Microsoft 365 ist eine cloudbasierte Software-Suite, die erhebliche datenschutzrechtliche Herausforderungen mit sich bringt. Bereits 2022 kritisierte die Datenschutzkonferenz (DSK) die unzureichende Transparenz der Datenschutzbestimmungen von Microsoft. Der EDSB stellte fest, dass die Kommission in ihrem Vertrag mit Microsoft nicht klar definierte, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden, was gegen den Zweckbindungsgrundsatz verstößt.
Der EDSB bemängelte auch, dass der Vertrag die Zwecke der Datenverarbeitung nicht ausreichend spezifiziert, wodurch Microsoft weitgehend selbst über die Verarbeitungszwecke entschied. Dies stellt einen Verstoß gegen die Verordnung (EU) 2018/1725 dar. Zudem fehlten angemessene Garantien für die Übermittlung personenbezogener Daten in Drittländer.
Als Abhilfemaßnahmen ordnete der EDSB an, dass die Kommission ab dem 9. Dezember alle Datenströme an Microsoft und seine Unterauftragsverarbeiter in nicht durch Angemessenheitsbeschlüsse abgedeckte Drittländer aussetzt. Bis zum 9. Dezember 2024 muss die Kommission sicherstellen, dass alle Datenübermittlungen den Aufgaben des Verantwortlichen dienen, ein ordnungsgemäßer Vertrag abgeschlossen wird und angemessene technische und organisatorische Maßnahmen ergriffen werden.