Top Themen im Datenschutz:
Datenschutzkonformität von Microsoft 365 systematisch prüfen: Überblick über die erhobenen Diagnosedaten, praxisnahe Einstellungs‑ und Steuerungsoptionen sowie Handlungsempfehlungen zur Minimierung von Risiken und Erfüllung regulatorischer Vorgaben.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) bestätigt nach zehn Verhandlungsrunden: Microsoft 365 lässt sich datenschutzkonform betreiben. Das ist eine Kehrtwende – und eine gute Nachricht für alle Unternehmen, die auf Microsoft 365 setzen.
Jahrelang stand Microsoft 365 unter Datenschutz-Beschuss. Eine Datenschutz-Folgenabschätzung aus den Niederlanden identifizierte acht Problempunkte beim damaligen Office 365 – von mangelnder Transparenz über fehlende Zweckbeschränkung bis zur unrechtmäßigen Datenspeicherung.
Die Datenschutzkonferenz (DSK) verschärfte die Kritik im November 2022: Sie identifizierte sieben gravierende Mängel im damals gültigen Data Protection Addendum (DPA) und kam zum Schluss, dass Verantwortliche den Nachweis eines DSGVO-konformen Betriebs nicht führen können. Microsoft widersprach – und der Dialog begann.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenIm Sommer 2024 starteten zwei parallele Entwicklungen: Das Hessische Digitalministerium band den HBDI in Überlegungen zur M365-Nutzung in der Landesverwaltung ein. Gleichzeitig führte der HBDI ein Aufsichtsverfahren gegen eine hessische Firma wegen M365-Einsatz. Microsoft bot daraufhin Gespräche an.
Ab Jahresbeginn 2025 führte der HBDI zehn intensive Gesprächsrunden mit Microsoft. Jede Runde behandelte einen der sieben Kritikpunkte. Microsoft passte sein DPA an, entwickelte Zusatzmaterialien und veränderte die Datenverarbeitung grundlegend. Das Ergebnis hat der HBDI in einem 137-seitigen Bericht mit vier Anlagen veröffentlicht.
Die DSK hatte kritisiert, dass Verantwortliche Art und Zweck der Verarbeitung nicht nachvollziehen konnten. Microsoft reagierte mit drei Maßnahmen: einer Interpretationshilfe, die DPA-Inhalte den Anforderungen des Art. 28 Abs. 3 DSGVO zuordnet, einem M365-Kit mit Mustereinträgen für das Verarbeitungsverzeichnis sowie einer HBDI-Taxonomie, die erklärt, welche Daten Microsoft verarbeitet.
Microsoft verarbeitet ausschließlich Log- und Diagnosedaten in vier Schritten: Erhebung, Pseudonymisierung, Aggregation und Verarbeitung. Inhaltsdaten bleiben außen vor. Das Ergebnis sind anonymisierte, aggregierte Daten, die datenschutzrechtlich zulässig sind.
Microsoft verpflichtet sich, personenbezogene Daten ausschließlich auf dokumentierte Anweisung des Kunden zu verarbeiten. Bei Offenlegungen unterliegt das Unternehmen der DSGVO.
Microsoft hält Art. 32 DSGVO vollständig ein: Verschlüsselung at rest und in transit, rollenbasierte Zugriffskontrollen, Multi-Faktor-Authentifizierung und lückenlose Protokollierung von Audit-Log- und Diagnosedaten.
Kunden können Daten eigenständig löschen oder einen beschleunigten Löschprozess beauftragen, wenn die Standardfristen nicht ausreichen.
Microsoft informiert über alle Änderungen bei Unterauftragnehmern sechs Monate bzw. einen Monat im Voraus. Alle Informationen sind im Service Trust Portal abrufbar.
