Top Themen im Datenschutz:
Wer Microsoft 365 einsetzt, konfrontiert den externen Datenschutzbeauftragten mit spezifischen Aufgaben, die ohne tiefes Produkt-Know-how nicht erfüllbar sind – von der DSFA bis zur Copilot-Bewertung.
Ein Datenschutzbeauftragter überwacht grundsätzlich die Einhaltung der DSGVO im Unternehmen. Doch wer Microsoft 365 einsetzt, konfrontiert seinen DSB mit Aufgaben, die ohne tiefes Produkt-Know-how nicht erfüllbar sind.
Microsoft 365 ist keine einfache Softwarelizenz. Es ist eine Cloud-Infrastruktur, in der Mitarbeiterdaten, Kommunikation, Dateien und Diagnoseinformationen fließen – und das über Dutzende von Diensten gleichzeitig: Teams, SharePoint, OneDrive, Exchange, Forms, Planner, Copilot. Jeder dieser Dienste hat eigene Datenschutzimplikationen. Ein DSB, der M365 nicht kennt, kann diese Risiken weder bewerten noch steuern.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDie folgenden Aufgaben entstehen ausschließlich durch den Einsatz von Microsoft 365 – sie sind keine generischen DSB-Pflichten:
Microsoft stellt für alle M365-Kunden ein Data Processing Addendum (DPA) bereit, das die Auftragsverarbeitung nach Art. 28 DSGVO regelt. Der DSB prüft, ob das aktuelle DPA alle Anforderungen erfüllt: Subdienstleister, Löschpflichten, Drittstaatenübertragungen. Bei Änderungen durch Microsoft muss der DSB die neue Version erneut bewerten.
Microsoft 365 sammelt standardmäßig umfangreiche Diagnosedaten von Endgeräten und Anwendungen. Der DSB empfiehlt in Abstimmung mit der IT das datenschutzfreundlichste Konfigurationsniveau: Für Windows das Level „Sicherheit“, für Office-Anwendungen die Option „Weder noch“. Er überwacht die Umsetzung und dokumentiert die Entscheidung als Teil der technisch-organisatorischen Maßnahmen (TOMs). Praxishinweise dazu liefert der Datenschutz-Leitfaden für Microsoft 365 der Landesbeauftragten für Datenschutz Niedersachsen.
Alle genutzten M365-Dienste – Teams, SharePoint, OneDrive, Exchange, Forms, Copilot – müssen im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert werden. In der Praxis ist das komplex, weil die Dienste datenschutzrechtlich unterschiedlich zu bewerten sind und sich durch Updates laufend verändern. Der DSB identifiziert, welche Dienste tatsächlich im Einsatz sind, und erstellt die entsprechenden Einträge.
Die Nutzung von Microsoft 365 erfordert in der Regel eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO – vor allem wenn Mitarbeiterdaten systematisch erfasst werden: Anwesenheitszeiten, Kommunikationsverhalten, Aktivitätsprotokolle. Der DSB führt die Schwellwertanalyse durch, bewertet die Risiken und dokumentiert geeignete Abhilfemaßnahmen. Eine nicht durchgeführte DSFA nach Art. 35 DSGVO kann Bußgelder nach sich ziehen.
Mit unserem Compliance Hub können Sie die Datenschutz-Folgenabschätzung einfach, strukturiert und rechtssicher digital durchführen. So erfüllen Sie alle gesetzlichen Anforderungen und minimieren Risiken für Ihr Unternehmen.
Seit 2023 ermöglicht Microsoft die sogenannte EU Data Boundary: Daten von EU-Kunden werden ausschließlich in der EU verarbeitet. Der DSB überprüft, ob diese Option aktiviert ist, und klärt, ob verbleibende Übertragungen in Drittstaaten durch gültige Standardvertragsklauseln (SCCs) abgedeckt sind – ein zentrales Thema nach dem Schrems-II-Urteil. Orientierung bietet das Rundschreiben des BfDI zu Microsoft 365.
Im Microsoft 365 Admin Center gibt es über 40 verschiedene Rollen mit unterschiedlichen Zugriffsrechten auf personenbezogene Daten. Der DSB prüft, ob das Berechtigungskonzept dem Least-Privilege-Prinzip entspricht: Wer ist Global Admin? Wer hat Zugriff auf das Compliance Portal? Sind sensible Rollen auf mehrere Personen verteilt?
