EDPS har konstateret, at EU-Kommissionen og EU’s institutioner ikke efterlever databeskyttelsesreglerne ved brug af Microsoft 365. Myndigheden påbyder, at ulovlige tredjelandsoverførsler standses, og at behandlingen bringes i overensstemmelse med reglerne senest 9. december 2024, herunder med dokumentation for efterlevelse.
EDPS’ påbud og hovedkonklusioner
Kernen i afgørelsen er, at personoplysninger overføres til usikre tredjelande uden tilstrækkelige garantier. EDPS kræver, at sådanne overførsler enten ledsages af gyldigt overførselsgrundlag og supplerende foranstaltninger eller ophører.
Påbuddet omfatter også krav om, at den samlede behandling ved brug af Microsoft 365 tilpasses reglerne, herunder at institutionerne kan påvise overholdelse. Fristen er fastsat for at sikre kontinuitet i arbejdet, men indebærer samtidig et markant dokumentationsansvar.
Kontraktuelle uklarheder og tredjelandsoverførsler
EDPS finder, at kontrakten mellem EU-Kommissionen og Microsoft ikke klart beskriver datatyper, formål og om behandling sker udelukkende for institutionernes egne formål. Uklarheder om rollefordeling og underdatabehandlere i tredjelande udgør et væsentligt risikopunkt.
Afgørelsen skal ses i lyset af Schrems II og anvendelsen af standardkontraktbestemmelser samt krav om overførselsvurderinger og supplerende foranstaltninger. For EU-institutioner gælder forordning 2018/1725, som spejler GDPR’s principper. EDPS’ uddybning kan læses hos EDPS. Tidligere anbefalinger findes her: EDPS.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →Konsekvenser og næste skridt
Afgørelsen har sigte på EU-institutionerne, men den faglige ræsonnementation er tæt på GDPR og vil kunne inspirere nationale tilsyn, herunder Datatilsynet. Organisationer, der anvender Microsoft 365 eller lignende cloudtjenester, bør derfor gennemføre en målrettet compliance-gennemgang.
Følgende tiltag bør indgå i en hurtig handlingsplan:
- Kortlægning af dataflows, herunder systemkomponenter, datatyper og overførsler.
- Klar specifikation af behandlingsformål og rollefordeling mellem dataansvarlig, databehandler og underdatabehandlere.
- Validering af overførselsgrundlag, overførselsvurderinger og supplerende tekniske og organisatoriske foranstaltninger.
- Opdaterede databehandleraftaler med præcise instruks- og sikkerhedskrav samt adgangs- og logningskontrol.
- Etablering af dokumentations- og rapporteringsspor, der kan demonstrere løbende efterlevelse.
En proaktiv indsats reducerer risikoen for påbud, driftsforstyrrelser og kontraktuelle konflikter og øger samtidig databeskyttelsesniveauet på tværs af cloudløsninger.
