Neues aus Europa: EDSB-Prüfung Microsoft
Aktuelle Fragestellungen und Aufgabenschwerpunkte des Europäischen Datenschutzbeauftragten (EDSB)
Der Beitrag beschreibt die Rolle des EDSB auf Grundlage der EU-DSVO und fokussiert auf die Microsoft-365-Untersuchung zur Nutzung in EU-Organen, bei der der EDSB Datenschutzverstöße aufdeckte. Weiterhin geht der Text auf die wachsenden Herausforderungen durch neue Technologien, insbesondere durch Künstliche Intelligenz (KI) ein und beleuchtet die daraus resultierenden Aufgaben des EDSB. Auch die künftige Rolle des EDSB als Aufsichtsbehörde für EU-KI-Systeme wird hervorgehoben.
I. Der EDSB und die EU-DSVO
Der Europäische Datenschutzbeauftragte (EDSB) spielt eine zentrale Rolle in der Sicherstellung des Datenschutzes in der Europäischen Union (EU). Seit seiner Gründung 2004 beaufsichtigt der EDSB die Einhaltung der Datenschutzvorschriften durch Organe, Ämter und Agenturen der EU. Mit der Verabschiedung der Verordnung (EU) 2018/1725, der spezifischen Datenschutz-Verordnung für EU-Organe (EU-DSVO), hat sich das Aufgabenspektrum des EDSB erweitert.
Der EDSB ist als unabhängige Aufsichtsbehörde für die Überwachung der Einhaltung von Datenschutzvorschriften von derzeit 75 EU-Organen und -Einrichtungen zuständig, darunter auch bedeutende Institutionen wie die Europäische Kommission und Europol. Die Aufgaben des EDSB entsprechen denen nationaler Datenschutzbehörden und umfassen etwa Beratung, Technologievorausschau, Aufsicht und Zusammenarbeit mit nationalen Behörden.
Gemäß Art. 2 Abs. 3 findet die Datenschutz-Grundverordnung (DSGVO) keine Anwendung auf die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU: Stattdessen findet die EU-DSVO Anwendung. Während die EU-DSVO in vielen Punkten der DSGVO folgt, enthält sie zusätzliche Bestimmungen, die spezifisch auf die Bedürfnisse der EU-Organe zugeschnitten sind. Dazu gehören ausführlichere Regelungen zu Stellung und zu Aufgaben des Datenschutzbeauftragten sowie detailliertere Vorgaben zur Datenübermittlung an Drittländer. Die EU-DSVO übernimmt darüber hinaus Vorschriften zum Schutz der Vertraulichkeit der elektronischen Kommunikation auf der Grundlage der Datenschutzrichtlinie über die elektronische Kommunikation. Eine weitere markante Besonderheit sind die in Kapitel IX der EU-DSVO niedergelegten Regelungen für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen durch Agenturen und Ämter der Union im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit, die zu einem großen Teil die Bestimmungen der Polizei-Richtlinie replizieren.
Der EDSB ist darüber hinaus befugt, bei EU-DSVO-Verstößen durch die Organe und Einrichtungen der Union Geldbußen zu verhängen. Im Gegensatz jedoch zur DSGVO, in der Geldbußen andere aufsichtsbehördliche Abhilfebefugnisse ergänzen oder ersetzen können, genehmigt Artikel 66 EU-DSVO das Verhängen von Geldbußen ausschließlich nach Nichteinhaltung einzelner Abhilfebefugnisse. Darüber hinaus werden im Vergleich zur DSGVO niedrigere Höchststrafen festgelegt, die in der Regel 25.000 EUR pro Verstoß und 250.000 EUR pro Jahr nicht übersteigen dürfen. Nur bei Verstößen gegen grundlegende Verarbeitungsgrundsätze, Rechte betroffener Personen oder Vorschriften für die Übermittlung an Drittländer können Geldbußen von bis zu 50.000 EUR pro Vorfall und 500.000 EUR pro Jahr verhängt werden. Die Einnahmen aus verhängten Geldbußen kommen nicht unmittelbar dem EDSB zugute, sondern fließen in den Gesamthaushalt der Union ein.
Hervorzuheben ist, dass gemäß der Rechtsprechung des Europäischen Gerichtshofs (EuGH) die Bestimmungen der DSGVO und der EU-DSVO einheitlich auszulegen sind. In Erwägungsgrund 5 der EU-DSVO wird daneben ausdrücklich unterstrichen: „Soweit die Bestimmungen der vorliegenden Verordnung auf denselben Grundsätzen beruhen wie die der Verordnung (EU) 2016/679, sollten diese Bestimmungen der beiden Verordnungen unter Beachtung der Rechtsprechung des Gerichtshofs der Europäischen Union einheitlich ausgelegt werden, insbesondere da der Rahmen der vorliegenden Verordnung als dem Rahmen der Verordnung (EU) 2016/679 gleichwertig verstanden werden sollte.“ Angesichts dieses Erfordernisses einer einheitlichen Auslegung können Urteile der Unionsgerichte über die Anwendung der EU-DSVO daher regelmäßig wertvolle Orientierungshilfen für die Auslegung der DSGVO und der Polizei-Richtlinie bieten.
