EU-Kommission stellt Schutz sensibler Behördendaten auf dünnes Eis

Eine E-Mail über Outlook verschicken, eine Tabelle mit Excel erstellen oder die nächste Präsentation mit PowerPoint – die Anwendungen von Microsoft 365 nutzen viele Mitarbeiter*innen in Behörden selbstverständlich und vertrauen dem US-amerikanischen Tech-Konzern damit Daten über interne Vorgänge der EU an, etwa Inhalte aus E-Mails oder Präsentationen. Doch wie schützt Microsoft diese Behördendaten? Und vor allem: Wer kontrolliert, wie Microsoft mit den Daten umgeht?

Gute Kundin für Microsoft 365 ist die öffentliche Verwaltung auf EU-Ebene, etwa die Europäische Kommission. Die Behörde beschäftigt 32.860 Mitarbeiter*innen, also eine ganze Menge Nutzer*innen von Microsofts Büro-Software. Das bedeutet eine Menge Daten – und Verantwortung, diese Daten zu schützen. In einem mehrjährigen Verfahren musste die Kommission belegen, dass das gelingt.

Nun hat der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski das dazugehörige Verfahren abgeschlossen. Mitte Juli bescheinigte er der Kommission die „Datenschutzkonformität bei der Nutzung von Microsoft 365“. In einem Brief an die Generaldirektorin Veronica Gaffey stellte er fest:

Die Kommission hat nun die Kontrolle darüber, was bei der Nutzung der Microsoft 365-Dienste geschieht. Dies ist das Ergebnis zusätzlicher vertraglicher, technischer und organisatorischer Maßnahmen, die in Zusammenarbeit mit Microsoft umgesetzt wurden oder geplant sind.

Ein Grund zur Entwarnung ist das aber nicht. Ein Blick auf die Gesamtsituation zeigt: Nach wie vor gibt es Grund für ernste Bedenken beim Schutz sensibler Behördendaten. Sie fallen bloß nicht mehr in die Zuständigkeit von Datenschutz-Wächter Wojciech Wiewiórowski.

Deshalb zeigt sich Wiewiórowski nun zufrieden

Noch im März 2024 hatte Wiewiórowski die Kommission dazu aufgefordert (PDF), beim Datenschutz massiv nachzubessern. Sein Befund: Die Lizenzvereinbarung mit Microsoft sei lückenhaft, und das präge die Art und Weise, wie die Kommission die Büroanwendungen nutzt. Die Behörde habe versäumt, vertraglich festzulegen, dass Microsoft bestimmte Daten nur zu bestimmten Zwecken verarbeiten dürfe. Zudem seien die Daten nicht ausreichend geschützt, wenn die Kommission sie in Drittländer außerhalb der EU überträgt.

Im Fokus der Aufforderung standen nur ein paar der Bestimmungen eines Gesetzes für die Verwaltung der EU von 2018, wie der EDSB auf Anfrage von netzpolitik.org erklärt. Das Gesetz hat einen langen Namen: „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr“. Die Datenschutz-Grundverordnung (DSGVO) wiederum sei nicht Teil der Prüfung durch den EDSB. Denn die falle „in die ausschließliche Zuständigkeit der nationalen Datenschutzbehörden“.

Laut Wiewiórowski habe die Kommission inzwischen die Mängel behoben, die er und sein Team bei ihrer Prüfung gefunden haben. Was sich zunächst wie eine gute Nachricht für behördlichen Datenschutz anhört, erweist sich bei näherem Hinsehen allerdings als wenig aussagekräftig. Denn mehrere Gesetze zum transatlantischen Datentransfer stutzen den Einfluss des EDSB auf ein Minimum.

Der kurze Erfolg von „Schrems II“

Als der EDSB im Jahr 2021 seine Untersuchung zur Microsoft-365-Nutzung der Kommission aufgenommen hatte, stand insbesondere in der Kritik, dass die Kommission das „Schrems II“-Urteil nicht berücksichtige (PDF). Diese Einschätzung wiederholte er im Mai 2024. Nun hat der EDSB das Verfahren beigelegt und äußert sich nicht mehr zu „Schrems II“.

Bei „Schrems II“ handelt es sich um ein Urteil des Europäischen Gerichtshofs aus dem Jahr 2020. Damals kippte der Gerichtshof den Privacy Shield, ein Datenschutzabkommen zwischen EU und USA. Anlass war eine Beschwerde des Juristen und Datenschutzaktivisten Max Schrems bei der irischen Datenschutzbehörde: Facebook Irland leite demnach seine Daten an den Mutterkonzern in den USA weiter. Und Schrems hatte Erfolg.

„Schrems II“ besagt: Überträgt eine Behörde personenbezogene Daten ins Ausland, dann muss das Zielland ein bestimmtes Datenschutzniveau aufweisen. Das Unternehmen Microsoft hat seinen Sitz in den Vereinigten Staaten. Die erreichen laut EuGH-Urteil das geforderte Schutzniveau nicht. Denn US-Behörden hätten zu viele Zugriffsmöglichkeiten, was mit den hohen Anforderungen an den Datenschutz in der EU nicht vereinbar sei.

