EU-Datenschutzaufsicht findet Microsoft-Verträge bedenklich

von Urs Binder

23. Oktober 2019 - Die EU-Datenschutzaufsicht EDPS stellt in den Verträgen zwischen EU-Behörden und Microsoft erhebliche DSGVO-Probleme fest. In Zukunft sollen die Vertragsbedingungen der Anbieter nicht mehr einfach so akzeptiert werden.

Im April 2019 hat die EU-Datenschutzaufsicht EDPS (European Data Protection Supervisor) eine Untersuchung lanciert, mit der die DSGV-Konformität der Verträge analysiert werden sollte, die EU-Behörden mit Microsoft geschlossen haben. Nun hat die EDPS ein erstes Statement dazu abgegeben, das für Microsoft eher ungünstig ausfällt: "Obwohl die Untersuchung noch am Laufen ist, bringen die vorläufigen Resultate ernsthafte Bedenken bezüglich der Compliance der relevanten Vertragsbedingungen mit den Datenschutzregeln und der Rolle von Microsoft als Datenverarbeiter für EU-Institutionen, die Produkte und Services von Microsoft nutzten."

Auch das niederländische Justiz- und Sicherheitsministerium sei zu vergleichbaren Schlüssen gekommen und habe entsprechend angepasste Verträge mit Microsoft durchgesetzt. Zusammen mit diesem Ministerium hat die EDPS Ende August in Den Haag den ersten EU Software and Cloud Suppliers Customer Council abgehalten, an dem in der Folge das The Hague Forum gegründet wurde. In diesem Forum wird diskutiert, wie die EU-Institutionen die Kontrolle über die IT-Services wiedererlangen können, die sie von grossen Providern beziehen. Das Ziel ist es, kollektiv Standard-Verträge zu definieren und durchzusetzen, statt ohne Murren einfach die Vertragsbedingungen der Anbieter zu akzeptieren.

Mit anderen Worten: Die EU will neue Verträge mit Microsoft & Co., die den Anforderungen der DSGVO wirklich genügen. Transparenz ist dabei entscheidend, wie der kürzlich verstorbene frühere EDPS-Chef Giovanni Buttarelli im April 2019 in einem Blogbeitrag betonte: "Transparenz hilft dabei, Tricks zu entlarven, mit denen die Anbieter die Nutzer zur Zustimmung zu exzessiver Verarbeitung persönlicher Daten verleiten oder sie zu überstürzten Kaufentscheidungen drängen. Beim Sign-up für einen Service sollte niemand sich dazu genötigt sehen, einer Datenverarbeitung zuzustimmen, mit der man sich unwohl fühlt."

Copyright by Swiss IT Media 2020