II. Die Datenschutzprüfung der Europäischen Kommission im Zusammenhang mit Microsoft 365
Im Mai 2021 leitete der EDSB eine Prüfung der Europäischen Kommission ein, die deren Nutzung von Microsoft 365 im Lichte des „Schrems II“-Urteils des EuGH bewertete. Die Untersuchung des EDSB berücksichtigt auch Erkenntnisse anderer Aufsichtsbehörden und deckte eine Reihe von Datenschutzverstößen seitens der Kommission auf, die die datenschutzrechtliche Konformität der Nutzung des Büro-Programmpakets Microsoft 365 infrage stellte.
1. EDSB-Prüfungsergebnis
Einer der zentralen Kritikpunkte des EDSB war, dass die Kommission es versäumt hatte, klar zu definieren, welche personenbezogenen Daten im Rahmen von Microsoft 365 verarbeitet und zu welchen spezifischen Zwecken diese Daten verwendet wurden. Stattdessen wurden allgemeine Formulierungen wie „laufende Verbesserung des Dienstes“ oder „Fehlerbehebung“ verwendet, die keine ausreichende Klarheit über die tatsächlich durchgeführten Verarbeitungstätigkeiten boten.
Ein weiterer Verstoß betraf die mangelnde Transparenz der Kommission bei der Übermittlung von Daten an Drittländer. Der EDSB stellte fest, dass die Kommission keine Übersicht über die Arten von Daten vorlegen konnte, die im Rahmen der Nutzung von Microsoft 365 verarbeitet und an Drittländer übermittelt wurden. Die Kommission räumte zwar ein, dass Datenübermittlungen in 74 Länder möglich seien, argumentierte jedoch, dass diese selten und begrenzt seien. Sie verwies auf zusätzliche Schutzmaßnahmen wie die EU-Datengrenze (engl. „EU data boundary“), die vorsieht, dass bestimmte Daten von EU-Nutzern grundsätzlich in der EU gespeichert werden sollen.
Der EDSB kritisierte jedoch, dass diese Schutzmaßnahmen lückenhaft seien und dass zahlreiche Datenübermittlungen etwa im Rahmen von Fehlerbehebungen oder Unterstützungsdienstleistungen durch Microsoft-Mitarbeiter außerhalb der EU eben nicht von der „EU Data Boundary“ erfasst würden. Zudem wies der EDSB darauf hin, dass die Kommission die tatsächlichen Datenflüsse nicht ausreichend dokumentiert hatte.
Die von der Europäischen Kommission implementierten technischen und organisatorischen Maßnahmen zum Schutz vor unbefugten Offenlegungen personenbezogener Daten wurden vom EDSB als ebenfalls unzureichend bewertet. Zwar hatte die Kommission Verschlüsselungs- und Pseudonymisierungsmaßnahmen eingeführt, jedoch stellte der EDSB fest, dass diese Maßnahmen in der Praxis keine ausreichende Sicherheit boten.
2. Beschluss des EDSB
Auf Grundlage der festgestellten Verstöße ergriff der EDSB mit Beschluss vom 8. März 2024 eine Reihe von Abhilfemaßnahmen, die die Europäische Kommission bis zum Dezember 2024 umsetzen muss. Zu den wichtigsten Maßnahmen gehören eine Verwarnung sowie:
- Aussetzung von Datenübermittlungen in unsichere Drittländer
Der EDSB ordnete die Aussetzung von Datenübermittlungen an, die sich aus der Nutzung von Microsoft 365 ergeben, an Microsoft sowie an dessen verbundene Unternehmen und Unterauftragsverarbeiter in Drittländern, die nicht von einem Angemessenheitsbeschluss erfasst sind. - Klarstellen der Daten und Verarbeitungszwecke
Die Kommission wurde angewiesen, die Verarbeitungsvorgänge in Einklang mit der EU-DSVO zu bringen und insbesondere die erhobenen personenbezogenen Daten und die Zwecke der Verarbeitung im Zusammenhang mit der Nutzung von Microsoft 365 zu spezifizieren. Dies umfasst die Erstellung einer Übersicht über alle Datenverarbeitungen und die Festlegung, welche Daten zu welchen Zwecken verarbeitet werden. - Ergreifung wirksamerer Maßnahmen zum Schutz vor unbefugten Offenlegungen
Die Kommission muss ihre Sicherheitsmaßnahmen insbesondere im Hinblick auf Verschlüsselung und Zugriffskontrollen überprüfen und sicherstellen, dass der Zugriff auf personenbezogene Daten durch Dritte einschließlich Behörden in Drittländern verhindert oder zumindest kontrolliert wird. - Überprüfung der Vertragsbedingungen mit Microsoft
Die Kommission wurde aufgefordert, ihre vertraglichen Vereinbarungen mit Microsoft anzupassen um sicherzustellen, dass diese den Anforderungen der EU-DSVO entsprechen.
