Die Europäische Datenschutzbehörde (EDSB) ist zu dem Schluss gekommen, dass die Verwendung von Microsoft 365 durch die Europäische Kommission gegen mehrere wichtige Bestimmungen der EU-Verordnung zur Verarbeitung personenbezogener Daten durch ihre Institutionen verstößt. Dazu gehören unter anderem Regelungen zur Übermittlung personenbezogener Daten in unsichere Drittländer sowie die Festlegung der Kategorien personenbezogener Daten und des Verarbeitungszwecks im Verarbeitungsvertrag. Die Bestimmungen ähneln den Bestimmungen der Europäischen Personenschutzverordnung und des isländischen Personenschutzgesetzes.
Der EDSB hat der Kommission vorgeschlagen, ab dem 9. Dezember alle Informationsströme zu stoppen, die sich aus der Nutzung von Microsoft 365 an Microsoft, seine Geschäftspartner und Unterauftragsverarbeiter ergeben, die sich außerhalb des Europäischen Wirtschaftsraums befinden und für die kein Gleichwertigkeitsbeschluss getroffen wurde 2024. Der EDSB hat der Kommission auch vorgeschlagen, Verarbeitungsvorgänge im Zusammenhang mit der Nutzung von Microsoft 365 auch sonst in Einklang mit der betreffenden Verordnung zu bringen.
Die Pressemitteilung des EDSB kann hier gelesen werden.