Die Europäische Kommission – Wächterin über Datenschutzgesetze – steht selbst in der Kritik: Ein Bericht zeigt, dass sie bei der Verwendung von Microsoft 365 gegen ihre eigenen DSGVO-Vorgaben verstoßen hat. Was bedeutet dieser Vorfall für europäische Unternehmen? Und wie lassen sich ähnliche Fehler in der Praxis vermeiden?
Wenn der Gesetzgeber selbst stolpert: Der Fall Microsoft 365 und die EU-Kommission
Im Frühjahr 2024 veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) einen Untersuchungsbericht, der für Aufsehen sorgte: Die Europäische Kommission hat bei der Nutzung von Microsoft 365 gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Konkret kritisierte der EDSB mangelnde Transparenz, unklare Datenflüsse und fehlende Garantien für die Einhaltung des europäischen Datenschutzniveaus.
In dem 43-seitigen Bericht wurde festgehalten, dass Microsoft als Auftragsverarbeiter nicht ausreichend kontrolliert wurde. Problematisch war auch, dass Daten unter Umständen in Drittstaaten außerhalb der EU übertragen wurden – darunter die USA, obwohl der EuGH zuvor mit dem Schrems II-Urteil das Privacy Shield-Abkommen für unzulässig erklärt hatte. Die EU-Kommission hätte demnach keine ausreichenden Schutzmechanismen implementiert, um die Datenverarbeitung rechtmäßig zu gestalten.
Ein Sprecher des EDSB fasste es zusammen: „Die Kommission hat als Vorbildfunktion versagt.“
Die Lehren aus dem Fall: Was Unternehmen daraus mitnehmen müssen
Der Vorfall hat eine besondere Tragweite, da die EU-Kommission selbst als höchste Instanz zur Umsetzung der DSGVO gilt. Unternehmen und Behörden sehen sich vor einem Dilemma: Wenn selbst Brüssel Schwierigkeiten hat, Microsoft 365 DSGVO-konform zu implementieren – wie sollen es dann mittelständische Firmen oder Kommunalverwaltungen schaffen?
Zunächst einmal zeigt der Fall deutlich: Der Einsatz von cloudbasierten Tools aus den USA ist nicht automatisch illegal, aber es braucht genaue Prüfungen, Nachverhandlungen und transparente Datenvermittlungsverträge (DPAs – Data Processing Agreements). Fehlende Standardvertragsklauseln, unzureichende TOMs (Technische und organisatorische Maßnahmen) oder unklare Zuständigkeiten sind ein schwerwiegendes Risiko.
Ein Bericht von Gartner aus dem Jahr 2024 zeigt, dass rund 88 % der europäischen Unternehmen Cloud-Dienste von US-Anbietern einsetzen. Davon wiederum geben nur 43 % an, ihre Anbieter regelmäßig datenschutzrechtlich zu überprüfen (Quelle: Gartner Cloud Compliance Europe Report 2024).
Rechtliche Grauzonen: Cloud-Tools, Drittstaatentransfers und der Data Privacy Framework
Im Juli 2023 trat das neue EU-U.S. Data Privacy Framework in Kraft – ein Abkommen, das einen neuen rechtlichen Rahmen für Datenübermittlungen in die USA schaffen soll. Doch es bleibt umstritten. Datenschutzaktivisten, darunter Max Schrems und NOYB, kritisieren das Abkommen als weitgehend kosmetisch und haben bereits Klagen angekündigt. Für Unternehmen bedeutet das: Die rechtliche Lage könnte sich innerhalb kurzer Zeit erneut verändern.
Zudem ist das Abkommen nur bindend, wenn US-Unternehmen explizit zertifiziert sind. Microsoft zählt dazu, doch die konkrete Umsetzung ihrer Rolle als (gemeinsamer) Verantwortlicher insbesondere in Behördenstrukturen bleibt intransparent. Die Kommission selbst hatte laut EDSB keine hinreichenden Mittel implementiert, um ihre vertraglichen Datenschutzpflichten durchzusetzen.
