Die EU-Kommission war eine der treibenden Kräfte hinter der Datenschutzgrundverordnung (DSGVO), die seit 2018 über weite Strecken die Verarbeitung personenbezogener Daten regelt. Doch gerade die Kommission selbst verstößt im Bereich des Datenschutzes gegen ihre eigenen Regeln. Zu diesem Ergebnis kommt der EU-Datenschutzbeauftragte (EDPS) nach einer drei Jahre dauernden Untersuchungen.
Konkret geht es laut EDPS um Verstöße gegen die EU-Richtlinie 2018/1.725. Diese überträgt die Regeln der DSGVO auf alle Institutionen der EU – und damit eben auch auf die EU-Kommission. Ein zentrales Element der Datenschutzregeln der EU ist der Schutz von personenbezogenen Daten, wenn diese in Staaten außerhalb der EU übertragen werden.
Hinter eigenen Regeln zurückgeblieben
Die Frage wird nicht zuletzt dann schlagend, wenn Softwareunternehmen wie Microsoft und Google ihre Dienste zunehmend in die Cloud verlagern und gleichzeitig ihre Server auch außerhalb der EU betreiben. Die EU-Datenschutzregeln sehen vor, dass Unternehmen, aber auch öffentliche Institutionen sichergehen, dass die von ihnen genutzte Software nicht gegen die Richtlinien verstößt. Genau daran könnte nun aber gerade die EU-Kommission gescheitert sein – und hätte dann gegen ihre eigenen Regularien verstoßen.
Die Kommission habe nur ungenügend darauf geachtet, dass personenbezogene Daten, die in Länder außerhalb der EU übermittelt werden, den gleichen Schutz genießen wie in der EU, heißt es in einer Pressemitteilung des EDPS von Montag. „Außerdem hat die Kommission in ihrem Vertrag mit Microsoft nicht hinreichend festgelegt, welche Arten personenbezogener Daten zu welchen ausdrücklichen und spezifizierten Zwecken bei der Nutzung von Microsoft 365 gesammelt werden“, so die EDPS-Aussendung weiter.
Nicht nur Einzelfälle
Laut dem Datenschutzbeauftragten sind viele der Verstöße keine Einzelfälle, sondern betreffen „alle Datenprozesse der Kommission“ bei der Nutzung von Microsoft 365. Der Nachfolger des früher unter dem Namen Office bekannten Softwarepakets von Microsoft umfasst Programme wie das Mailprogramm Outlook, die Textverarbeitung Word und das Tabellenprogramm Excel. Die Programme stehen den Nutzerinnen und Nutzern nicht nur als installierte Anwendungen, sondern auch als Onlineversionen zur Verfügung. Darin liegt freilich auch die Herausforderung für den Datenschutz.
Es liege in der Verantwortung der EU-Institutionen, „dass jede Verarbeitung personenbezogener Daten außerhalb und innerhalb der EU und des Europäischen Wirtschaftsraums, auch im Zusammenhang mit Cloud-basierten Diensten, mit stabilen Datenschutzgarantien und -maßnahmen einhergeht“, so der Datenschutzbeauftragte Wojciech Wiwieorowski in der Aussendung.
Der Datenschutzbeauftragte, der als unabhängige Kontrollbehörde der EU fungiert, setzte der Kommission eine Frist bis 9. Dezember. Bis dahin müssten alle Datenströme datenschutzkonform ablaufen oder unterbunden werden.
Kommission will analysieren
Die Kommission ließ am Montag wissen, dass sie die Begründung im Detail analysieren müsse, bevor sie eine Entscheidung über Folgemaßnahmen treffe. Man sei aber „zuversichtlich“, die Datenschutzregeln „sowohl in tatsächlicher als auch in rechtlicher Hinsicht“ einzuhalten. Seit Beginn der Untersuchung vor drei Jahren habe die Kommission „umfassend“ mit dem Datenschutzbeauftragten zusammengearbeitet und bereits „verschiedene Verbesserungen vorgenommen“.
Sorge um Einsatz von IT-Diensten
Zugleich ließ die Kommission aber durchklingen, dass streng ausgelegter Datenschutz auch Probleme mit sich bringen könnte. „Die Befolgung des EDPS-Beschlusses dürfte leider das derzeitige hohe Niveau der mobilen und integrierten IT-Dienste untergraben. Dies gilt nicht nur für Microsoft, sondern möglicherweise auch für andere kommerzielle IT-Dienste“, so die Kommission.
Mit anderen Worten: Wird der EU-Datenschutz streng ausgelegt, könnte das so manche Software nur noch im eingeschränkten Rahmen nutzbar machen. Das war freilich schon eine Befürchtung so mancher Unternehmen, als die Datenschutzgrundverordnung in Kraft trat – vor mittlerweile sechs Jahren.