Die EU-Kommission verklagt den EU-Datenschutzbeauftragten, weil sie weiterhin Produkte von Microsoft nutzen will.
Die EU-Kommission hat kürzlich einen beispiellosen Schritt unternommen und den EU-Datenschutzbeauftragten verklagt. Dr. Patrick Breyer, scheidender Europaabgeordneter der Piratenpartei, machte in einem Tweet auf diesen ungewöhnlichen Vorgang aufmerksam. Die EU-Kommission unter der Führung von Kommissionspräsidentin Ursula von der Leyen setzt sich über die Bedenken des Datenschutzbeauftragten hinweg. Sie will an der Nutzung der datenschutzwidrigen Microsoft-Produkte Office und Cloud Suite festhalten.
EU-Datenschutzbeauftragter kritisiert Nutzung von Microsoft 365
In der Europäischen Union bahnt sich ein spannender Rechtsstreit an. Die EU-Kommission verklagt den EU-Datenschutzbeauftragten. Der Grund? Die Verwendung von Microsoft-Produkten durch die Kommission.
Alles begann am 11. März 2024, als der EDSB einen Bericht veröffentlichte, der es in sich hatte. Er stellte fest, dass die Nutzung von Microsoft 365 durch die Europäische Kommission gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Hauptkritikpunkt: Die Übermittlung von Daten in Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) ohne angemessene Datenschutzmaßnahmen.
Der Datenschutzbeauftragte beließ es nicht bei der Kritik. Er setzte der Kommission eine klare Frist: Ab dem 9. Dezember 2024 dürfe sie keine Daten mehr an Microsoft und seine Tochtergesellschaften in Nicht-EU/EWR-Staaten übermitteln. Eine Forderung mit weitreichenden Folgen für die IT-Infrastruktur der Kommission.
Die Streitpunkte im Einzelnen
Die Kommission gab sich mit dieser Entscheidung nicht zufrieden. Am 17. Mai 2024 reichte sie Klage gegen den EDSB ein. Ihr Ziel: die Aufhebung der Entscheidung des EDSB vom 8. März 2024. Außerdem beantragt sie, dem EDSB die Kosten des Verfahrens aufzuerlegen. Die Klage stützt sich auf mehrere Rechtsgründe im Zusammenhang mit der Verordnung (EU) 2018/1725.
- Auslegung der Datenschutzvorschriften: Die Kommission wirft dem EDSB vor, die Verordnung (EU) 2018/1725 falsch ausgelegt zu haben. Sie macht geltend, dass der EDSB ihre Verpflichtungen in Bezug auf die Definition der zu verarbeitenden personenbezogenen Daten missverstanden habe.
- Lizenzvereinbarung mit Microsoft: Ein weiterer Zankapfel ist der Lizenzvertrag zwischen der EU-Kommission und Microsoft. Der EDSB kritisierte, dass die Kommission nicht klar definiert habe, welche Daten zu welchem Zweck verarbeitet werden dürfen. Die Kommission bestreitet dies: Die Kritik sei unbegründet.
- Datenübermittlung an Nicht-EU-Staaten: Besonders brisant ist die Frage des Datentransfers in Länder außerhalb der EU, insbesondere in die USA. Denn der EDSB sieht hier einen klaren Verstoß gegen die DSGVO. Die Kommission hält ihre Schutzmaßnahmen jedoch für ausreichend.
- Dokumentation und Anweisungen: Auch die Dokumentation der Datenverarbeitung seitens der EU-Kommission wurde kritisiert. Der EDSB kritisierte die unklaren Anweisungen der Kommission an Microsoft. Die Kommission widerspricht dem und betont die Klarheit ihrer Vorgaben.
Dieser Rechtsstreit ist mehr als nur ein interner Konflikt zwischen EU-Institutionen. Er könnte weitreichende Folgen für den Datenschutz in der gesamten EU haben. Denn insbesondere die Nutzung US-amerikanischer Cloud-Dienste durch europäische Behörden steht erneut auf dem Prüfstand.
Ein Präzedenzfall für den Datenschutz in der EU?
Die Klage der EU-Kommission gegen den Datenschutzbeauftragten zeigt eindrucksvoll, wie komplex die Umsetzung der DSGVO in der Praxis sein kann. Denn sie wirft grundsätzliche Fragen auf: Wie lässt sich der Schutz personenbezogener Daten mit den Anforderungen moderner IT-Infrastrukturen vereinbaren? Welche Rolle spielen dabei US-amerikanische Technologiekonzerne?
Das Urteil des Gerichts wird mit Spannung erwartet. Sie könnte richtungsweisend für den künftigen Umgang mit Datenschutzfragen in der EU sein. Eines ist sicher: Der Fall wird die Debatte um Datenschutz und digitale Souveränität in Europa weiter anheizen.