Microsoft 365 auf dem Prüfstand des HBDI:

Veröffentlicht am 23. November 2025 von SWinkler

HBDI-Bericht zu Microsoft 365 (November 2025)

Am 15. November 2025 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einen umfassenden Bericht zur datenschutzrechtlichen Bewertung von Microsoft 365 (M365) veröffentlicht. Dieser Bericht ist das Ergebnis mehrmonatiger Verhandlungen des HBDI (unter Leitung von Prof. Dr. Alexander Roßnagel) mit Microsoft. Ziel war es herauszufinden, unter welchen Bedingungen ein datenschutzkonformer Einsatz von M365 möglich ist – und zwar praxisnah für Unternehmen, Behörden und Bildungseinrichtungen. Zwar bezieht sich der Bericht hauptsächlich auf jene Einrichtungen in Hessen, gilt aber letztendlich in ganz Deutschland.

Der HBDI-Bericht kommt zu einer wegweisenden Feststellung: Unter bestimmten Voraussetzungen kann Microsoft 365 datenschutzkonform genutzt werden[2]. Allerdings bedeutet dies kein pauschaler Freifahrtschein. Vielmehr müssen Verantwortliche – also die Unternehmen, Behörden oder Schulen, die M365 einsetzen – eine Reihe von Vorgaben und Schutzmaßnahmen umsetzen, damit der Einsatz wirklich DSGVO-konform ist. Im Folgenden fassen wir zusammen, wer den Bericht verfasst hat, welche Kritikpunkte an Microsoft 365 geäußert wurden, was dies für die Praxis bedeutet, welche Empfehlungen sich ergeben, wer besonders betroffen ist und wie Risiken für die Betroffenen minimiert werden können.

Hintergrund zum Bericht

Der Landesdatenschutzbeauftragten Hessens hat sich im Sommer 2024 seitens des hessischen Digitalministeriums frühzeitig mit dem geplanten Einsatz von M365 in der Verwaltung befasst und ab Januar 2025 in insgesamt zehn Gesprächsrunden mit Microsoft nach Lösungen gesucht.

Dabei dienten sieben zentrale Kritikpunkte als Verhandlungsgrundlage – Punkte, die zuvor die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) im Jahr 2022 als Mängel identifiziert hatte. Im Bericht beschreibt der HBDI diese Kritikpunkte, bewertet sie rechtlich und berichtet, welche Verbesserungen Microsoft in Reaktion darauf vorgenommen hat.

Zentrale Kritikpunkte am Datenschutz von Microsoft 365

Der Datenschutznachtrag (Data Protection Addendum, DPA) von Microsoft 365 in der Fassung von 2022 entsprach nach Einschätzung der DSK nicht vollständig den Anforderungen von Art. 28 DSGVO. Konkret wurden sieben Haupt-Kritikpunkte benannt, die der HBDI-Bericht aufgreift:

