Im Rahmen einer Anhörung im französischen Senat hat ein Vertreter von Microsoft zugegeben, dass der Konzern keine Garantie dafür geben kann, dass personenbezogene Daten von Nutzerinnen und Nutzern in der EU nicht von US-Behörden abgefragt werden. Diese Aussage betrifft insbesondere Daten, die im Rahmen von Microsoft-Diensten wie Microsoft 365 oder Azure verarbeitet werden – auch wenn diese physisch in Rechenzentren innerhalb der Europäischen Union gespeichert sind.
Data Privacy Framework bietet keinen absoluten Schutz
Microsoft ist zwar Teilnehmer des EU-U.S. Data Privacy Framework (DPF) und verweist regelmäßig auf diese Zertifizierung, um ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten in die USA zu begründen. Dennoch machte der Konzern in der Anhörung deutlich: Ein behördlicher Zugriff auf Daten europäischer Kundinnen und Kunden kann unter bestimmten Voraussetzungen nicht ausgeschlossen werden – etwa auf Grundlage des US-amerikanischen CLOUD Act.
Die Aussage ist ein deutliches Signal: Die Teilnahme am DPF schützt Unternehmen nicht automatisch vor Risiken bei der Nutzung US-amerikanischer Dienste.
Unklare Informationen und fehlende Transparenz
Im Rahmen der Anhörung wurde zudem deutlich, dass Microsoft nicht transparent darlegen kann, welche Kategorien personenbezogener Daten betroffen wären, welche Dienste konkret unter das DPF fallen und wie mit Anfragen von US-Behörden im Detail umgegangen wird. Die Informationen des Konzerns dazu bleiben vage und lassen eine datenschutzrechtlich fundierte Bewertung durch europäische Unternehmen kaum zu.
Handlungsbedarf für Unternehmen
Vor diesem Hintergrund sollten Unternehmen, die Microsoft-Dienste einsetzen, ihre Datenverarbeitungen dringend überprüfen.
Die Aussage im französischen Senat zeigt: Verantwortliche können sich nicht auf bloße Zertifizierungen verlassen, sondern müssen konkrete Schutzmaßnahmen und Bewertungen vornehmen, um ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden.
Wie Mprotect365 Sie unterstützt
Als externer Datenschutzbeauftragter begleiten wir Sie bei der rechtssicheren Nutzung internationaler Cloud-Dienste – auch bei Microsoft:
- Durchführung von Transfer Impact Assessments
- Prüfung und Bewertung des DPF im Einzelfall
- Technische und organisatorische Empfehlungen zur Datensicherheit
- Anpassung Ihrer Datenschutzhinweise und Verträge
- Kommunikation mit Betroffenen und Aufsichtsbehörden
Datenschutz geht auch einfach – mit klarer Strategie für den Drittlandtransfer.
