Nach einem intensiven Prüfverfahren hat der Europäische Datenschutzbeauftragte (EDPS) bestätigt, dass die Europäische Kommission ihren Einsatz von Microsoft 365 mit den Vorgaben der Verordnung (EU) 2018/1725 in Einklang gebracht hat. Diese Entscheidung markiert einen wichtigen Meilenstein für die datenschutzkonforme Nutzung von Cloud-Diensten innerhalb der EU-Institutionen.
Der EDPS hatte im Mai 2021 eine Untersuchung über die Nutzung von Microsoft 365 durch die EU-Kommission eingeleitet. In der Entscheidung vom 8. März 2024 (Case 2021-0518) stellte der EDPS mehrere Verstöße gegen Datenschutzbestimmungen fest, insbesondere in den Bereichen:
Daraufhin wurden der Kommission verbindliche Korrekturmaßnahmen auferlegt, deren Umsetzung durch weitere Verfahrensschritte begleitet wurde.
| Problemstellung (Vorher) | Maßnahmen zur Behebung (Nachher) |
|---|---|
| Unklare Zweckbindung der Datenverarbeitung | Exakte Definition der verarbeiteten Datenarten und der Verarbeitungszwecke; Microsoft und Subauftragsverarbeiter dürfen nur nach dokumentierten Anweisungen der Kommission verarbeiten. |
| Unzureichende Kontrolle über Datenübermittlungen | Klar definierte Empfänger und Zwecke für Datenübermittlungen in Drittländer; vertragliche Begrenzung auf Länder mit Angemessenheitsbeschluss oder auf Basis öffentlicher Interessen gem. Art. 50(1)(d) der Verordnung (EU) 2018/1725. |
| Fehlende Transparenz bei Offenlegungsanfragen | Neue Vertragsklauseln verpflichten Microsoft, Offenlegungsanfragen an die Kommission zu melden (außer es besteht eine rechtliche Verpflichtung im Einklang mit EU-Recht); dies gilt auch für Drittstaaten mit "wesentlich gleichwertigem Schutzniveau". |
| Mangelnde technische & organisatorische Schutzmaßnahmen | Ergänzende technische und organisatorische Maßnahmen wurden implementiert, die unautorisierte Zugriffe oder Übermittlungen minimieren. Die Kontrolle über Subauftragsverarbeiter wurde ebenfalls verschärft. |
Am 11. Juli 2025 bestätigte der EDPS in einem Schreiben an die Kommission, dass alle identifizierten Verstöße behoben wurden, woraufhin das Verfahren offiziell beendet wurde.
Die Kommission hat ihre verbesserten Vertragskonditionen im Rahmen des Inter-Institutional Licensing Agreement (ILA) auch anderen EU-Institutionen, -Organen, -Büros und -Agenturen (EUIs) zugänglich gemacht. Der EDPS ruft alle betroffenen Institutionen auf, vergleichbare Prüfungen und Anpassungen vorzunehmen.
Zitat Wojciech Wiewiórowski (EDPS):
"Dies ist ein bedeutender gemeinsamer Erfolg und ein starkes Signal dafür, was durch konstruktive Zusammenarbeit und wirksame Aufsicht erreicht werden kann."
Diese Entscheidung ist richtungsweisend für alle Organisationen, die Microsoft 365 unter der Datenschutz-Grundverordnung (DSGVO) oder der Verordnung (EU) 2018/1725 nutzen möchten. Besonders relevant:
Microsoft hat sich in diesem Verfahren verpflichtet, seine Dienstleistungen stärker an die spezifischen Compliance-Anforderungen der EU-Institutionen anzupassen. Dies könnte auch Einfluss auf ähnliche Vereinbarungen in anderen Bereichen (z.B. nationale Verwaltungen oder große Unternehmen) haben.