Die Verwendung von Microsoft-Software durch die Europäische Kommission verstieß gegen die EU-Datenschutzvorschriften. Die EU-Exekutive hat es außerdem versäumt, angemessene Sicherheitsvorkehrungen für personenbezogene Daten zu treffen, die in Nicht-EU-Länder übermittelt werden, so der EU-Datenschutzbeauftragte am Montag.

Der Europäische Datenschutzbeauftragte (EDSB) wies die Kommission an, Maßnahmen zu ergreifen, um die Datenschutzbestimmungen einzuhalten und die Datenübermittlung an das US-Unternehmen und an Tochtergesellschaften in Drittländern, die keine Datenschutzvereinbarungen mit der EU geschlossen haben, zu stoppen, und setzte eine Frist bis zum 9. Dezember.

Die Entscheidung des EDSB folgte auf eine dreijährige Untersuchung, die durch die Besorgnis über die Übermittlung personenbezogener Daten an die Vereinigten Staaten ausgelöst wurde, nachdem der ehemalige US-Geheimdienstmitarbeiter Edward Snowden im Jahr 2013 die massenhafte Überwachung durch die USA enthüllt hatte.

"Die Kommission hat es versäumt, angemessene Schutzmaßnahmen zu ergreifen, um sicherzustellen, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/dem EWR erhalten", so die Aufsichtsbehörde in einer Erklärung.

Der EWR (Europäischer Wirtschaftsraum) besteht aus den 27 EU-Ländern sowie Island, Liechtenstein und Norwegen.

"In ihrem Vertrag mit Microsoft hat die Kommission nicht ausreichend spezifiziert, welche Arten von personenbezogenen Daten gesammelt werden und für welche expliziten und spezifizierten Zwecke bei der Nutzung von Microsoft 365", sagte der EDSB.

Microsoft 365 ist die Produktsuite, die Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen und Outlook-E-Mails umfasst.

Die Datenschutzbehörde wies die Kommission an, alle Datenströme auszusetzen, die sich aus der Nutzung von Microsoft 365 an Microsoft und seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb Europas ergeben, die nicht durch einen Angemessenheitsbeschluss abgedeckt sind.

Die EU hat derzeit Angemessenheitsvereinbarungen mit 16 Ländern, darunter Argentinien, Japan, Südkorea, die Schweiz, Großbritannien und die Vereinigten Staaten.

Die EU-Exekutive wurde außerdem aufgefordert, Maßnahmen zu ergreifen, um sicherzustellen, dass ihre Nutzung von Microsoft 365 mit den Datenschutzbestimmungen übereinstimmt. (Bericht von Foo Yun Chee, Bearbeitung von Helen Popper)