Neubewertung des Datenschutzes bei Microsoft 365

 

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat im November 2025 einen umfassenden Bericht zum Einsatz von Microsoft 365 (M365) veröffentlicht. Im Fokus steht die Frage, ob und wie M365 datenschutzkonform genutzt werden kann. Bereits 2022 veröffentlichte die Datenschutzkonferenz (DSK) einen Bericht nach intensiven Gesprächen mit Microsoft und kam zu dem Schluss, dass M365 datenschutzrechtlich problematisch sei. Drei Jahre später nahm sich der HBDI die sieben zentralen Kritikpunkten der DSK erneut vor. Nach intensiven Verhandlungen und Anpassungen seitens Microsofts kam der HBDI zu dem Ergebnis, dass ein datenschutzkonformer Betrieb von M365 grundsätzlich möglich sei, wenn bestimmte Voraussetzungen erfüllt werden. 

Die sieben Kritikpunkte und wie sie gelöst wurden

1. Art und Zweck der Datenverarbeitung

Nach dem Bericht der DSK war unklar, welche Daten durch Microsoft zu welchen Zwecken verarbeitet werden. Microsoft hat nun zusätzliche Dokumentationen und ein „M365-Kit“ bereitgestellt. Unternehmen können damit die Datenverarbeitung besser nachvollziehen und in ihr Verzeichnis der Verarbeitungstätigkeiten einbinden.

2. Verarbeitung für eigene Geschäftszwecke

Ursprünglich stellte Microsoft in ihrem Vertragswerk nicht klar, welche Daten in welchem Umfang auch für eigene Zwecke verarbeitet wurden. Mittlerweile gibt Microsoft an, nur noch pseudonymisierte und aggregierte Log- und Diagnosedaten - und damit keine Inhaltsdaten - für eigene Zwecke zu nutzen.

3. Weisungsbindung und Offenlegung

Anders als 2022 verpflichtet sich Microsoft neuerdings, personenbezogene Daten nur auf dokumentierte Anweisung des Kunden zu verarbeiten. Offenlegungen erfolgen nur, wenn sie gesetzlich vorgeschrieben sind oder der Kunde zustimmt.

4. Technische und organisatorische Maßnahmen

In den aktuellen Verträgen sichert Microsoft die Einhaltung des Stands der Technik gemäß DSGVO zu. Unternehmen erhalten umfassende Informationen zu den Sicherheitsmaßnahmen und können eigene Prüfungen durchführen.

5. Löschung und Rückgabe von Daten

Waren die Voraussetzungen zu Rückgabe- und Löschpflichten 2022 noch unklar geregelt, so können Kunden heute alle personenbezogenen Daten jederzeit löschen oder löschen lassen.

6. Unterauftragsverarbeiter

Die DSK bemängelte den Informationsprozess zu Änderungen bei den Unterauftragsverarbeitern von Microsoft. Stand heute werden Kunden mindestens sechs Monate im Voraus über neue Unterauftragsverarbeiter informiert, sodass Unternehmen bei Bedarf widersprechen können. 

7. Datenübermittlungen in Drittländer

Dank des relativ neuen EU-US Data Privacy Frameworks sind Datenübermittlungen in die USA rechtlich besser abgesichert als noch 2022. Zudem finden die meisten Datenverarbeitungen aufgrund technischer Anpassungen im Europäischen Wirtschaftsraum statt. Für unvermeidbare Übermittlungen sorgen Standardvertragsklauseln für ein angemessenes Datenschutzniveau.

Handlungsempfehlungen für Unternehmen

Der HBDI gibt in seinem Bericht auch konkrete Handlungsempfehlungen, die bei der Nutzung von M365 beachtet werden sollten:

  • Bedarf klären: Prüfen, welche M365-Produkte wirklich benötigt werden.
  • Dokumentation nutzen: Das M365-Kit und die Interpretationshilfen von Microsoft sollten genutzt werden, um die Datenschutzdokumentation zu vervollständigen.
  • Konfiguration prüfen: Die Datenschutzoptionen in M365 sollten datenschutzfreundlich eingestellt werden (z. B. für Diagnosedaten).
  • Löschkonzept etablieren: Ein Löschkonzept für alle Datenarten mit entsprechenden Prozessen ist vorzuhalten.
  • Unterauftragsverarbeiter überwachen: Die Informationskanäle von Microsoft über Änderungen sollten genutzt werden.
  • Drittlandtransfers minimieren: Es ist regelmäßig zu prüfen, welche Daten mit welchen Rechtsgrundlagen in Drittländer übermittelt werden.
  • Planungsprozess: Datenschutz-, IT-Sicherheitsbeauftragte und ggf. der Betriebsrat sollten frühzeitig eingebunden werden.

Kritische Stimmen

Der neue Bericht des HBDI erntete nicht nur positives Feedback. Der Behörde wird vorgeworfen, sich ausschließlich auf Versprechungen und Dokumentation von Microsoft verlassen zu haben. Der HBDI verweist selbst darauf, dass eine technische Prüfung der Produkte personell nicht abbildbar sei. Diese Aussage ließe sich derart interpretieren, dass der HBDI offen zugebe, keine ausreichenden Kapazitäten für eine effektive Aufsicht zu haben. Kritiker halten den Bericht daher für eine rein juristische Freizeichnung, die über den tatsächlichen Schutz personenbezogener Daten in Microsoft-Diensten keine Aussage treffen könne.
Außerdem würde der HBDI durch seine Handlungsempfehlungen die Sicherstellung des Datenschutzes auf die Unternehmen abwälzen, die für die richtige Konfiguration, Dokumentation und Überwachung sorgen müssen. Wären die Microsoft-Produkte von vorneherein datenschutzfreundlich gestaltet, müsste die vermeintliche Datenschutzkonformität nicht über umfassende technische und organisatorische Maßnahmen herbeigeführt werden.

Zudem weist der HBDI darauf hin, dass stets europäische Lösungen als Alternativen evaluiert werden sollten, um die digitale Souveränität zu stärken. Damit gibt der HBDI ebenfalls zu erkennen, dass der Einsatz von US-Diensten unabhängig von der Konfiguration nicht frei von Risiko bleibt.

Fazit

Der HBDI-Bericht zeigt, dass der datenschutzkonforme Einsatz von Microsoft 365 für deutsche und europäische Unternehmen dank der Anpassungen und klaren Handlungsempfehlungen juristisch realistisch und praxistauglich umsetzbar ist. Ohne eine technische Prüfung bleibt jedoch unklar, ob Microsoft sich an die Pflichten aus der DSGVO und dem eigenen Vertragswerk auch tatsächlich hält. Außerdem bleibt abzuwarten, wie es mit dem EU-US Data Privacy Framework in Zeiten politischer und damit auch rechtlicher Unsicherheit weitergeht. Die Entwicklungen sind daher zu beobachten und wichtig ist, dass auch der Verantwortliche seinen datenschutzrechtlichen Obliegenheiten nachkommt.

Ähnliche Beiträge

17. Juni 2024

Niedersächsisches Ministerium erreicht Anpassung der datenschutzrechtlichen Vereinbarung mit Microsoft

Das Niedersächsische Ministerium für Inneres und Sport erzielt mit Microsoft eine Vereinbarung zum Einsatz von Teams in der Verwaltung, die von dem Landesbeauftragten für den Datenschutz Niedersachsen als akzeptabel bewertet wird.
Datenschutz
EU-DSGVO
IT-Recht
Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Nico Müller

Rechtsanwalt

Zum Profil von Nico Müller

EU-DSGVO Datenschutz

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden