Die EU-Kommission und die rechtswidrige Verwendung von Microsoft 365

Microsoft 365
Bildquelle: IB Photography / Shutterstock.com
LinkedInXingPocketWhatsAppFlipboard

Die Europäische Kommission steht derzeit im Zentrum einer hitzigen Debatte über den Schutz personenbezogener Daten und die Einhaltung der Datenschutz-Grundverordnung (DSGVO). Für ihre interne Kommunikation und Zusammenarbeit nutzt sie Microsoft 365. Laut eines Berichts des Europäischen Datenschutzbeauftragten (EDPS) verstößt diese Nutzung jedoch gegen geltendes EU-Datenschutzrecht.

Die DSGVO ist ein Grundpfeiler in der europäischen Datenschutzgesetzgebung, der die Rechte von Einzelpersonen in Bezug auf ihre personenbezogenen Daten stärkt. Gleichzeitig legt sie die Verantwortlichkeiten derjenigen fest, die diese Daten verarbeiten. Die Stellung der EU-Kommission als Verantwortliche ergibt sich aus Artikel 4 Nr. 7 der DSGVO. 

Anzeige

Der Bericht des EDPS kommt allerdings zu folgendem Schluss: Die Verwendung von Microsoft 365 durch die Europäische Kommission entspricht nicht den hohen Datenschutzstandards, die für Organe, Einrichtungen und sonstige Stellen der Union gelten. 

Artikel 5 der DSGVO legt die wichtigsten Grundsätze für die Verarbeitung personenbezogener Daten fest. So soll sichergestellt werden, dass diese rechtmäßig und transparent verarbeitet und die Rechte der Betroffenen gewahrt werden. Dennoch hat die Kommission in ihrem Vertrag mit Microsoft demzufolge nicht hinreichend dargelegt, welche Arten von personenbezogenen Daten gesammelt und für welche expliziten und spezifischen Zwecke diese im Rahmen von Microsoft 365 verwendet werden sollen.

Zudem ist jeder Verantwortliche für die Verarbeitung personenbezogener Daten dazu verpflichtet, sicherzustellen, dass deren Übertragung in Drittländer nur unter Einhaltung der erforderlichen Sicherheitsstandards erfolgt. Dazu gehört auch die Gewährleistung eines angemessenen Schutzniveaus für die übertragenen Daten. Die Kommission hat es jedoch versäumt, die erforderlichen Garantien vorzusehen, damit personenbezogene Daten außerhalb der EU beziehungsweise des EWR den gleichen Schutz genießen wie innerhalb.

Wiederholtes Einfallstor

Doch nicht nur die Verstöße gegen diese Datenschutzvorschriften entfachen heftige Kritik und Unverständnis. Bereits die Entscheidung für ein Festhalten an der Nutzung von Microsoft 365 durch die Kommission erscheint angesichts der Tatsache, dass Microsoft sich in den letzten Jahren wiederholt mit schwerwiegenden Sicherheitsvorfällen konfrontiert sah, nur schwer nachvollziehbar.

Infolge dieser Sicherheitsvorfälle wurden 2022 unter anderem sensible Daten von zehntausenden Kunden öffentlich zugänglich gemacht. 2023 gelang es Hackern, einen Signaturschlüssel zu stehlen, womit diese anschließend in der Lage waren, sich Zugangsberechtigungen für Outlook Web Access und Outlook.com zu erstellen. Selbst aktuell finden tagtäglich unbefugte Zugriffe durch Kriminelle der Gruppe „Midnight Blizzard“ auf Microsofts Systeme und darin gespeicherte Daten statt — ohne dass es scheinbar gelingt, die Angreifer auszuschließen. Die Auflistung weiterer Sicherheitsvorfälle ließe sich an dieser Stelle problemlos fortführen. 

Der Europäische Datenschutzbeauftragte hat die Kommission jetzt zu geeigneten Maßnahmen aufgefordert, damit die Verwendung von Microsoft 365 den geltenden Datenschutzregeln entspricht. Dabei geht es nicht nur darum, sicherzustellen, dass die Daten für festgelegte und hinreichende Zwecke verarbeitet werden, sondern auch um die Umsetzung von Maßnahmen zur Gewährleistung des Datenschutzniveaus. Diese erfordern eine gründliche Überprüfung der vorhandenen Systeme und gegebenenfalls die Umstellung auf Lösungen, die den höchsten Datenschutzstandards gerecht werden.

Die Enthüllungen werfen grundsätzlich ernste Fragen über die Einhaltung der DSGVO-Vorschriften innerhalb der Europäischen Kommission auf. Wenn selbst die Institutionen, die für die Überwachung der Umsetzung der DSGVO in der EU verantwortlich sind, Schwierigkeiten haben, diese Vorschriften einzuhalten – welche Konsequenzen hat das in Zukunft für den Datenschutz in Europa?

Digitale Souveränität – Ein kritischer Blick auf die Europäische Union

Die Kontroverse um die Nutzung von Microsoft 365 durch die Europäische Kommission zeigt, dass die Verwendung von Cloud-Diensten nach wie vor mit erheblichen Datenschutzrisiken verbunden sein kann und unterstreicht die Notwendigkeit, den Datenschutz zu stärken. Hinzu tritt noch das sich aufdrängende und von der EU selbst proklamierte Verlangen nach digitaler Souveränität in Europa.

