Zowel de Europese Commissie als Microsoft stapt naar de rechter om te voorkomen dat instellingen van de EU binnenkort geen Microsoft 365 meer mogen gebruiken. Het beoogde verbod is uitgevaardigd door de Europese Toezichthouder op de Gegevensbescherming (EDPS), die nu voor de rechter wordt gesleept door de twee ongebruikelijke bondgenoten.
Afgelopen maart bepaalde de EDPS dat de instellingen en organen van de Europese Unie vanaf 9 december 2024 niet meer mogen werken met Microsoft 365, het populaire online-pakket van kantoortoepassingen als Word, Excel en Outlook. De toezichthouder concludeerde na onderzoek dat het gebruik door EU-organisaties een inbreuk is op de wetgeving voor gegevensbescherming. Het accent daarbij ligt op het ontbreken van waarborgen over de bescherming van gegevens die buiten de Europese Economische Ruimte (EER) worden doorgegeven. Alleen indien de Europese Commissie kan aantonen dat de data buiten de EER verantwoord worden verwerkt, blijft het gebruik van de cloudtoepassingen geoorloofd.
De Commissie baseert haar beroep op dertien juridische gronden. Bij de meeste daarvan wordt betoogd dat de privacywaakhond verkeerde aannames doet. Zo betwist de Europese Commissie dat er een directe uitwisseling van persoonsgegevens is met Microsoft in de VS en dat er geen gedocumenteerde instructies aan Microsoft zouden zijn over geoorloofde gegevensverwerking. Bovendien vindt de Commissie het opgelegde 365-verbod buitenproportioneel.
Ook Microsoft betoogt dat de EDPS de onderliggende verordening verkeerd interpreteert. Het gaat daarbij om doelbeperkingen, internationale gegevensoverdrachten en ongeautoriseerde openbaarmakingen. Het Amerikaanse techbedrijf spreekt eveneens van disproportionele corrigerende maatregelen.
Beide rechtszaken dienen bij het Gerecht van Eerste Aanleg, onderdeel van het Hof van Justitie van de Europese Unie. Dit hof is gevestigd in Luxemburg.
De Europese Toezichthouder voor Gegevensbescherming (EDPS) is een onafhankelijke EU-instelling die verantwoordelijk is voor het waarborgen van de naleving van gegevensbeschermingswetgeving binnen de EU-instellingen en -organen. De organisatie adviseert over beleid en wetgeving die invloed hebben op privacy en gegevensbescherming, houdt toezicht op de verwerking van persoonsgegevens en behandelt klachten en verzoeken van individuen betreffende hun rechten op privacy. Bovendien werkt de EDPS samen met nationale toezichthouders en andere internationale organen om een consistente gegevensbescherming binnen de EU te waarborgen. EDPS staat voor European Data Protection Supervisor.
-/-