  1. Fehlende Klarheit über Art, Zweck und Umfang der Datenverarbeitung: Verantwortliche konnten im Microsoft-DPA kaum präzise festlegen, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden. Das erschwerte es, die Verarbeitung ordnungsgemäß zu dokumentieren. Microsofts Reaktion: Ergänzende Informationsmaterialien (eine Interpretationshilfe, ein M365-Kit mit Dokumentation und eine Taxonomie) wurden bereitgestellt, und für öffentliche Stellen wurde der DPA überarbeitet. So sollen Verantwortliche nun genügend Informationen erhalten, um die Datenverarbeitung durch MS zu verstehen und z.B. im eigenen Verarbeitungsverzeichnis zu dokumentieren.
  2. Weitreichende Rechte für Microsofts eigene „Geschäftstätigkeiten“ (Telemetrie-Daten): Microsoft behielt sich sehr allgemein das Recht vor, bestimmte Daten aus M365 für eigene Geschäftszwecke zu verarbeiten – vereinfacht gesagt Telemetrie- und Diagnosedaten zur Produktverbesserung. Diese Klausel war unzureichend konkret. Microsofts Klarstellung: Laut HBDI verarbeitet MS im Rahmen der eigenen Geschäftstätigkeiten ausschließlich Log- und Diagnosedaten (also keine Inhaltsdaten) und dies nur in anonymisierter und aggregierter Form im Interesse der Kunden. Rückschlüsse auf einzelne Personen seien daraus nicht möglich, so dass diese Datennutzung entweder nicht unter die DSGVO fällt oder als datenschutzrechtlich vertretbar anzusehen ist. (Mit anderen Worten: Telemetriedaten werden laut Microsoft so verarbeitet, dass Individuen daraus nicht identifiziert werden können.)
  3. Verarbeitung ohne Weisung und Datenweitergabe an Dritte/Drittstaaten: Der alte DPA räumte Microsoft das Recht ein, Daten ohne ausdrückliche Weisung des Kunden zu verarbeiten und gegebenenfalls offenzulegen, auch gegenüber Stellen in Drittstaaten. Dies untergrub das vom Gesetz verlangte Weisungs- und Kontrollrecht des Auftraggebers. Microsofts Änderung: Im aktuellen DPA verpflichtet sich Microsoft, personenbezogene Daten nur noch auf dokumentierte Anweisung des Kunden zu verarbeiten. Datenweitergaben an Behörden oder Dritte erfolgen nur noch, wenn sie auf das geltende EU-/nationale Recht gestützt sind oder auf Kunden-Weisung erfolgen. Microsoft unterwirft sich also den europäischen Vorgaben, z.B. was Auskünfte an ausländische Behörden angeht. Insbesondere wird im DPA nun auf Union- oder Mitgliedstaatsrecht verwiesen, dem Microsoft unterliegt – Zugriffe nach US-Recht (CLOUD Act, FISA 702 etc.) sollen demnach nur im Rahmen des EU-Rechts möglich sein.
  4. Unzureichende Verpflichtung auf technische und organisatorische Maßnahmen (TOM): Die DSK bemängelte, dass Microsoft sich im DPA nicht ausdrücklich dazu verpflichtete, alle Sicherheitsmaßnahmen nach Art. 32 DSGVO umzusetzen. Nachbesserung: Microsoft hat nun zugesichert, sämtliche Anforderungen aus Art. 32 DSGVO („Stand der Technik“) einzuhalten. Die getroffenen Sicherheitsmaßnahmen sind im Microsoft Trust Center dokumentiert und werden laut MS regelmäßig überprüft.
  5. Löschung und Rückgabe personenbezogener Daten: Die vertraglichen Regelungen, wie personenbezogene Daten nach Vertragsende zurückgegeben oder gelöscht werden, genügten nicht vollständig den gesetzlichen Vorgaben. Heute: Microsoft bietet einen klar definierten Löschprozess an. Kunden haben die Möglichkeit, jederzeit alle ihre Daten selbst zu löschen oder löschen zu lassen, noch bevor die standardmäßigen Fristen ablaufen. Außerdem gibt es nun Prozesse, um Daten nach Vertragsende für eine gewisse Zeit bereitzuhalten und dann endgültig zu entfernen, falls der Kunde vorher nicht alles exportiert hat.
  6. Informationspflicht bei Unterauftragsverarbeitern: Art. 28 DSGVO verlangt, dass der Verantwortliche über jede beabsichtigte Änderung bei Unterauftragnehmern informiert wird. Das alte DPA erfüllte dies nicht ausreichend – Microsoft informierte nur mit relativ allgemeiner Frist. Jetzt: Microsoft veröffentlicht mindestens 6 Monate im Voraus (für Kundendaten) bzw. 1 Monat im Voraus (für andere Daten) detaillierte Informationen zu neuen oder wechselnden Unterauftragsverarbeitern im Service Trust Portal. Alle Kunden können diese Infos dort problemlos zur Kenntnis nehmen. Effektiv haben Kunden so die Möglichkeit, Änderungen frühzeitig zu prüfen. (Microsoft gesteht Kunden sogar ein Widerspruchsrecht zu; im Zweifel könnte der Kunde den Vertrag kündigen, falls ein neuer Subunternehmer inakzeptabel wäre.)
  7. Datenübermittlung in unsichere Drittstaaten (insb. USA): Kritisiert wurde insbesondere, dass Microsoft für den Betrieb von M365 personenbezogene Daten in die USA übermittelte, ohne dass dies nach Schrems II rechtmäßig abgesichert war. Entwicklung 2023/2024: Inzwischen ist die Rechtslage teils anders: Durch den neuen Angemessenheitsbeschluss der EU-Kommission zum EU–US Data Privacy Framework (DPF) gelten Datentransfers in die USA für dort zertifizierte Unternehmen als zulässig. Microsoft hat sich nach eigenen Angaben entsprechend zertifizieren lassen (für „HR Data“ und „Non-HR Data“ unter dem DPF). Zudem hat Microsoft technische/organisatorische Maßnahmen ergriffen, um die Verarbeitung weitestgehend im Europäischen Wirtschaftsraum stattfinden zu lassen– Stichwort EU Data Boundary. Verbleibende Übermittlungen in die USA oder andere Drittstaaten erfolgen nur noch in Ausnahmefällen (etwa für Supportzwecke) und sind dann durch EU-Standardvertragsklauseln abgesichert. Auf diese Weise soll sichergestellt sein, dass Drittstaatentransfers den DSGVO-Anforderungen genügen und rechtliche sowie tatsächliche Risiken für die betroffenen Personen minimiert werden.