Die Idee der digitalen Souveränität ist in Europa zu einem zentralen Thema geworden, insbesondere angesichts der wachsenden Abhängigkeit von ausländischen Technologieunternehmen und der zunehmenden Bedrohung der digitalen Sicherheit. Doch auch wenn die EU die Bedeutung der digitalen Souveränität immer wieder betont, stellt sich die Frage: Ist die EU von ihrem eigenen Vorhaben so überzeugt, dass sie es auch in die Tat umsetzt? Die jüngsten Ereignisse scheinen hier eine andere Sprache zu sprechen. 

Zwar hat sich die Europäische Union in den letzten Jahren bemüht, Initiativen zur Förderung der digitalen Souveränität zu entwickeln. Dazu gehören Bemühungen, europäische Technologieunternehmen zu fördern, die digitale Infrastruktur zu stärken und Datenschutzstandards zu verbessern. Spürbare Erfolge scheinen trotz alledem auszubleiben.

Ein zentrales Problem ist und bleibt die anhaltende Abhängigkeit von ausländischen Technologieunternehmen, insbesondere aus den USA und China. Unternehmen wie Google, Amazon, Facebook und Alibaba dominieren weiterhin den europäischen Markt und sammeln enorme Mengen an Daten über europäische Bürgerinnen und Bürger. Diese Abhängigkeit birgt nicht nur Risiken für die digitale Sicherheit, sondern untergräbt auch Europas Fähigkeit, seine eigenen digitalen Interessen zu verteidigen. 

Darüber hinaus gibt es Bedenken hinsichtlich der Effektivität der EU-Initiativen zur Förderung der digitalen Souveränität. Viele dieser Initiativen bleiben hinter den Erwartungen zurück und erfüllen nicht das erforderliche Maß an Unterstützung und Umsetzung. Das wirft Zweifel an der Fähigkeit der Europäischen Union auf, ihre eigenen digitalen Ziele zu erreichen und ihre digitale Souveränität zu stärken.

Andreas E. Thyen, Verwaltungspräsident der LizenzDirekt AG und diplomierter Volkswirt, setzt sich seit Jahren für digitale Souveränität durch diverse Aktionen und Publikationen ein. Er sieht hier Anlass zur Kritik anlässlich der von der EU initiierten Projekte wie die EU-Cloud Gaia-X, bei der am Ende wieder die US-Giganten eine zentrale Rolle spielen. Gleichzeitig ruft er dazu auf, nicht nachzulassen: „Der jahrzehntelange Prozess hin zum ausschließlichen Konsum außereuropäischer Softwarelösungen gepaart mit dem Abbau eigener Kompetenzen lässt sich nicht einfach rückgängig machen. Wer aber nach wie vor unreflektiert und ohne erprobte Exit-Szenarien den anbieterseitig beworbenen Weg in zentrale Cloud-Services am besten noch gepaart mit KI folgt, wird definitiv sein Nachsehen haben. Umgekehrt kann jede einzelne in Europa verwirklichte Initiative helfen.“

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Ausblick – On-Premise-Software als mögliche Alternative

Eine Lösungsansatz für dieses Problem ist der verstärkte Einsatz von On-Premise-Software, die es Unternehmen ermöglicht, die Kontrolle über ihre Software und Daten zurückzugewinnen. 

Im Gegensatz zu reinen Cloud-Lösungen, bei denen die Daten auf Servern externer Anbieter gespeichert werden, erlaubt On-Premise-Software es Unternehmen, die Software auf ihren eigenen lokalen Servern oder Rechenzentren zu installieren und zu betreiben. Dadurch behalten Unternehmen die volle Kontrolle über ihre Daten und können sie gemäß ihren eigenen Sicherheitsrichtlinien verwalten. Sie bietet darüber hinaus eine höhere Datensouveränität, da die Daten innerhalb der Europäischen Union bleiben und somit den strengen Datenschutzstandards der DSGVO unterliegen.

Durch den Einsatz von gebrauchter Microsoft-Software, die meist in aktuellen Versionen verfügbar ist, können Unternehmen ihre IT-Investitionen optimieren und finanzielle Ressourcen für andere wichtige Bereiche freisetzen. Thyen ist davon überzeugt, dass auf diese Weise „ein entscheidender Beitrag geleistet und einer Verschärfung der Situation um die digitale Souveränität zumindest ein Stück weit entgegengewirkt werden kann.“ 

Andreas

E. Thyen

LizenzDirekt AG -

Präsident des Verwaltungsrats

Andreas E. Thyen ist Präsident des Verwaltungsrats der LizenzDirekt AG und bereits seit über 20 Jahren in führenden Positionen auf dem Gebrauchtsoftware-Markt tätig. Schwerpunkt seiner Tätigkeit war insbesondere die Klärung rechtlicher Fragestellungen. Er ist zudem ausgewiesener Experte für den Einsatz von gebrauchten Software-Lizenzen im Behördenmarkt. (Bildquelle: Lizenzdirekt)
Anzeige

Weitere Artikel

Datenschutz & GRC
Beyond the Cookie – Lösungsansätze für Marketingstrategien
Datenschutz & GRC
ProdHaftRL: Was umfasst die EU-Produkthaftungsrichtlinie?
Datenschutz & GRC
AI Act: KI-Managementsystem nach ISO 42001 zu empfehlen
Datenschutz & GRC
Verantwortlichkeit für die Umsetzung des Datenschutzes
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.