Seit Februar 2025 ist die EU Data Boundary abgeschlossen. Kundendaten, Diagnosedaten und die meisten Inhaltsdaten von Microsoft 365 werden ausschließlich im Europäischen Wirtschaftsraum gespeichert und verarbeitet – einschließlich der EFTA-Staaten Schweiz, Norwegen und Island.
DSGVO-Konformität erfordert aktives Handeln auf Unternehmensseite. Diese Maßnahmen sind entscheidend:
Ein häufiger Fehler in der Praxis: Alle Microsoft-Dienste landen als ein einziger Eintrag im Verarbeitungsverzeichnis. Das genügt nicht. Jeder Dienst verarbeitet Daten mit unterschiedlichem Zweck, Umfang und Risikoprofil und erfordert nach Art. 30 DSGVO einen eigenen Eintrag:
Das M365-Kit von Microsoft enthält Mustervorlagen für diese dienstespezifischen Einträge.
Klären Sie Ihre Mitarbeiter über die datenschutzkonforme Nutzung auf:
Eine Nutzungsordnung schafft Klarheit für alle Mitarbeiter – insbesondere für Microsoft Teams als zentrale Kommunikationsplattform. Sie regelt Nutzungspflichten, Kommunikationsstandards, den Umgang mit Ton- und Bildkommunikation sowie den Schutz vertraulicher Informationen.
Ein funktionierendes Berechtigungskonzept für Microsoft 365 geht weit über die Lizenzzuweisung hinaus. In der Praxis fehlen häufig drei Dinge: eine klare Rollendefinition, eine dokumentierte Begründung für jeden Zugriff und ein regelmäßiger Review-Prozess.
Konkret sollte das Konzept mindestens regeln:
In unserer Beratungspraxis zeigt sich: Besonders Gastkonten und geteilte Teamkanäle werden bei der DSFA regelmäßig übersehen, obwohl dort personenbezogene Daten von Kunden und externen Partnern liegen.
Wer Microsoft Copilot einsetzt, geht über die im HBDI-Bericht untersuchte Konfiguration hinaus. Copilot greift auf E-Mails, Dokumente, Kalender und Teams-Chats zu und verarbeitet diese Inhalte zur KI-gestützten Auswertung. Das erzeugt ein eigenständiges DSFA-Risiko, das separat zu dokumentieren ist. Eine Schwellwertanalyse für den Copilot-Einsatz führt in aller Regel zu einer DSFA-Pflicht. Mehr zur datenschutzrechtlichen Bewertung im Artikel zu Microsoft Copilot und DSGVO.
Der HBDI-Bericht ist kein Freifahrtschein. Der datenschutzkonforme Betrieb von Microsoft 365 erfordert, dass Unternehmen ihre eigenen Pflichten aktiv wahrnehmen:
Aktuelle Risiken im Cloud-Kontext sind Fehlkonfigurationen, mangelhaftes Identitäts- und Zugriffsmanagement sowie interne Bedrohungen durch privilegierte Accounts.
In unserer Beratungspraxis zeigt sich ein wiederkehrendes Bild: Mindestens drei dieser fünf Pflichten werden in der Standardkonfiguration nicht aktiv gesteuert. Am häufigsten beobachten wir, dass Microsoft-Dienste gebündelt als ein einziger VVT-Eintrag geführt werden statt je Dienst aufgeteilt. Ebenso häufig: DSFAs wurden zwar formal durchgeführt, die dokumentierten Abhilfemaßnahmen aber nie in konkrete Konfigurationsänderungen im Tenant übersetzt. Und das Berechtigungskonzept endet oft bei der Zuweisung von Standardlizenzen – ohne Dokumentation, wer welchen Dienst aus welchem Grund nutzen darf.
Eine DSFA ist nach Art. 35 Abs. 1 DSGVO erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen mit sich bringt. Bei Microsoft 365 ist das häufig der Fall.