Zusammenfassend stellt der HBDI fest, dass Microsoft auf die DSK-Kritikpunkte reagiert hat und das DPA (Stand 09/2025) nun deutlich verbessert wurde. Viele ursprünglich unklare oder problematische Regelungen wurden präzisiert. Wichtig: Der Bericht selbst enthält nicht nur diese Bestandsaufnahme, sondern geht auch ausführlich in die rechtliche Bewertung der einzelnen Punkte. So wird z.B. diskutiert, unter welchen Bedingungen die Aggregation von Diagnosedaten datenschutzrechtlich zulässig sein kann, und dass Microsoft im öffentlichen Sektor als reiner Auftragsverarbeiter agieren kann, wenn die neuen DPA-Öffnungen als Weisung des Kunden interpretiert werden. Die juristischen Details gehen über diesen Blogartikel hinaus, aber das Fazit lautet:

→ Mit den vorgenommenen Änderungen und Klarstellungen ist ein datenschutzkonformer Betrieb von Microsoft 365 grundsätzlich möglich – allerdings nur, wenn die Kunden von Microsoft ebenfalls ihren Pflichten nachkommen.

Bedeutung für die Praxis: Was heißt das für den Einsatz von M365?

Für Unternehmen, Behörden und Bildungseinrichtungen bedeutet der HBDI-Bericht vor allem eins: Es gibt nun eine Orientierungshilfe, wie man Microsoft 365 datenschutzgerecht betreiben kann, statt eines generellen Verbots. Der HBDI stellt klar, dass bei Einhaltung aller Empfehlungen sowohl im öffentlichen als auch im privaten Sektor der DSGVO-konforme Einsatz von M365 erreichbar ist.

Das „Go“ ist aber an Bedingungen geknüpft. Organisationen können sich nicht zurücklehnen, nur weil Microsoft bestimmte Zusagen gemacht hat. Vielmehr muss jede verantwortliche Stelle selbst aktiv werden:

  • Keine automatische Entwarnung: Auch wenn der Hessische Datenschützer grünes Licht unter Auflagen gibt, heißt das nicht, dass M365 nun bedenkenlos „out of the box“ genutzt werden kann. Andere Landes-Datenschützer mögen die Lage ähnlich sehen, haben aber teils noch Vorbehalte. Jede Organisation sollte die eigene Risikoanalyse durchführen, am besten in Form einer Datenschutz-Folgenabschätzung (DPIA), um die spezifischen Risiken ihres M365-Einsatzes zu ermitteln.
  • Konfiguration ist entscheidend: Microsoft 365 bietet viele Einstellungen. Datenschutz durch Technik und Voreinstellungen muss aktiv umgesetzt werden[17]. Das heißt, die IT-Verantwortlichen sollten alle Funktionen und Dienste von M365 auf den Prüfstand stellen: Welche Komponenten werden wirklich gebraucht? Welche optionalen Features (z.B. cloudbasierte KI-Assistenz, Telemetrie, LinkedIn-Integration etc.) lassen sich deaktivieren, wenn sie datenschutzrechtlich problematisch sind? Der Grundsatz „Privacy by Default“ verlangt, dass nur die datenschutzfreundlichsten Einstellungen aktiv sein sollten, sofern nicht ein triftiger Grund dagegen spricht.
  • Gemeinsame Verantwortung: Der Bericht betont, dass Microsoft und die Kunden zusammenwirken müssen[18][19]. Microsoft stellt Dokumentationen, Verträge (z.B. das spezielle DPA-öff für öffentliche Stellen) und technische Tools bereit – die Kunden müssen diese aber auch nutzen. Beispielsweise nützt es nichts, dass Microsoft Löschwerkzeuge anbietet, wenn ein Unternehmen kein Löschkonzept hat oder die Tools nicht einsetzt. Ebenso bringt die beste Dokumentation nichts, wenn sie im Alltag nicht beachtet wird.

In der Praxis bedeutet dies: Jede Organisation muss intern Prozesse etablieren, um den M365-Einsatz fortlaufend datenschutzkonform zu halten. Dazu gehört etwa, dass die IT-Abteilung eng mit demder Datenschutzbeauftragten zusammenarbeitet, regelmäßige Audits durchführt, neue Microsoft-Updates oder -Änderungen beobachtet und bei Bedarf Anpassungen vornimmt.

Wer ist besonders betroffen?

Grundsätzlich sind alle M365-Nutzerorganisationen betroffen, da die DSGVO für jedes Unternehmen (privat oder öffentlich) gilt, das personenbezogene Daten verarbeitet. Einige Bereiche verdienen aber besondere Aufmerksamkeit:

  • Öffentliche Stellen (Behörden): Viele Behörden (von Kommunen bis Landesbehörden) nutzen oder planen M365. Für sie galt bisher große Unsicherheit, da im öffentlichen Sektor die Messlatte oft höher liegt (z.B. dürfen Behörden sich nicht ohne weiteres auf „berechtigte Interessen“ stützen, und sie verarbeiten oft sensible Bürgerdaten). Hessen hat hier eine Vorreiterrolle übernommen, indem es mit Microsoft einen speziellen öffentlichen-DPA ausgehandelt hat. Öffentliche Stellen müssen nun genau prüfen, ob sie mit diesen Anpassungen und den empfohlenen Maßnahmen ihre vielen Datenschutzpflichten (Transparenz, Informationssicherheit, Zweckbindung etc.) erfüllen können. Besonders heikel ist es, wenn sehr sensitive Daten (Gesundheit, Justiz, Sozialdaten) in der Cloud verarbeitet werden – hier ist noch mehr Vorsicht geboten.
  • Bildungseinrichtungen (Schulen, Hochschulen): In den letzten Jahren gab es kontroverse Diskussionen, ob Schulen Microsoft 365 einsetzen dürfen – einige Landesdatenschützer untersagten den Einsatz zeitweise, wegen Datenschutzbedenken (etwa in Hessen 2019 und in Baden-Württemberg 2022 für Schulen). Nun zeigt der HBDI-Bericht einen Weg auf, wie M365 unter Bedingungen genutzt werden kann. Dennoch: Gerade bei minderjährigen Schülerinnen gelten strenge Maßstäbe. Schulen sollten sehr genau hinsehen, welche Daten durch M365 fließen (z.B. Schülerkonten, Lernplattform-Inhalte) und ob ggf. Einwilligungen der Eltern nötig sind. Die Telemetriedaten-Anpassungen von Microsoft (Inhaltsagnostizität) sind hier wichtig, aber Schulen müssen immer noch sicherstellen, dass z.B. keine ungeklärten Datenabflüsse stattfinden. Empfehlenswert ist für Schulen ggf. auch das Abwägen von Alternativen* (Open-Source-Lösungen oder Landeslösungen), zumindest als Übergang, falls sich einzelne Risiken nicht zufriedenstellend mitigieren lassen.
  • Unternehmen mit hohem Datenschutz-Risiko: Alle Unternehmen müssen Datenschutz beachten, aber wer besondere Kategorien personenbezogener Daten verarbeitet (z.B. im Gesundheitswesen, Finanzsektor oder Personalwesen großer Konzerne) sollte extra sorgfältig sein. Gleiches gilt für Unternehmen, die stark von M365 abhängen und ggf. internationale Datenflüsse haben. Hier ist oft eine intensive Abstimmung mit dem Datenschutzbeauftragten erforderlich, um z.B. technische Zusatzmaßnahmen zu ergreifen (etwa Verschlüsselung sensibler Inhalte, sog. Customer Key oder Double Key Encryption, um Daten für Microsoft unlesbar zu machen). Solche Firmen sollten auch überlegen, ob wirklich alle Arbeitsbereiche M365 benötigen oder ob man für besonders schützenswerte Daten getrennte Lösungen nutzt.
  • Kleine und mittelständische Unternehmen (KMU): Auch KMU setzen häufig M365 ein, haben aber oft nicht die Ressourcen einer großen IT- und Rechtsabteilung. Für sie ist der HBDI-Bericht besonders hilfreich, weil er klare Empfehlungen gibt, was zu tun ist. KMU sind zwar im gleichen Maße verpflichtet, aber sie sollten pragmatisch vorgehen: sich an der nun veröffentlichten Checkliste orientieren (siehe unten) und ggf. externe Beratung hinzuziehen, um nichts zu übersehen. Positiv ist, dass Microsoft mit dem M365-Kit und Trust Center nun mehr transparente Infos bereitstellt, die auch KMU nutzen können, um ihre Dokumentationspflichten zu erfüllen.

Kurz gesagt: Jede Organisation, die M365 nutzt, ist in der Pflicht. Besonders aufmerksam sollten jene sein, die mit sensiblen Daten oder schutzbedürftigen Personengruppen zu tun haben. Für sie kann es neben den empfohlenen Maßnahmen auch sinnvoll sein, konzernweite oder verbandsweite Richtlinien zum M365-Einsatz zu entwickeln (z.B. in Schulverbänden, kommunalen IT-Dienstleistern etc.), um einheitliche Datenschutzstandards sicherzustellen.

Handlungsempfehlungen des HBDI

Der HBDI-Bericht enthält einen ausführlichen Abschnitt mit Handlungsempfehlungen (Kapitel F III.), der Verantwortlichen dabei helfen soll, den datenschutzkonformen Einsatz von M365 umzusetzen[16][15]. Diese Empfehlungen richten sich an öffentliche und private Stellen gleichermaßen und decken alle oben genannten Themenfelder ab – von der Vertragsgestaltung über die Technik-Konfiguration bis zur organisatorischen Umsetzung.

Im Kern betont der Bericht: Wenn die spezifischen Empfehlungen eingehalten werden und der Verantwortliche seinen übrigen DSGVO-Pflichten nachkommt, dann ist ein rechtmäßiger Betrieb möglich. Organisationen sollten also die folgenden Bereiche besonders im Blick haben:

  • Festlegung von Zweck und Umfang: Definieren Sie genau, wofür Sie M365 einsetzen und welche Daten dabei verarbeitet werden. Halten Sie diese Zwecke und Datenkategorien schriftlich fest (z.B. im Verzeichnis von Verarbeitungstätigkeiten). Microsoft bietet mit dem M365-Kit und der Interpretationshilfe jetzt bessere Unterstützung, diese Dokumentation vorzunehmen. Nutzen Sie diese Informationen, um innerhalb Ihrer Organisation Klarheit zu schaffen, welche Dienste von M365 für welche Geschäftsprozesse freigegeben sind – und zu welchen Bedingungen.
  • Eigene Verantwortung vs. Microsofts Geschäftstätigkeiten: Machen Sie sich bewusst, dass Telemetrie- und Diagnosedaten bei jeder Nutzung von M365 anfallen können. Konfigurieren Sie daher die Übermittlung dieser Diagnosedaten sehr sorgfältig. In den Einstellungen von M365 (und Windows/Office) lässt sich oft festlegen, ob nur erforderliche Diagnosedaten oder auch optionale Daten gesendet werden. Stellen Sie hier die datensparsamste Option ein. Der HBDI empfiehlt eine differenzierte Betrachtung: Welche Telemetriedaten sind wirklich technisch nötig für die Auftragsverarbeitung, und welche gehen darüber hinaus? Alles, was nicht unbedingt erforderlich ist, sollte abgeschaltet oder unterbunden werden. Wichtig: Inhaltsdaten (E-Mails, Dokumente etc.) werden laut Microsoft nicht für deren eigene Zwecke verarbeitet– achten Sie aber darauf, dass dies so bleibt (keine Funktionen aktivieren, die evtl. Inhalte zu MS übertragen, z.B. bestimmte Cloud-Analysetools). Im Zweifel: Fragen Sie bei Microsoft nach, wenn unklar ist, welche Daten eine Funktion übermittelt.
  • Weisungsrecht durchsetzen: Als Verantwortlicher müssen Sie Herr der Daten bleiben. Stellen Sie sicher, dass alle Datenverarbeitungen nur auf Ihre Weisung hin erfolgen. Praktisch heißt das: Nutzen Sie die administrativen Kontrollmöglichkeiten von M365. Beispielsweise können Sie im Compliance Center festlegen, wer auf welche Daten zugreifen darf, welche Regionen für die Datenspeicherung verwendet werden (Geo-Auswahl), und Sie können Microsoft anweisen, bestimmte Dienste (z.B. Cortana for Enterprise, was Telemetriedaten nutzt) nicht zu aktivieren. Transparenz: Dokumentieren Sie alle Einstellungen. Falls Microsoft doch Daten an Dritte weitergeben müsste (etwa im Support-Fall oder bei rechtlichen Anfragen), sollte das laut neuem DPA nur noch in Einklang mit EU-Recht geschehen. Fordern Sie von Microsoft im Zweifel Nachweise ein, dass und wie solche Anforderungen gehandhabt werden (der DPA, insbesondere in der öffentlichen Sektor-Version, enthält hier klare Zusicherungen, etwa keine freiwillige Herausgabe bei ausländischen Behördenersuchen).
  • Technische und organisatorische Maßnahmen (TOM) prüfen: Verlassen Sie sich nicht blind darauf, dass Microsoft schon „alles sicher macht“. Überprüfen Sie regelmäßig die von Microsoft ergriffenen Sicherheitsmaßnahmen. Microsoft stellt im Trust Center und Compliance-Dashboard Infos über Verschlüsselung, Zugriffsprotokollierung, Zertifizierungen (ISO 27001, C5 etc.) bereit. Sichten Sie diese Dokumente und prüfen Sie, ob die Maßnahmen zu Ihrem Schutzniveau passen. Nutzen Sie ggf. eigene Audits: Der HBDI empfiehlt, in angemessenen Fällen eigene technische Prüfungen durchzuführen, etwa Penetrationstests auf Ihrer M365-Umgebung oder regelmäßige Sicherheits-Audits. Außerdem sollten Sie auf dem aktuellen Stand bleiben, was Updates und neue Sicherheitsfeatures angeht (z.B. neue Verschlüsselungsfunktionen sofort evaluieren und einsetzen, wenn sinnvoll). Kurz gesagt: IT-Sicherheit und Datenschutz gehen Hand in Hand – Sie tragen als Nutzer weiterhin Verantwortung, dass die Sicherheitsstandards eingehalten werden, auch wenn Microsoft vertraglich Art. 32 DSGVO zusichert.
  • Löschung und Aufbewahrung: Entwickeln Sie ein Löschkonzept für in M365 gespeicherte Daten. Überlegen Sie: Welche Daten müssen wie lange vorgehalten werden (Stichwort Aufbewahrungsfristen, bspw. E-Mails geschäftlich 6 oder 10 Jahre)? Und wie können diese Fristen mit M365-Mitteln umgesetzt werden? Microsoft bietet diverse Retention- und Deletion-Tools (z.B. Aufbewahrungsrichtlinien, automatische Löschfunktionen, das Purview Compliance-Portal zur Suche und Klassifizierung von Daten). Der HBDI rät: Nutzen Sie diese Funktionen beim Erstellen Ihres Löschkonzepts. Legen Sie eigene Löschfristen fest, falls die Standardprozesse von MS nicht all Ihren Anforderungen genügen. Dokumentieren Sie, welche Einstellungen Sie vorgenommen haben (z.B. „OneDrive löscht gelöschte Dateien nach 30 Tagen endgültig“ etc.). Testen Sie die vorgesehenen manuellen Löschprozesse – z.B. einmal üben, wie man am Vertragsende alle Inhalte exportiert und das Tenant löscht. Beachten Sie: Wenn Ihr Vertrag mit MS endet, werden laut Microsoft die Inhalte zunächst 90 Tage in einem eingeschränkten Konto aufbewahrt und danach innerhalb weiterer 90 Tage gelöscht. Diese Fristen müssen zu Ihren gesetzlichen Pflichten passen. Wenn Sie z.B. wünschen, dass Daten sofort gelöscht werden, müssen Sie das aktiv anstoßen.
