Top Themen im Datenschutz:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) bestätigt: Microsoft 365 lässt sich datenschutzkonform betreiben. Das ist neu. Drei Jahre nach der vernichtenden Kritik der Datenschutzkonferenz gibt es eine Kehrtwende.
Die Datenschutzkonferenz (DSK) hatte im November 2022 sieben gravierende Mängel identifiziert. Ihr Urteil: Verantwortliche können den Nachweis eines DSGVO-konformen Betriebs von M365 nicht führen. Das betraf den Datenschutznachtrag (Data Protection Addendum, DPA) vom 15. September 2022. Microsoft widersprach dieser Einschätzung.
Die Kritik war fundamental. Die DSK bemängelte fehlende Transparenz, unklare Datenverarbeitungen für eigene Geschäftszwecke, mangelnde Weisungsbindung und unzureichende Sicherheitsmaßnahmen. Dazu kamen Probleme bei Löschung, Unterauftragsverarbeitern und Drittlandübermittlungen.
Im Sommer 2024 starteten zwei parallele Entwicklungen. Das Hessische Digitalministerium band den HBDI in Überlegungen zur Nutzung von M365 in der Landesverwaltung ein. Gleichzeitig führte der HBDI ein aufsichtsbehördliches Verfahren gegen eine hessische Firma wegen des M365-Einsatzes. Microsoft bot daraufhin Gespräche an.
Beide Seiten vereinbarten einen neuen Anlauf. Das Ziel: Unabhängig von konkreten Projekten oder Verfahren die grundsätzlichen Bedingungen für einen DSGVO-konformen Einsatz klären. Drei Jahre nach der DSK-Kritik hatte sich einiges verändert. Die EU-Kommission hatte einen Angemessenheitsbeschluss für Datentransfers in die USA erlassen. Microsoft hatte das Vertragswerk weiterentwickelt, die Kundendokumentation verbessert und die technische ‚EU-Datengrenze‘ ausgebaut.
Der HBDI führte ab Jahresbeginn 2025 zehn Gesprächsrunden mit Microsoft. Jede Runde behandelte einen der sieben Kritikpunkte. Microsoft passte sein DPA an, entwickelte Zusatzmaterialien und veränderte die Datenverarbeitung grundlegend.
Die Verhandlungen erstreckten sich über zehn Monate und beinhalteten intensive technische Prüfungen, rechtliche Bewertungen und praktische Tests. Microsoft legte in jeder Runde konkrete Nachweise vor, wie die DSGVO-Anforderungen erfüllt werden. Der HBDI prüfte diese Nachweise nicht nur theoretisch, sondern testete die Umsetzung auch in der Praxis.
Das Ergebnis dieser intensiven Prüfung hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit in einer ausführlichen Pressemitteilung veröffentlicht: HBDI: Microsoft 365 kann datenschutzkonform genutzt werden
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
Die DSK hatte kritisiert, dass Verantwortliche personenbezogene Daten und deren Verarbeitungszweck nicht näher beschreiben können. Art. 28 Abs. 3 DSGVO verlangt eine klare Feststellung von Art und Zweck der Verarbeitung.
Microsoft reagierte mit drei Maßnahmen. Das Unternehmen stellt eine Interpretationshilfe bereit, die Ausführungen im DPA den Anforderungen des Art. 28 Abs. 3 DSGVO zuordnet. Das M365-Kit enthält Beispieleinträge zum Verzeichnis der Verarbeitungstätigkeiten, Schwellwertanalysen und eine beispielhafte Datenschutzerklärung. Der HBDI entwickelte eine Taxonomie der Datenbegriffe, damit Kunden nachvollziehen können, welche Daten Microsoft verarbeitet.
Für öffentliche Stellen passte Microsoft den Anhang B des DPA-öS an. Statt spezifische Inhaltsdaten aufzulisten, führt der Anhang nur noch die Sammelkategorie ‚Inhaltsdaten‘ auf. Microsoft bringt damit zum Ausdruck: Das Unternehmen verhält sich zu diesen Daten agnostisch, kennt sie nicht und will sie nicht kennen.
Die DSK bemängelte, Microsoft lasse sich unzureichend konkretisierte Rechte für Datenverarbeitungen zu eigenen Geschäftszwecken einräumen. Unklar blieb, welche personenbezogene Daten Microsoft verarbeitet.
Microsoft stellte den Verarbeitungsprozess detailliert dar. Die Verarbeitung erfolgt in vier Schritten: Erhebung, Pseudonymisierung, Aggregation und Verarbeitung. Microsoft nutzt ausschließlich Log- und Diagnosedaten, die bei der Diensterbringung entstehen. Diese Daten werden pseudonymisiert, dann aggregiert und erst danach verarbeitet. Inhaltsdaten bleiben außen vor. Das Ergebnis: anonymisierte, aggregierte Daten, die nicht der DSGVO unterliegen oder datenschutzrechtlich vertretbar sind.
Die DSK kritisierte, Microsoft behalte sich umfangreiche Befugnisse vor, Daten ohne Weisung zu verarbeiten und offenzulegen. Microsoft verpflichtete sich, personenbezogene Daten nur auf dokumentierte Anweisung des Kunden zu verarbeiten. Bei Offenlegungen unterwirft sich das Unternehmen der DSGVO.
