Am 28. Juli 2025 veröffentlichte der Europäische Datenschutzbeauftragte (EDPS) eine bemerkenswerte Mitteilung: Die Europäische Kommission hat ihre Nutzung von Microsoft 365 an die Datenschutzanforderungen gemäß Verordnung (EU) 2018/1725 angepasst. Diese Entwicklung markiert den erfolgreichen Abschluss eines mehrjährigen Prüfverfahrens und zeigt, dass auch große Institutionen den Spagat zwischen Cloud-Nutzung und Datenschutzvorgaben meistern können – sofern der Wille zur Zusammenarbeit vorhanden ist.
Datenschutzbedenken bei Microsoft 365
Bereits 2021 hatte der EDPS ein förmliches Untersuchungsverfahren zur Nutzung von Microsoft 365 durch die EU-Kommission eingeleitet. Die Entscheidung vom März 2024 offenbarte mehrere Verstöße, insbesondere im Hinblick auf:
- Zweckbindung bei der Verarbeitung personenbezogener Daten
- Internationale Datenübermittlungen
- Offenlegungspflichten gegenüber Drittländern
Infolgedessen verhängte der EDPS Korrekturmaßnahmen und forderte die Kommission auf, ihre Datenverarbeitungspraxis anzupassen.
Die Kommission hat geliefert – und Microsoft ebenfalls
Nach eingehender Prüfung des Compliance-Berichts vom Dezember 2024 sowie weiterer Klarstellungen, insbesondere im Schreiben der Kommission vom 3. Juli 2025, erklärte der EDPS am 11. Juli 2025 offiziell: Die identifizierten Verstöße wurden behoben.
Wesentliche Anpassungen im Überblick
1. Zweckbindung:
Die Kommission hat nun klar definiert, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden. Microsoft sowie alle Subunternehmer sind vertraglich, technisch und organisatorisch verpflichtet, Daten nur auf dokumentierte Anweisung und ausschließlich im öffentlichen Interesse zu verarbeiten.
2. Drittlandübermittlungen:
Internationale Datentransfers erfolgen nur noch im Rahmen von Artikel 47 der Verordnung, gestützt durch vertragliche Vereinbarungen, technische Sicherheitsmaßnahmen und – falls nötig – Ausnahmeregelungen gemäß Artikel 50. Die Transfers sind auf im Vertrag benannte Empfänger und legitime Zwecke begrenzt.
3. Offenlegung und Transparenz:
Neue Vertragsklauseln stellen sicher, dass nur Gesetze der EU oder ihrer Mitgliedstaaten Microsoft oder dessen Subprozessoren verpflichten dürfen, Informationen zurückzuhalten oder Daten offenzulegen. Für Daten außerhalb des EWR gilt dies nur, wenn das betreffende Drittland ein vergleichbares Datenschutzniveau aufweist.
Was bedeutet das für andere EU-Institutionen?
Die Kommission hat ihre überarbeiteten Microsoft 365-Vertragsbedingungen auch anderen EU-Institutionen, Agenturen und Einrichtungen (EUIs) zur Verfügung gestellt. Der EDPS ruft diese ausdrücklich dazu auf, eigene Bewertungen vorzunehmen und ähnliche technische und organisatorische Maßnahmen umzusetzen.
Ein Meilenstein für Datenschutz und Cloud-Nutzung in der EU
Der Abschluss des Verfahrens ist nicht nur ein Erfolg für die Kommission, sondern auch ein deutliches Signal: Datenschutz und moderne Cloud-Technologien wie Microsoft 365 schließen sich nicht aus – wenn beide Seiten an einem Strang ziehen. Die Rolle des EDPS als unabhängige Kontrollinstanz war dabei ebenso entscheidend wie die Bereitschaft der Kommission zur Nachbesserung – und letztlich auch Microsofts Kooperationsbereitschaft.
Brauchen Sie Unterstützung oder haben Sie Fragen, können Sie jederzeit auf uns zukommen.
Sie möchten stets über die aktuellen Trends in der IT Welt informiert werden und kein BTC Event oder Webinar mehr verpassen? Dann melden Sie sich gerne zu unserem Newsletter an.
Quelle: European Commission brings use of Microsoft 365 into compliance with data protection rules for EU institutions and bodies | European Data Protection Supervisor