  • Unterauftragsverarbeiter im Blick behalten: Microsoft arbeitet mit einer Vielzahl von Subunternehmern (z.B. Rechenzentrumsbetreiber, Support-Dienstleister). Änderungen dabei können Risiken bergen – etwa, wenn ein neuer Subunternehmer in einem Drittland sitzt. Behalten Sie daher die Infos zu Unterauftragsverarbeitern im Auge. Microsoft veröffentlicht Änderungen im Service Trust Portal; abonnieren Sie entsprechende Benachrichtigungen oder prüfen Sie das Portal regelmäßig. Stellen Sie sicher, dass Sie rechtzeitig von geplanten Änderungen erfahren (das können Sie erreichen, indem Sie sich im Admin-Portal für Änderungsmitteilungen registrieren, Newsletter beziehen oder einen Dienstleister damit beauftragen). Wenn Microsoft einen neuen Unterauftragsverarbeiter ankündigt, bewerten Sie umgehend das Datenschutzrisiko: In welchem Land wird der arbeiten? Welche Daten könnte er verarbeiten? Falls Sie Bedenken haben (etwa Datenschutzprobleme bei diesem Dienstleister), können Sie von Ihrem Vertrag Recht Gebrauch machen: Wenden Sie sich an Microsoft, äußern Sie den Widerspruch und suchen Sie nach Lösungen – z.B. dass Ihre Daten nur in einer Region bleiben, oder im Extremfall, kündigen Sie den betreffenden Dienst bevor die Änderung wirksam wird. So extreme Schritte werden selten nötig sein, aber vorbereitet sein lohnt sich.
  • Drittstaatentransfers absichern: Trotz EU Data Boundary lässt es sich manchmal nicht vermeiden, dass bestimmte Daten in Drittländer fließen (z.B. wenn ein US-Support-Techniker im Rahmen der Customer Lockbox auf Ihr System zugreifen muss, oder wenn Sie freiwillig einen globalen Dienst aktivieren). Stellen Sie sicher, dass für jeden internationalen Datenfluss eine gültige Rechtsgrundlage vorliegt. Konkret: Prüfen Sie, ob Microsoft für relevante Datenströme das EU-US Data Privacy Framework nutzt (nur möglich, solange MS selbst zertifiziert ist und der Empfänger darunter fällt), oder ob Standardvertragsklauseln (SCCs) abgeschlossen wurden. Microsoft gibt an, SCCs mit allen Unterauftragsverarbeitern zu schließen, inkl. solchen in Ländern wie Indien ohne angemessenes Niveau. Trotzdem muss Ihre Datenschutz-Folgenabschätzung auch die restlichen Risiken betrachten: Selbst mit SCC kann ein Restrisiko durch z.B. ausländische Gesetze bestehen. Ergreifen Sie daher ggf. zusätzliche Schutzmaßnahmen: Verschlüsseln Sie personenbezogene Inhalte Ende-zu-Ende, schränken Sie Zugriffe ein (Geo-Fencing), nutzen Sie Pseudonymisierung, wo möglich. Dokumentieren Sie diese Maßnahmen, um im Zweifel nachzuweisen, dass Sie dem Schrems II-Urteil gerecht geworden sind. Der HBDI weist darauf hin, dass im Einzelfall sogar Art. 49 DSGVO Ausnahmen in Betracht kommen könnten (etwa Einwilligung der Betroffenen für einen spezifischen Drittlandtransfer) – aber das sollte wirklich nur ultima ratio sein.
  • Schulung und Sensibilisierung: Stellen Sie sicher, dass auch Mitarbeitende und Administratoren die Datenschutzrichtlinien im Umgang mit M365 kennen. Weisen Sie z.B. darauf hin, welche Daten nicht über bestimmte Kanäle geteilt werden sollen (z.B. keine vertraulichen Inhalte in unverschlüsselten Teams-Chats mit Externen, etc.), oder wie mit neuen KI-Features umzugehen ist (sofern die z.B. Daten zu Microsoft senden, sollten User das wissen und vermeiden, sensible Daten einzugeben). Führen Sie regelmäßige Datenschutz-Schulungen im Kontext der verwendeten Tools durch. Microsoft schult intern seine Entwickler in Datenschutzfragen; ebenso sollten Sie Ihre Anwender schulen, verantwortungsvoll mit der Cloud umzugehen.
  • Alternativen in Betracht ziehen: Trotz aller Möglichkeiten sollte man auch über den Tellerrand schauen. Der HBDI empfiehlt allgemein, bei der Auswahl von IT-Produkten immer auch alternative Lösungen zu prüfen – Stichwort Digitale Souveränität. Für manche Organisationen kann es sinnvoll sein, zumindest parallel auf Open-Source oder EU-basierte Kollaborationsplattformen zu setzen, um nicht völlig von einem Anbieter abhängig zu sein. Alternativen (z.B. Nextcloud, LibreOffice Online, lokale E-Mail-Server) mögen funktional nicht immer gleichwertig sein, bieten aber ggf. volle Datenhoheit. Selbst wenn man Microsoft 365 nicht komplett ersetzen kann oder will, schafft ein zweites Standbein mehr Verhandlungsmacht und reduziert die Risiken, falls sich Rahmenbedingungen ändern. Dieser Punkt ist weniger eine konkrete Vorgabe als ein strategischer Tipp: Datenschutzverantwortliche sollten das Management über solche Optionen informieren.