Bei der Nutzung von Outlook oder Teams greift regelmäßig Kriterium 5 der Schwellwertanalyse: Microsoft verarbeitet Daten von Mitarbeitern, externen Partnern und Gästen über einen langen Zeitraum. Arbeitnehmer gelten zudem als besonders schutzwürdige Personengruppe (Kriterium 7 der Schwellwertanalyse), da sie in einem Abhängigkeitsverhältnis zum Arbeitgeber stehen. Sind mindestens zwei Kriterien erfüllt, ist eine DSFA zwingend erforderlich.
Der DSFA-Ablauf nach Art. 35 Abs. 2 und 7 DSGVO umfasst vier Pflichtschritte:
Das M365-Kit von Microsoft enthält aktualisierte DSFA-Vorlagen (Stand: November 2025), die Unternehmen bei dieser gesetzlichen Pflicht unterstützen.
Bewerten Sie Datenschutzrisiken systematisch und dokumentieren Sie rechtssicher – mit der DSFA-Mustervorlage inkl. Schwellwertanalyse und Risikobewertungsmatrix, kostenlos als Download.
Die Datenschutzkonferenz (DSK) identifizierte im November 2022 sieben konkrete Mängel im Data Protection Addendum (DPA) von Microsoft. Kernprobleme: Microsoft behielt sich Verarbeitungsrechte für eigene Geschäftszwecke vor, ohne diese transparent zu dokumentieren. Datenübermittlungen in die USA erfolgten ohne ausreichende Rechtsgrundlage nach dem Schrems-II-Urteil. Unterauftragnehmer wurden nicht nachvollziehbar offengelegt, Löschprozesse nicht vertraglich gesichert. Die zehn Verhandlungsrunden zwischen HBDI und Microsoft im Jahr 2025 haben alle sieben Mängel strukturell behoben.
Nach zehn Verhandlungsrunden hat der HBDI bestätigt: Ja, Microsoft 365 lässt sich unter den dokumentierten Bedingungen DSGVO-konform betreiben. Die Bestätigung gilt für Unternehmen, die die vom HBDI beschriebenen Anforderungen vollständig erfüllen.
Microsoft hat sein DPA überarbeitet, die EU Data Boundary auf alle EWR-Staaten ausgeweitet und umfassende Dokumentationshilfen bereitgestellt. Drittlandübermittlungen in die USA sind durch den Angemessenheitsbeschluss der EU-Kommission und das Data Privacy Framework abgesichert.
Ja. Die HBDI-Entscheidung ändert nichts an der gesetzlichen DSFA-Pflicht. Wenn Ihre Schwellwertanalyse zwei oder mehr Kriterien erfüllt – was bei Outlook und Teams typischerweise der Fall ist – bleibt die DSFA verpflichtend.
Die EU Data Boundary garantiert, dass Kundendaten und Diagnosedaten von Microsoft 365 ausschließlich im Europäischen Wirtschaftsraum gespeichert und verarbeitet werden. Sie wurde im Februar 2025 abgeschlossen und gilt auch für die Schweiz, Norwegen und Island.
Nein. Der HBDI-Bericht schafft Orientierung und Rechtssicherheit, ersetzt aber weder die eigene DSFA noch die eigenen technisch-organisatorischen Maßnahmen. Unternehmen müssen ihre individuelle DSGVO-Compliance eigenständig dokumentieren und nachweisen.
Nach drei Jahren intensiver Prüfung steht fest: Microsoft 365 lässt sich DSGVO-konform betreiben. Unternehmen haben nun Rechts- und Handlungssicherheit – sofern sie ihre eigenen Pflichten konsequent erfüllen.
Die Schlüsselelemente sind das geprüfte DPA, die EU Data Boundary, das M365-Kit mit Mustervorlagen sowie eine vollständige Dokumentation. Wer diese Grundlage mit einer eigenen DSFA, einem funktionierenden Berechtigungskonzept und regelmäßig geschulten Mitarbeitern ergänzt, steht auf solidem datenschutzrechtlichem Boden.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen