Der EU-Datenschutzbeauftragte (EDPS) hat am 2.7. ein Public Paper mit dem Titel „Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services“veröffentlicht. Der EDPS ist nicht für deutsche Unternehmen zuständig, sondern er berät Organe und Einrichtungen der EU, aber man kann sehen, dass man auch auf der Ebene seine Probleme mit Microsoft hat. Einige wesentliche Punkte des Summarys:
- Die mit Microsoft seitens der EU geschlossenen Verträge ermöglichen Microsoft teilweise selbst „Herr der Daten“ zu sein.
- Die EU hat eine mangelnde Kontrolle hinsichtlich Microsoft als Auftragsverarbeiter, insbesondere über von Microsoft eingesetzte Unter-Auftragsverarbeiter.
- Der Speicherort der Daten sowie internationale Transfers sind unzureichend vertraglich vereinbart. Es fehlen angemessene Sicherheitsvorkehrungen zum Schutz der Daten, die den EU/EWR-Raum verlassen.
- Die EU Organe/Einrichtungen wissen nicht genügend über Art, Umfang und Zweck der Verarbeitung und die Risiken für die Betroffenen, um ihren Transparenzverpflichtungen gegenüber den Betroffenen nachkommen zu können.
Den vollständigen Text und ein Executive Summary kann man hier nachlesen.