3. Reaktionen der Kommission und von Microsoft
Sowohl die Europäische Kommission als auch Microsoft haben gegen den Beschluss des EDSB Klagen erhoben. Sie bestreiten nicht nur die Feststellungen des EDSB, sondern auch dessen Verständnis der datenschutzrechtlichen Verpflichtungen und der Beweislast im Rahmen der Prüfung.
Die zukünftigen Urteile des Gerichts in diesen Klageverfahren werden wichtige Fragen klären können, die nicht nur für diesen speziellen Fall, sondern auch für zukünftige Prüfungen und die Aufsichtstätigkeit des EDSB im Allgemeinen von Bedeutung sind.
III. Tätigkeitsschwerpunkte des EDSB im Bereich Datenschutz
Neben seiner Aufsichtsfunktion berät der EDSB gemäß Artikel 42 EU-DSVO die Europäische Kommission, das Europäische Parlament und den Rat als Mitgesetzgeber zu Legislativvorschlägen. Die zahlreichen Antworten und Stellungnahmen des EDSB betrafen Datenschutzaspekte insbesondere zu neuen Gesetzgebungsvorschlägen in den Bereichen Justiz und Inneres sowie Künstliche Intelligenz (KI). Zudem veröffentlicht der EDSB regelmäßig Berichte zu technologischen Entwicklungen, die den Datenschutz betreffen, wie beispielsweise der TechSonar-Bericht und der TechDispatch.
Die wachsende Nutzung von Cloud-Diensten und die zunehmende Verlagerung von Daten in internationale Kontexte stellen den EDSB vor neue Herausforderungen. Die zunehmende massive Verarbeitung operativer Daten durch Strafverfolgungsbehörden wie Europol und Eurojust ist ebenso ein Bereich, der weiterhin von besonderer Brisanz ist, was den EDSB u.a. dazu bewog, beim Gericht der EU die Nichtigerklärung von zwei Bestimmungen der 2022 geänderten Europol-Verordnung zu beantragen.
IV. Künstliche Intelligenz: der EDSB als Marktaufsichtsbehörde
Der Schutz personenbezogener Daten bei der Nutzung von KI-Technologien ist von zentraler Bedeutung. Anfang 2024 veröffentlichte der EDSB einen Leitfaden zu Datengrundsätzen bei der Anwendung von generativer KI.
Mit der Einführung der KI-Verordnung hat der EDSB eine zusätzliche Rolle als Aufsichtsbehörde für KI-Systeme in den EU-Organen übernommen. Der EDSB hat diesbezüglich eine Strategie entwickelt, die sicherstellen soll, dass EU-Organe den datenschutzrechtlichen Anforderungen bei der Implementierung von KI gerecht werden. Ein zentraler Punkt dieser Strategie ist die Ernennung eines „KI-Ansprechpartners“ in den EU-Organen. Daneben ist es aus Sicht des EDSB unverzichtbar, dass die behördlichen Datenschutzbeauftragten in jedem Fall so früh wie möglich beteiligt werden müssen, wenn Behörden beabsichtigen, KI-Systeme zu entwickeln oder zu nutzen, die personenbezogene Daten verarbeiten.
Fazit
Dem EDSB kommt eine zentrale Rolle bei der Durchsetzung der EU-Datenschutzvorschriften gegenüber den EU-Organen zu. Die Prüfung der Nutzung von Microsoft 365 durch die Europäische Kommission zeigt, wie wichtig der Schutz personenbezogener Daten in einer digitalisierten und global vernetzten Welt ist. Der EDSB sieht sich angesichts komplexer neuer Technologien wie Cloud-Diensten und KI großen Herausforderungen gegenüber, die eine ständige Anpassung und Weiterentwicklung seiner Aufsicht erfordern. Insbesondere seine neue Rolle als Marktaufsichtsbehörde für KI-Systeme verdeutlicht die Bedeutung der Datenschutzkonformität im öffentlichen Bereich und zeigt, dass Datenschutz im Kontext neuer Technologien stetige Aufmerksamkeit erfordert.
