Der EU-Datenschutzbeauftragte verkündete in seinem Resultat der im Jahr 2021 begonnenen Untersuchung, dass die EU-Kommission durch den Einsatz von Microsoft 365 gegen die DSGVO verstoße.
Bemängelt wird einerseits, dass eine unsichere Datenübermittlung in ein Drittland – die USA – stattfand bzw. nicht unterbunden wurde, und andererseits, dass keine ausreichenden Informationen vorliegen, welche Daten genau erhoben werden.
Der EU-Kommission wird daher vorgeworfen, kein hinreichendes Schutzniveau für persönliche Informationen gewährleisten würde, die durch die Verwendung von Microsoft 365 in die USA gelangen. Die Informationen über den Transfer an Microsoft, die von Microsoft bereitgestellt werden, wären nicht ausreichend klar und eindeutig gewesen. Weiter habe die EU-Kommission – als verantwortliche Stelle für die Datenverarbeitung - nicht ausreichend dargelegt, welche Daten für welchen Zweck konkret verarbeitet werden bei der Verwendung von Microsoft 365. Es fehle an der notwendigen Transparenz, wodurch auch die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO betroffen sei. Vorgeworfen wird zudem, dass in diesem Zusammenhang auch keine ausreichenden technischen und organisatorischen Schutzmaßnahmen ergriffen worden seien, was die Verarbeitung von Daten in Drittstaaten anging.
Konsequenz ist nun, dass der EU-Kommission mehrere Abhilfemaßnahmen auferlegt worden sind, die die EU-Kommission bis Anfang Dezember 2024 zu erfüllen hat.