Bereits im März 2024 stellte der Europäische Datenschutzbeauftragte (European Data Protection Supervisor EDPS), eine unabhängige Kontrollbehörde der EU, fest dass die EU-Kommission mit der Nutzung von Microsoft-Programmen, namentlich „Microsoft 365“, gegen ihre eigenen Datenschutzregeln verstößt.
Darüber hinaus habe die Kommission nicht ausreichend sichergestellt, dass personenbezogene Daten nicht an Server von Microsoft oder dessen Partnerfirmen in Drittländern außerhalb der EU übermittelt werden. Die Behörde setzte der EU-Kommission eine Frist bis zum 9. Dezember 2024, um den rechtskonformen Zustand herzustellen.
Fast sechs Jahre nach Anwendung der selbstauferlegten Datenschutzbestimmungen schafft es die EU-Kommission offensichtlich nicht, ihre eigenen Regeln zu befolgen. Hat die EU-Kommission vor, die rechtskonformen Zustand herzustellen? Augenscheinlich nicht.
Am 17. Mai 2024 hat die Kommission Klage gegen den Leiter ihrer eigenen Datenschutzbehörde eingereicht. Dies wurde (reichlich verzögert) am 1. Juli mittels Veröffentlichung im Amtsblatt der EU mitgeteilt.
Die Kommission wirft dem Europäischen Datenschutzbeauftragten eine ganze Liste an fehlerhaften Auslegungen und Anwendungen der Verordnung (EU) 2018/1725 vor (für Organe und Einrichtungen der EU gilt primär nicht die DSGVO, sondern diese gesonderte EU-Verordnung). Zudem verstoßen die vom EDPS angeordneten Abhilfemaßnahmen gegen den Grundsatz der Verhältnismäßigkeit, meint die EU-Kommission.
Der Ausgang des Verfahrens könnte weitreichende Folgen haben, nicht nur für die EU-Kommission. Denn Microsoft-Produkte werden auch von zahlreichen nationalen Regierungen, Verwaltungen und Aufsichtsbehörden eingesetzt.