So wurde „Schrems II“ ausgehebelt

Dass der EDSB „Schrems II“ inzwischen nicht mehr erwähnt, mag damit zusammenhängen, dass seit Mitte 2023 der sogenannte Datenschutzrahmen EU-USA gilt (EU-US Data Privacy Framework, kurz DPF). Er hat den Privacy Shield abgelöst. Die EU-Kommission hat hierbei eine Angemessenheitsentscheidung zugunsten der USA getroffen. Demnach sollen die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten können, die aus der EU an US-Unternehmen übertragen werden.

Unterm Strich dürfen US-amerikanische Unternehmen also personenbezogene Daten von EU-Bürger*innen in den USA speichern und verarbeiten, ohne zusätzliche Datenschutzgarantien einrichten zu müssen. Kritiker*innen mahnen, dass „kaum rechtlicher Schutz vor dem anlasslosen wie massenhaften Zugriff der amerikanischen Behörden“ besteht. Schrems bezeichnete dieses neue Abkommen als „Zaubertrick“.

Und der EDSB? Der sei für die Angemessenheitsentscheidung mit den USA beim Thema Microsoft 365 in der Kommissions-Verwaltung schlicht nicht zuständig, wie die Behörde gegenüber netzpolitik.org erklärt. Er verwies lediglich darauf, die Kommission habe detaillierte Vorschriften formuliert, wie entsprechend zertifizierte Unternehmen personenbezogene Daten an US-Behörden zwecks Strafverfolgung und nationaler Sicherheit übermitteln dürfen.

Doch selbst, wenn der DPF erneut vom EuGH gekippt werden würde, kann sich die Kommission dem EDSB zufolge schon jetzt „zurecht“ auf eine Ausnahmeregelung des Gesetzes von 2018 berufen: Sollen Daten an Microsoft in einem Drittland erfolgen, das nicht als angemessen gilt, lässt sich das durch die Kommission mit „wichtigen Gründen des öffentlichen Interesses“ rechtfertigen.

Noch mehr Wege, wie Daten in die USA fließen

Daten der europäischen Verwaltung können zudem per US-amerikanischem Cloud Act (Clarifying Lawful Overseas Use of Data Act) in die USA gelangen. Demnach sind Anbieter, die ihren Unternehmenssitz in den USA haben, dazu verpflichtet, Daten und Informationen zu Nutzer*innen gegenüber US-Behörden offenzulegen, wenn die es verlangen. Das ist unabhängig davon, wo die Daten liegen, etwa auf europäischen Rechenzentren. Zu diesem Schluss kam beispielsweise der Wissenschaftliche Dienst des Deutschen Bundestages in einem Bericht aus dem Jahr 2024.

Auch die Aussage des Chefjustiziars von Microsoft Frankreich, Anton Carniaux, deutet darauf hin. Mitte Juli wurde er im französischen Senat befragt: Können die USA auch Daten einsehen, ohne dass die französischen Behörden zuvor ausdrücklich zugestimmt hätten? Laut Carniaux könne Microsoft nicht garantieren, dass US-Behörden keinen Zugriff auf Nutzer*innendaten erhalten.

Datenschutzbeauftragter mahnt zur Vorsicht

Wie soll die EU also den Zugriff auf Daten regulieren, wenn der Cloud Act US-Behörden derart weitreichende Befugnisse gewährt? Auch auf wiederholte Nachfrage verweist der EDSB dazu lediglich auf zusätzliche Vertragsbestimmungen, die die Kommission mit Microsoft ausgehandelt habe. Demnach hätten alleine die EU oder ihre Mitgliedstaaten das Recht, Microsoft zur Offenlegung von Daten aus Behörden zu verpflichten.

„Uns wurden auch im direkten Austausch mit Microsoft keine technischen Änderungen bekannt, die den Zugriff durch US-Behörden verhindern würden“, schreibt die Datenschutzorganisation noyb auf Anfrage von netzpolitik.org. Sie bezeichnet die Vereinbarungen der Kommission mit Microsoft als Paper-Compliance. Es sei nicht ersichtlich, dass der EDSB ein technisches Audit erstellt habe. Stattdessen vertraue er auf die Vertragsänderungen der EU-Kommission. „Vermutlich kann die NSA weiterhin live in den Dokumenten der EU-Kommission mitlesen“, schätzt noyb.

Denn noch ein weiteres US-Gesetz öffnet dem Datenfluss von der EU in die USA Tür und Tor: der Foreign Intelligence Surveillance Act (FISA), insbesondere dessen berühmt-berüchtigte Section 702. Demnach dürfen US-Behörden wie die National Security Agency (NSA) etwa im Namen der Terrorismus-Bekämpfung großflächig Daten von Online-Diensten abfragen – eine Lizenz zur großflächigen Überwachung des Internets. Im vergangenen Jahr hatte der US-Kongress diese brisante Regelung um zwei weitere Jahre verlängert.

Auch der EDPB hat das auf dem Schirm: Er empfiehlt der Kommission, diese Entwicklungen zu verfolgen.