Kanzlei Dr. Bahr
Navigation
Kategorie: Datenschutzrecht

EU-Datenschutzbeauftragter: EU-Kommission verstößt mit Einsatz von Microsoft 365 gegen DSGVO

Die EU-Kommission hat bei Nutzung von Microsoft 365 gegen DSGVO-Regeln verstoßen.

Der Europäische Datenschutzbeauftragte teilt in einer aktuellen Pressemitteilung mit, dass die Europäische Kommissionbei der Nutzung von Microsoft 365 gegen mehrere wichtige Regelungen der DSGVO verstoßen hat.

Im Mittelpunkt stehen zwei Vorwürfe: Erstens habe die EU-Kommission eine unsichere Datenübermittlung in ein Drittland nicht unterbunden. Und zweitens sei nicht ermittelt worden, welche Daten genau erhoben werden:

“In particular, the Commission has failed to provide appropriate safeguards to ensure that personal data transferred outside the EU/EEA are afforded an essentially equivalent level of protection as guaranteed in the EU/EEA Furthermore, in its contract with Microsoft, the Commission did not sufficiently specify what types of personal data are to be collected and for which explicit and specified purposes when using Microsoft 365. The Commission’s infringements as data controller also relate to data processing, including transfers of personal data, carried out on its behalf.”

Konsequenz dieser Verstöße ist nun, dass der EU-Datenschutzbeauftragte mit Wirkung zum 09.12.2024 der EU-Kommission zahlreiche Abhilfemaßnahmen auferlegt hat. Es handelt sich dabei um einen umfangreichen Katalog, der im Anhang zur Pressemitteilung abgedruckt ist.

“The EDPS has therefore decided to order the Commission, effective on 9 December 2024, to suspend all data flows resulting from its use of Microsoft 365 to Microsoft and to its affiliates and sub-processors located in countries outside the EU/EEA not covered by an adequacy decision. The EDPS has also decided to order the Commission to bring the processing operations resulting from its use of Microsoft 365 into compliance with Regulation (EU) 2018/1725. The Commission must demonstrate compliance with both orders by 9 December 2024.”

Anmerkung von RA Dr. Bahr:

Diese aktuelle Entscheidung zeigt deutlich die Ambivalenz des gesamten Datenschutzrechts.

Denn die EU-Kommission verstößt selbst gegen die Regeln der DSGVO. Praktische Konsequenz: Sie muss (nur) nachbessern, muss aber nicht wie jedes privatwirtschaftliche Unternehmen DSGVO-Bußgelder fürchten, weil es diese im öffentlichen Bereich eben nicht gibt.

Man darf gespannt sein, wie die Europäische Kommission die Forderungen des Europäischen Datenschutzbeauftragten umsetzen will. 

Beispielweise lautet eine Pflicht.

“to order the Commission, under Article 58(2)(j) of Regulation (EU) 2018/1 725 and with effect from 9 December 2024, to suspend all data flows resulting from its use of Microsoft 365 to Microsoft and to its affiliates and sub-processors, located in third countries not covered by an adequacy decision as referred to in Article 47(1) of the Regulation, and to demonstrate the effective implementation of such suspension (infringements setoutin paragraphs 3.a and b, first indent, and 4 below)”

Eine andere:

carrying out a transfer-mapping exercise identifying what personal data are transferred to which recipients in which third countries, for which purposes and subject to which safeguards, including an onward transfers (infringements listed in paragraph 3.a and b, first indent, below);”

Ob die EU-Kommission hier die notwendigen Informationen von Microsoft bekommen wird?

Zurück zu den Artikeln

Rechts-News durch­suchen

VG Düsseldorf: Vorzeitige Datenlöschung nach Werbe-E-Mail verhindert vollständige DSGVO-Auskunft = DSGVO-Verstoß

Datenschutzrecht
17. Februar 2026
Löscht ein Unternehmen Daten vor vollständiger DSGVO-Auskunft, verstößt es gegen die DSGVO und riskiert eine Verwarnung oder ein Bußgeld.
ganzen Text lesen

EuG: WhatsApp kann gegen Beschluss des Europäischen Datenschutzausschusses klagen

Datenschutzrecht
11. Februar 2026
WhatsApp darf den EDSA-Beschluss (Europäischer Datenschutzausschuss) direkt anfechten.
ganzen Text lesen

OLG Naumburg: Datenerhebung durch "Meta Business Tools" datenschutzwidrig + 1.200,- EUR DSGVO-Schadensersatz

Datenschutzrecht
09. Februar 2026
Meta muss wegen rechtswidriger Datenerfassung über seine Business Tools Schadensersatz zahlen und die Datennutzung umfassend einstellen.
ganzen Text lesen

OLG Dresden: Datenerhebung durch "Meta Business Tools" datenschutzwidrig + 1.500,- EUR DSGVO-Schadensersatz

Datenschutzrecht
05. Februar 2026
Meta muss Nutzern wegen DSGVO-Verstoß durch seine Business-Tools je 1500 ,- EUR DSGVO-Schadensersatz zahlen und die Datenverarbeitung stoppen.
ganzen Text lesen

Rechts-News durchsuchen