Die Liste zeigt: Es gibt einiges zu tun, um Microsoft 365 datenschutzgerecht einzusetzen. Der Aufwand lohnt sich aber, denn M365 ist für viele Organisationen geschäftskritisch – und der Bericht beweist, dass Datenschutz und Produktivität vereinbar sein können, wenn man die nötigen Maßnahmen ergreift.

Fazit

Der HBDI-Bericht vom 15.11.2025 zur Datenschutzbewertung von Microsoft 365 liefert gute Nachrichten für alle, die M365 nutzen möchten: Es ist möglich, diesen Cloud-Dienst DSGVO-konform zu betreiben – aber nur mit aktiver Mitwirkung der Nutzerorganisationen. Microsoft hat in vielen Punkten nachgebessert (Verträge, Transparenz, technische Abläufe), doch die Verantwortung liegt weiterhin zu großen Teilen bei den Anwendern selbst, die Vorgaben umzusetzen und zu kontrollieren.

Für Datenschutzverantwortliche und IT-Leitungen bedeutet das konkret: Microsoft 365 darf nicht als „Selbstläufer“ betrachtet werden, sondern als ein System, das man datenschutzgerecht konfigurieren und managen muss. Der HBDI-Bericht bietet hierbei wertvolle Orientierung und eine Art Best Practices-Katalog. Unternehmen, Behörden und Bildungseinrichtungen sollten diese Empfehlungen nun intern aufnehmen, ihre bestehenden M365-Installationen überprüfen und ggf. anpassen.

Handlungsbedarf besteht insbesondere in Bereichen wie Dokumentation der Verarbeitungen, strikte Beschränkung von Telemetriedaten, Überwachung von Datenflüssen (insb. in Drittstaaten), Sicherstellung der Löschkonzepte und fortlaufende Sicherheitsprüfungen. Die bereitgestellten Werkzeuge von Microsoft – vom Trust Center bis zum Compliance-Manager – sollten dabei konsequent genutzt werden, um Nachweise zu führen und Einstellungen zu optimieren.

Abschließend lässt sich sagen: Ein pauschales Verbot von Microsoft 365 ist mit diesem Bericht vom Tisch, zumindest in Hessen und hoffentlich auch als Signal an andere Aufsichtsbehörden. Stattdessen rückt die verantwortungsvolle Nutzung in den Vordergrund. Organisationen, die die beschriebenen Maßnahmen ergreifen, können ihren Mitarbeitenden und Kunden vermitteln, dass moderne Cloud-Tools und Datenschutz miteinander vereinbar sind. Gleichzeitig sollten sie wachsam bleiben: Die Technologie und Rechtslage entwickeln sich ständig weiter (man denke an KI-Features in Office oder mögliche gerichtliche Überprüfungen des EU-US Privacy Frameworks). Es empfiehlt sich, den Dialog mit Datenschutzbehörden und Microsoft fortzuführen.

Für jetzt gilt: Microsoft 365 kann – mit Augenmaß und geeigneten Vorkehrungen – datenschutzkonform eingesetzt werden[18][39]. Verantwortliche sollten die Chance nutzen, ihre digitalen Arbeitswerkzeuge zu modernisieren, ohne den Schutz der Persönlichkeitsrechte zu vernachlässigen. Der HBDI-Bericht bietet dafür eine fundierte Grundlage und eine praktische Anleitung, die in keinem Datenschutz-Toolkit fehlen sollte.

Dieser Beitrag wurde unter Uncategorized abgelegt und mit , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.