E-Mails, Teams-Nachrichten, SharePoint-Dateien – Microsoft 365 speichert Daten über lange Zeiträume, wenn keine Löschregeln definiert sind. Der externe Datenschutzbeauftragte legt gemeinsam mit IT und Rechtsabteilung die Aufbewahrungsfristen fest und überwacht deren Umsetzung über Microsoft Purview Retention Policies.
Wenn Beschäftigte oder Dritte Auskunft verlangen oder Löschung beantragen, muss der DSB wissen, wie er in Microsoft 365 darauf reagiert. Das Compliance Portal bietet dafür Content Search und eDiscovery-Funktionen. Der DSB kennt diese Werkzeuge und kann Anfragen innerhalb der gesetzlichen Fristen bearbeiten. Die DSB-Checkliste für Betroffenenrechte unterstützt dabei die strukturierte Abarbeitung.
Microsoft Copilot greift auf alle Daten zu, auf die ein Nutzer Zugriffsrechte hat – E-Mails, Dateien, Teams-Gespräche. Der DSB bewertet, ob der Einsatz eine eigene DSFA erfordert, welche Datengrundlage genutzt wird und wie Mitarbeitende informiert werden müssen. Für Unternehmen mit Betriebsrat klärt er die Mitbestimmungspflichten. Wer Copilot einsetzt, sollte außerdem die Rolle eines KI-Beauftragten im Unternehmen prüfen.
Microsoft veröffentlicht kontinuierlich neue Funktionen – Copilot Pages, erweiterte KI-Features, Änderungen an Datenspeicherorten. Jedes dieser Updates kann neue datenschutzrechtliche Risiken mit sich bringen. Der DSB muss neue Features systematisch bewerten, bevor sie im Unternehmen freigeschaltet werden.
Dafür überwacht er das Microsoft 365 Message Center und die Roadmap, analysiert Datenschutzimplikationen neuer Funktionen und entscheidet, ob eine Aktualisierung von DSFA, Verarbeitungsverzeichnis oder Datenschutzhinweisen erforderlich ist. Dieser kontinuierliche Bewertungsprozess für KI-gestützte Funktionen ist ein konkreter Dauerauftrag, der den Mehrwert eines externen DSB mit echter M365-Expertise besonders deutlich macht.
Wird Microsoft 365 neu eingeführt oder erheblich erweitert – etwa durch Copilot, neue Teams-Funktionen oder den Umzug von On-Premises auf die Cloud – sollte der DSB von Anfang an eingebunden sein:
Wichtig: Microsoft fügt regelmäßig neue Funktionen hinzu. Der DSB muss diese evaluieren, bevor sie im Unternehmen freigeschaltet werden – andernfalls entstehen unkontrollierte Datenflüsse. Wann genau eine Benennung eines Datenschutzbeauftragten gesetzlich verpflichtend ist, erklärt die entsprechende Übersicht.
In den meisten Fällen ja. Wenn Teams, der Compliance Manager oder Aktivitätsberichte genutzt werden, kann das Verhalten von Mitarbeitenden systematisch erfasst werden – das löst die DSFA-Pflicht nach Art. 35 DSGVO aus. Eine Schwellwertanalyse durch den DSB klärt, ob die Pflicht im konkreten Fall gilt.
Ja. Microsoft agiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Das Data Processing Addendum (DPA) ist der entsprechende Vertrag. Der DSB prüft, ob dieser korrekt abgeschlossen und aktuell ist. Informationen zur zuständigen Datenschutz-Aufsichtsbehörde helfen bei Fragen zur Durchsetzung.
Vor der Freischaltung neuer Funktionen – z.B. Copilot Pages, neue KI-Features oder Änderungen an Datenspeicherorten – prüft der DSB die Auswirkungen auf die Datenverarbeitung. Wenn nötig, aktualisiert er das Verarbeitungsverzeichnis, die DSFA oder die Datenschutzhinweise.
Wenn Daten in Microsoft 365 zur Leistungs- oder Verhaltenskontrolle von Mitarbeitenden genutzt werden könnten – z.B. Aktivitätsprotokolle, Anwesenheitszeiten in Teams, Kalenderauswertungen – bestehen Mitbestimmungsrechte nach § 87 BetrVG. Der DSB berät, welche Vereinbarungen notwendig sind. Für einen Überblick, was ein externer DSB konkret leistet, lohnt sich ein Blick auf die vollständige Aufgabenübersicht.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen