Das Den Haag Forum („The Hague Forum“) ist eine Kooperations-Plattform für öffentliche Einrichtungen und Institutionen in der EU sowie andere internationale Organisationen für den Informationsaustausch und um die Verhandlungsposition gegenüber Anbietern von Informations- und Kommunikationstechnologien (IKT) einschließlich Cloud-Diensten zu verbessern.
Organisiert vom Niederländischen Ministerium für Justiz und Sicherheit (Dutch Ministry of Justice and Security) und der Europäischen Kommission hat es in diesem Jahr am 2. Juli zum zweiten Mal getagt[extern] [1]. Gegründet wurde es am 29. August 2019 [extern] [2].
Bereits im April 2019 hatte der European Data Protection Supervisor (EDPS) Wojciech Wiewiórowski in einer Pressemitteilung [extern] [3] Untersuchungen bezgl. der Einhaltung datenschutzrechtlicher Vorgaben in den vertraglichen Vereinbarungen zwischen Microsoft und den EU-Institutionen (EUIs) angekündigt. Den „Schutz personenbezogener Daten sowie den Schutz der Privatsphäre, soweit Organe und Einrichtungen der EU personenbezogene Daten von natürlichen Personen verarbeiten“, zu überwachen und zu gewährleisten, zählt dabei zu den Aufgaben des EDPS. [extern] [4]
Hintergrund war die im Dezember 2018 in Kraft getretene (Datenschutz-) Richtlinie EU 2018/1725 [extern] [5], der die EUIs unterliegen und deren Regelungen eine große Schnittmenge mit der Datenschutzgrundverordnung (DS-GVO) aufweisen.
Im Rahmen des 2. Treffens des Den Haag Forums hat nun der EDPS ein Papier [extern] [6] vorgestellt und veröffentlicht, in dem Feststellungen und Empfehlungen zur Nutzung von Microsoft-Produkten und -Services durch EUIs gegeben werden.
Die Untersuchungen des EDPS beziehen sich auf das Inter-Institutional Licensing Agreement (ILA). Die Ergebnisse der Untersuchungen waren den EUIs den Angaben gemäß im März 2020 zur Verfügung gestellt worden.
In der Zusammenfassung („Executive Summary“) werden die folgenden fünf wichtigsten Themen und Feststellungen genannt [extern] [6]:
1) Das gewählte Lizenzmodell erlaubte es Microsoft, die Parameter für die beauftragte Verarbeitungs-Aktivitäten zu definieren und zu ändern, sodass Microsoft als „Controller“ anzusehen war. Dies war aus Sicht des EDPS in dieser Situation nicht angemessen und es wurde empfohlen, die Kontrolle zu behalten bzw. wiederzuerlangen.
2) Eine umfassende und rechtskonforme Vereinbarung („contoller-processor agreement“) und definierte Vorgaben waren abzuschließen. Bemängelt wurde eine fehlende Kontrolle über Unterauftragnehmer wie auch das Fehlen aussagekräftiger Auditrechte.
3) Der Ort der Datenspeicherung und -verarbeitung ebenso wie der internationale Datentransfer führten zu Fragen bezgl. potentieller Verstöße gegen EU-Recht bspw. bei der unberechtigten Offenlegung von Daten gegenüber Dritten.
4) Betrachtet wurden auch die seitens der Europäischen Kommission etablierten Maßnahmen, um den Datenfluss von durch die Nutzung von Microsoft-Produkten und -Services generierten personenbezogenen Daten an Microsoft einzudämmen. Unautorisierte Datenflüsse an Microsoft sollten verhindert werden und die Einrichtungen wurden aufgefordert, bekannte und entwickelte Lösungen, aber auch Datenschutz-Fragestellungen untereinander zu teilen.
5) Die EUIs waren den Erkenntnissen zu Folge nicht ausreichend über die Art und den Zweck wie auch die Risiken für die betroffenen Personen informiert, um selber die Betroffenen darüber transparent informieren zu können.
Im Ergebnis sieht die Datenschutzbehörde der europäischen Union die Nutzung von Microsoft-Produkten und -Diensten als nicht unproblematisch an. Wir bitten um Beachtung dieser Entwicklung.
Quellen
[1] https://edps.europa.eu/press-publications/press-news/press-releases/2020/hague-forum-reinforcing-cooperation-fair-it_en
[2] https://edps.europa.eu/press-publications/press-news/press-releases/2019/edps-investigation-it-contracts-stronger_en
[3] https://edps.europa.eu/press-publications/press-news/press-releases/2019/edps-investigates-contractual-agreements_en
[4] https://edps.europa.eu/about-edps_de
[5] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32018R1725&fromDE
[6] https://edps.europa.eu/data-protection/our-work/publications/papers/outcome-own-initiative-investigation-eu-institutions_en