Europäische Kommission wegen Einsatz von Microsoft 365 in der Kritik

Derzeit steht die EU-Kommission im Fokus einer hitzigen Datenschutzdebatte, weil sie Microsoft 365 für ihre interne Zusammenarbeit und Kommunikation einsetzt. Diese Nutzung sei rechtswidrig und verstoße gegen die Datenschutzgrundverordnung (DSGVO) – stellt der Europäische Datenschutzbeauftrage (EDPS) fest. In seinem Bericht zeigt er auf, dass die hohen Datenschutzstandards, die für Einrichtungen, Organe und sonstige Stellen der europäischen Union gelten, beim Einsatz von Microsoft 365 in der EU-Kommission nicht eingehalten werden.

In Artikel 4 Nr. 7 der DSGVO definiert sich die Rolle der EU-Kommission als verantwortliche Stelle für die Verarbeitung personenbezogener Daten. Artikel 5 legt fest, dass diese Verarbeitung rechtmäßig und transparent erfolgen muss. Außerdem müssen dabei die Rechte der Betroffenen gewahrt bleiben. Die EU-Kommission hat in ihrem Vertrag mit Microsoft jedoch nicht hinreichend erklärt, welche Arten von personenbezogenen Daten für welche Zwecke im Rahmen von M365 gesammelt werden. Vor allem aber kann sie kein angemessenes Schutzniveau für die Daten gewährleisten, die in Drittländer übertragen werden. Als verantwortliche Stelle für die Datenverarbeitung ist die EU-Kommission in der Pflicht dafür zu sorgen, dass personenbezogene Daten aus ihrem Verantwortungsbereich bei einer Verarbeitung durch beauftragte Anbieter wie Microsoft außerhalb des europäischen Wirtschaftsraums einen vergleichbaren Datenschutz genießen wie innerhalb.

Wiederholte Sicherheitsvorfälle bei Microsoft

Die Verstöße gegen die DSGVO sind nicht die einzige Kritik am Einsatz von Microsoft 365. Schließlich kam es beim US-Software-Riesen in der Vergangenheit wiederholt zu schwerwiegenden Sicherheitsvorfällen. So waren 2022 in Folge von Cyberangriffen personenbezogene Daten von zehntausenden Microsoft-Kunden öffentlich zugänglich. Der Super-GAU aber passierte 2023, als sich Microsoft einen Signaturschlüssel von Cyberkriminellen stehlen ließ. Dieser versetzte die Hacker in die Lage, Zugangsberechtigungen für Outlook.com und Outlook Web Access zu erstellen. Auch noch im März dieses Jahres kommt es täglich zu unbefugten Zugriffen auf Microsoft-Systeme durch die Hackergruppe „Midnight Blizzard“. Scheinbar gelingt es Microsoft nicht, für effektiven Schutz zu sorgen. Vor diesem Hintergrund ist es nur schwer nachvollziehbar, dass die EU-Kommission an M365 festhält.

Ein Armutszeugnis für den Datenschutz in Europa

Immerhin hat der Europäische Datenschutzbeauftragte die EU-Kommission jetzt dazu aufgefordert, den Einsatz von Microsoft 365 DSGVO-konform zu gestalten. Zum einen muss die Kommission sicherstellen, dass die Verarbeitung der gesammelten personenbezogenen Daten für festgelegte und hinreichende Zwecke erfolgt. Zum anderen muss sie Maßnahmen umsetzen, um das Datenschutzniveau zu gewährleisten. Dafür ist es erforderlich, die vorhandenen Systeme gründlich zu überprüfen. Gegebenenfalls kann es nötig sein, auf alternative Lösungen umzusteigen, die den geforderten Datenschutzstandards entsprechen. Trotzdem bleiben ein schaler Beigeschmack und ernste Besorgnis. Wenn selbst die EU-Kommission nicht in der Lage ist, die DSGVO einzuhalten – obwohl sie ja eigentlich für deren Überwachung und Umsetzung verantwortlich ist – welche Zukunft hat dann der Datenschutz in Europa?

Einsatz von Microsoft-Software gefährdet digitale Souveränität

Die Kontroverse um den Microsoft-365-Einsatz in der EU-Kommission zeigt, wie wichtig es ist, den Datenschutz zu stärken. Gerade im Hinblick auf Cloud Services wie Microsoft 365 kommt noch ein anderes Risiko hinzu: der drohende Verlust der digitalen Souveränität in Europa. Während wir immer abhängiger von ausländischen Technologieunternehmen werden, steht unsere digitale Sicherheit und Selbstbestimmung auf dem Spiel. Doch obwohl die EU die digitale Souveränität zu einem zentralen Thema macht, handelt sie selbst nicht danach – wie die jüngsten Ereignisse zeigen. Zwar gibt es Initiativen zur Förderung europäischer Technologieunternehmen. Bisher bringen diese aber keinen spürbaren Erfolg. Nach wie vor dominieren Anbieter aus den USA und China wie Google, Amazon, Facebook und Alibaba den europäischen Markt und sammeln Unmengen an Daten europäischer Anwender. Selbst bei der EU-Cloud Gaia-X mischen die US-Giganten mit. Indem sich Europa immer tiefer in die Abhängigkeit begibt, verliert es die Fähigkeit, seine eigenen digitalen Interessen zu wahren. Es dürfte schwer sein, den jahrzehntelangen Prozess wieder rückgängig zu machen, der zum ausschließlichen Konsum außereuropäischer Software-Lösungen und zum Abbau eigener Kompetenzen geführt hat. Doch Unternehmen und Behörden haben es selbst in der Hand, die Abhängigkeit nicht noch weiter zu verstärken. Wer ohne erprobte Exit-Szenarien in die Cloud wechselt und unreflektiert entsprechende KI Services einsetzt, geht hohe Risiken ein.

On-Premises-Software für mehr Unabhängigkeit und Datenschutz

Eine Möglichkeit, wieder mehr Kontrolle über Software und Daten zu gewinnen, ist der verstärkte Einsatz von On-Premises-Lösungen. Indem Unternehmen und Behörden Software nicht als Cloud Service mieten, sondern kaufen und auf lokalen Servern betreiben, können sie ihre eigenen Sicherheitsrichtlinien umsetzen und für die Einhaltung der DSGVOverstärkt selbst sorgen. Wer Microsoft-Software gebraucht erwirbt, spart zudem erhebliche Kosten. Meist sind bereits aktuelle Versionen auf dem Sekundärmarkt verfügbar. So können Unternehmen und Behörden finanzielle Ressourcen für andere wichtige Projekte freisetzen und die digitale Abhängigkeit mindern.