intelligence Surveillance Act (FISA), insbesondere dessen berühmt-berüchtigte Section 702. Demnach dürfen US-Behörden wie die National Security Agency (NSA) etwa im Namen der Terrorismus-Bekämpfung großflächig Daten von Online-Diensten abfragen – eine Lizenz zur großflächigen Überwachung des Internets. Im vergangenen Jahr hatte der US-Kongress diese brisante Regelung um zwei weitere Jahre verlängert.

Auch der EDPB hat das auf dem Schirm: Er empfiehlt der Kommission, diese Entwicklungen zu verfolgen.

Uns fehlen dieses Jahr noch 307.427 Euro.

Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.

Über die Autor:in

Esther Menhard ist freie Autorin bei netzpolitik.org. Sie recherchiert zur Digitalisierung der öffentlichen Verwaltung und nimmt dazu gerne Hinweise entgegen. Von Haus aus Philosophin, interessiert sie sich für Datenethik, die Schnittstelle zwischen Wissenschaft und Digitalität, AdTech, Open Access und Open Source.

Kontakt: E-Mail (OpenPGP), Mastodon Bluesky

Veröffentlicht 08.08.2025 um 11:36
Kategorie
Schlagworte
Weitere Artikel
durch eine Fensterfront sind Emmanuel Macron und Friedrich Merz auf einem Podest bei einer Pressekonferenz zu sehen
Technologie

Digitale SouveränitätWie die EU Freie Software ausblendet

Wenn es nach den EU-Staatschef:innen geht, heißt „digitale Souveränität“, auf Technologie aus Europa zu setzen, so der Tenor auf dem Digitalgipfel Mitte November. Um sich von Big Tech unabhängig zu machen, ist aber weniger relevant, wo Lösungen herkommen, sondern vielmehr dass sie Open Source sind, entgegnen zivilgesellschaftliche Akteure.

Lesen Sie diesen Artikel: Wie die EU Freie Software ausblendet
Eine Reihe von weißen einsen und nullen aufm schwarzen Grund, in der Mitte sind einzige Ziffern rot, sodass ein Herz sichtbar wird.
Datenschutz

Datenspende„Digitaler Omnibus“ könnte Forschung zu Big-Tech erschweren

Weil Tech-Konzerne selten Zugang zu ihren Daten gewähren, ist unabhängige Forschung auf Datenspenden angewiesen. Damit könnte es jedoch bald vorbei sein, denn die EU-Kommission will das Datenauskunftsrecht einschränken. Ein offener Brief aus der Wissenschaft warnt vor schwerwiegenden Folgen für die Plattformforschung.

Lesen Sie diesen Artikel: „Digitaler Omnibus“ könnte Forschung zu Big-Tech erschweren

6 Ergänzungen

  1. In aller kommentatorischen Kürze:

    Es hat sich nichts geändert und wird sich nichts ändern. Mit hohlen Phrasen und nebulösen Nivellierungen festigt die EU-Kommission weiterhin ihre (und unsere) pathologische Abhängigkeit von US-Systemen samt ihren immer mehr undemokratisch agierenden Inhabern, anstatt eigene, lizenzfreie Open-Source-Systeme zu entwickeln.

    Man kann nur sich selbst schützen, den Kopf schütteln und auf den berühmten großen Knall warten, der vielleicht zu einer Änderung führen könnte.

    Antworten

  3. Wenn all die Daten der „unschuldigen Ignoranten“ vor unrechtmäßigem Ausspähen durch US-Behörden und Tech-Bros geschützt werden sollen, dann wird es wohl so etwas wie „Schrems III“ brauchen. Auf Dauer aber wird die Kanzlei Schrems die hündische Unterwürfigkeit gegenüber der US-Administration aber nicht beseitigen können. Kommt nach Schrems III dann noch ein Schrems IV?

    Insofern mag man sich fragen, ob man nicht jene, die selbst keinen Wert auf einen selbstbestimmten Datenschutz legen, überhaupt schützen soll? Darunter sind so unglaublich viele dumme, ignorante und gefährliche Menschen, deren Daten bei geheimen US-Diensten gut aufgehoben sind. Gut so!

    Antworten

  4. Für Microsoft und all die anderen US Unternehmen gilt dass man Datenschutz vergessen kann. Die usa ist auch kein safe harbour Staat ( war auch nie der fall). Zuhause sind wir nun zu linux umgestiegen, ist nicht nur sicherer und kostet auch nichts. Warum die behörden noch daran festhalten kann nur mit Faulheit erklärt werden

    Antworten

  5. Es ist das gleiche wie man sich von Russland und seiner Fossilen Energie Abhängig gemacht hat. Die Türkei, Ungarn lässt von Russland sogar Atomkraftwerke bauen die sie nicht einmal bezahlen muss. Genau so haben wir Produkte von US Giganten so integriert das die Abhängigkeiten dazu führen Bedingungen ohne alternativen zu akzeptieren. Als man in Deutschland eine Suchmaschine als alternative zu Google entwickeln wollte, war die Aussage „brauchen wir nicht, unsere Mitarbeiter googeln alles!“ . Es ist immer das gleiche Spiel den Schaden zahlen andere, in der Ukraine die Energiepolitik einer CDU/CSU und SPD.

    Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.