Für EU-Institutionen gilt hinsichtlich des Datenschutzes nicht die allgemein bekannte Datenschutz-Grundverordnung DSGVO, sondern eine separate, sogenannte EU-DSGVO. Die beiden Verordnungen sind sich jedoch sehr ähnlich. Auch die Institutionen der EU haben für Schutz und Sicherheit von personenbezogenen Daten zu sorgen. Mit dem Nutzen von Microsoft365 verstößt die EU womöglich gegen ihre eigenen Regeln. Schon im März 2024 wies der Europäische Datenschutzbeauftragte EDSB die EU-Kommission an, das Nutzen von Microsoft365 (und die Datenübermittlung an Microsoft sowie verbundene Unternehmen außerhalb der EU) mit der EU-DSGVO in Einklang zu bringen. Die Kommission wurde angewiesen, bis 9. Dezember 2024 Maßnahmen zu treffen, um den eigenen Datenschutzbestimmungen zu entsprechen.
EU klagt eigene DSB
Treppenwitz der Geschichte: Die EU-Kommission geht in einem laufenden Gerichtsverfahren gegen ihren eigenen Datenschutzbeauftragten vor und bezeichnet die Weisung des EDSB als „fehlerhafte Auslegung und Anwendung“ der EU-DSGVO.
Drei Tage vor Ablauf der Frist legte die Kommission einen Bericht sowie unterstützende Unterlagen vor, um die Einhaltung der Vorschriften nachzuweisen. Das Nachrichtenportal EURACTIV zitiert dazu einen Kommissionssprecher, laut dem Microsoft365 den Anforderungen entspricht und dies hinreichend nachgewiesen wurde. Und der bemerkenswerten Aussage: „Zum jetzigen Zeitpunkt wurden keine funktional gleichwertigen Alternativen zu einer Plattform wie Microsoft365 gefunden.“
Ohne USA geht nix in der EU
Die Behörde prüft den vorgelegten Bericht nun, denn mangelnder Datenschutz (nicht nur personenbezogener Daten, sondern auch vertraulicher Inhalte) würde massive Sicherheitsfragen aufwerfen. Dieser Fall zeigt – nun auch der EU-Kommission – die große Diskrepanz zwischen (EU-)DSGVO und der Realität auf. Wir Europäer sind, ob uns das gefällt, oder nicht, von US-amerikanischen Anbietern abhängig.