Im Klartext: Unternehmen müssen individuelle technische, vertragliche und organisatorische Maßnahmen treffen – unabhängig von Rahmenabkommen.
Technische und organisatorische Maßnahmen: Was IT-Verantwortliche jetzt tun sollten
Compliance beginnt im Detail. Die DSGVO fordert von Verantwortlichen, dass sie die Datenverarbeitung jederzeit transparent, nachvollziehbar und sicher gestalten. Bei Cloud-Diensten bedeutet das eine saubere Dokumentation, klare Rollenverteilungen und die kontinuierliche Kontrolle externer Dienstleister. Setzen Sie besonders bei US-Anbietern auf zusätzliche technische Maßnahmen wie Verschlüsselung mit eigenen Schlüsseln (BYOK – Bring Your Own Key) oder anonymisierte Datensätze für geringe Schutzbedarfe.
- Etablieren Sie interne Prüfverfahren für Drittland-Datenübermittlungen, insbesondere bei Nutzung von SaaS-Anwendungen (z. B. M365, Google Workspace).
- Verhandeln Sie individuelle Datenschutzverträge mit Anbieterzusicherungen bzgl. ISO-27001-Zertifizierungen und konkreter TOMs.
- Führen Sie regelmäßige Datenschutz-Folgeabschätzungen (DSFA) durch, insbesondere bei produktiven Cloud-Diensten.
Laut Bitkom Compliance Monitor 2024 werden diese Maßnahmen branchenübergreifend noch stark vernachlässigt: Nur 38 % der deutschen Unternehmen dokumentieren aktiv Datenflüsse mit externen Dienstleistern.
Zukünftige Herausforderungen: KI, Automatisierung und souveräne Cloud-Initiativen
Der Fall Microsoft 365 ist auch ein Weckruf im Hinblick auf neue Technologien: Mit der zunehmenden Integration von KI-gestützten Tools steigen auch die Anforderungen an Datenschutz, erklärbare Algorithmen und rechtskonforme Verarbeitung. Microsoft etwa hat mit „Copilot for Microsoft 365“ eine KI-Funktion eingeführt, die auf E-Mails, Dokumente und Kalendereinträge zugreifen kann. Selbst wenn diese Funktion lokal eingebunden ist – ohne aktive Kontrolle der Datenflüsse ist ein DSGVO-konformer Einsatz fraglich.
Europa reagiert auch politisch: Initiativen wie „European Cloud Federation“, „Gaia-X“ oder die jüngst von Frankreich, Deutschland und Italien unterstützte „European Sovereign Cloud“ sollen Alternativen zu US-Anbietern schaffen. Doch marktreif ist bislang kein Großprojekt – die Abhängigkeit bleibt bestehen.
Fazit: Datenschutz braucht Verbindlichkeit – auch in Brüssel
Der Verstoß der EU-Kommission gegen die DSGVO ist mehr als ein politisches Ärgernis: Er zeigt strukturelle Schwächen in der digitalen Souveränität Europas. Wer Datenschutz ernst nimmt, muss Transparenz, Kontrolle und Rechtsklarheit bei Cloud-Tools fordern – nicht nur als Behörde, sondern auch als Unternehmen.
Der Weg zu einem datenschutzkonformen Einsatz von Microsoft 365 & Co ist nicht unmöglich, aber er verlangt Aufwand, Fachwissen und klare Prozesse. Der Fall sollte als Anlass dienen, die eigene Cloud-Strategie zu überprüfen: Von den Vertragsbedingungen bis zur technischen Architektur.
Wie geht Ihr Unternehmen mit der Herausforderung um? Welche Tools setzen Sie vertrauensvoll ein – und wo sehen Sie noch Handlungsbedarf? Diskutieren Sie mit uns in den Kommentaren und teilen Sie Ihre Erfahrungen mit der Community!