Die DSK stellte fest, Microsoft verpflichte sich nicht zu den geforderten technischen und organisatorischen Maßnahmen.
Microsoft hält nun die Vorgaben des Art. 32 DSGVO ohne Abstriche ein. Die neuen Maßnahmen umfassen Verschlüsselung sowohl im Ruhezustand (at rest) als auch bei der Übertragung (in transit). Microsoft setzt rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung ein. Eine lückenlose Protokollierung und Pseudonymisierung besonders von Audit-Log- und Diagnosedaten gehört zum Standard.
Unternehmen müssen regelmäßige Sicherheitsaudits durchführen und ein aktives Monitoring von Änderungen in Microsoft-Diensten umsetzen. Die Informationssicherheit muss auf allen Ebenen gewährleistet sein, um Compliance und Schutz zu garantieren.
Die DSK bemängelte, die Ausgestaltung der Rückgabe- und Löschverpflichtung genüge nicht den gesetzlichen Anforderungen. Microsoft bietet nun einen Löschprozess an. Kunden können Daten selbst löschen oder löschen lassen, wenn sie schneller gelöscht werden müssen als im Standardprozess vorgesehen.
Die DSK kritisierte, Microsoft informiere nicht über jede beabsichtigte Änderung bei Unterauftragnehmern, wie Art. 28 DSGVO dies fordert.
Microsoft hält im Service Trust Portal detaillierte Informationen über jeden Unterauftragnehmer bereit. Die Information erfolgt sechs Monate beziehungsweise einen Monat im Voraus. Alle Kunden erhalten diese Informationen und können sie problemlos zur Kenntnis nehmen.
Die DSK stellte fest, Microsoft übermittle personenbezogene Daten unzulässig in die USA und andere Staaten.
Die Rechtslage hat sich grundlegend geändert. Der Angemessenheitsbeschluss der EU-Kommission zum Data Privacy Framework legalisiert Datenübermittlungen in die USA. Microsoft hat seine Datenverarbeitung technisch-organisatorisch so verändert, dass sie zu einem weit überwiegenden Anteil im Europäischen Wirtschaftsraum stattfindet. Für Übermittlungen an Unterauftragnehmer in anderen Staaten gelten Standardvertragsklauseln.
Seit Februar 2025 ist die EU Data Boundary offiziell abgeschlossen. Sie garantiert, dass Kundendaten, Diagnosedaten und die meisten Inhaltsdaten von Microsoft 365 ausschließlich im Europäischen Wirtschaftsraum gespeichert und verarbeitet werden. Diese Erweiterung betrifft nun auch EFTA-Staaten wie die Schweiz, Norwegen und Island.
Der datenschutzkonforme Betrieb funktioniert nur, wenn Verantwortliche ihre Pflichten erfüllen. Microsoft als Auftragsverarbeiter kann nicht alles allein leisten. Der Bericht enthält deshalb konkrete Handlungsempfehlungen für öffentliche und nicht-öffentliche Stellen in Hessen. Sie müssen das DPA prüfen, ihre Verarbeitungsverzeichnisse führen, Datenschutz-Folgenabschätzungen durchführen und technisch-organisatorische Maßnahmen umsetzen.
Zu den aktuellen Risiken im Cloud-Kontext zählen Fehlkonfigurationen, mangelhaftes Identitäts- und Zugriffsmanagement und interne Bedrohungen, insbesondere durch privilegierte Accounts. Unternehmen müssen diese Risiken durch ein aktives Informationssicherheitsmanagement minimieren.
Sie haben bereits einen externen Datenschutzbeauftragten und möchten einen schnellen Preis-Leistungs-Vergleich? Nutzen Sie unseren Rechner für eine individuelle Preiskonfiguration.
Der Bericht umfasst vier Anlagen. Die Interpretationshilfe von Microsoft ordnet DPA-Inhalte den DSGVO-Anforderungen zu. Das M365-Kit bietet Mustervorlagen und Beispiele. Die Taxonomie des HBDI erklärt Datenbegriffe. Die vierte Anlage listet datenschutzrechtliche Anforderungen an Datenverarbeitungsverfahren auf.
Ein besonderes Thema ist das neue M365-Kit von Microsoft und Vorlagen zur Datenschutz-Folgenabschätzung, die im November 2025 aktualisiert wurden. Diese Tools helfen Anwendern und Verantwortlichen, die eigenen Dokumentations- und Nachweispflichten gegenüber Aufsichtsbehörden zu erfüllen und die Umsetzung technischer sowie organisatorischer Maßnahmen systematisch zu planen.
Nach drei Jahren intensiver Arbeit ist der Nachweis erbracht: M365 lässt sich DSGVO-konform betreiben. Verantwortliche in Hessen haben nun Rechts- und Handlungssicherheit für den Einsatz von M365-Produkten.
Diese Entwicklung ist ein Meilenstein für die digitale Transformation in Deutschland. Unternehmen und Behörden können Microsoft 365 nun ohne rechtliche Bedenken nutzen, sofern sie die vom HBDI dokumentierten Anforderungen erfüllen. Die Zusammenarbeit zwischen Microsoft und dem HBDI zeigt, dass auch bei komplexen Cloud-Diensten Datenschutz-Compliance erreichbar ist.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen