HBDI-Bericht 2025: Datenschutzkonformer Einsatz von Microsoft 365 möglich

Veröffentlicht am von

Hintergrund und Ausgangslage

Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im November 2022 festgestellt, dass Verantwortliche den Nachweis eines datenschutzkonformen Betriebs von Microsoft 365 (M365) auf Basis des damaligen Microsoft-Vertrags (Datenschutznachtrag vom 15. September 2022, Data Protection Addendum, DPA) nicht führen konnten. Konkret bemängelte die DSK sieben Punkte, in denen der Microsoft-Datenschutznachtrag den Vorgaben von Art. 28 DSGVO für Auftragsverarbeiter nicht entsprach. Microsoft wies diese Kritik jedoch zurück und hielt die Beanstandungen für unbegründet.

Angesichts dieser Unsicherheit – und aufgrund konkreter Fälle in Hessen sowohl im öffentlichen Dienst als auch bei Unternehmen – nahm der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Gespräche mit Microsoft auf. Ziel war es, unter Berücksichtigung zwischenzeitlicher Entwicklungen (z. B. der Anpassung von Microsofts Verträgen, neuer Kundendokumentationen, rechtlicher Änderungen wie dem EU-US Data Privacy Framework und technischer Maßnahmen wie der EU-Datengrenze) zu prüfen, ob ein praxistauglicher und DSGVO-konformer Einsatz von M365 doch möglich ist. Die Ergebnisse dieser Verhandlungsrunden hat der HBDI am 15. November 2025 in einem ausführlichen Bericht veröffentlicht. Dieser Bericht fasst die Erkenntnisse zu den sieben DSK-Kritikpunkten zusammen, bewertet sie datenschutzrechtlich und gibt Empfehlungen für öffentliche Stellen und Unternehmen (Verantwortliche) mit Sitz in Hessen. Gleichwohl wird davon auszugehen sein, dass diese Schlussfolgerungen auch auf alle anderen Bundesländer übertragbar sind.

Ergebnis: Microsoft 365 kann datenschutzkonform genutzt werden

Drei Jahre nach der DSK-Kritik kommt der HBDI zu dem Schluss, dass – bezogen auf die sieben bemängelten Punkte – ein datenschutzkonformer Betrieb von Microsoft 365 nun möglich ist. In den Verhandlungen stellte der HBDI fest, dass wichtige rechtliche Rahmenbedingungen sich inzwischen geändert haben (etwa der Angemessenheitsbeschluss zum EU-US Data Protection Framework, der Datenübermittlungen in die USA erleichtert) und Microsoft seine Datenverarbeitungsprozesse an europäische Anforderungen angepasst hat. So hat Microsoft den Auftragsverarbeitungsvertrag (DPA) für öffentliche Stellen weiterentwickelt und stellt allen Kunden zusätzliche Informationen und Hilfsmittel bereit – unter anderem eine Interpretationshilfe zum DPA sowie das Microsoft 365-Kit. Diese Dokumente sollen Verantwortlichen helfen, die Datenverarbeitung durch Microsoft besser zu verstehen und zu dokumentieren. Das positive Ergebnis des HBDI beruht jedoch auch auf der Erwartung, dass Microsoft und die Kunden als Verantwortliche zusammenwirken, um die DSGVO-Vorgaben einzuhalten. Mit anderen Worten: Microsoft 365 kann datenschutzgerecht eingesetzt werden, wenn der Hersteller seine Zusagen einhält und die nutzenden Organisationen ihrerseits die notwendigen Datenschutzpflichten erfüllen.

Sieben Kritikpunkte der DSK und wie sie behoben wurden

Im Folgenden sind die sieben ursprünglichen Kritikpunkte der DSK (von 2022) und die nun erreichten Lösungen laut HBDI-Bericht zusammengefasst:

  1. Festlegung von Art und Zweck der Verarbeitung: Die Datenschutzkonferenz bemängelte, dass im Microsoft-Datenschutznachtrag Art und Zweck der Verarbeitung sowie die Kategorien personenbezogener Daten nicht klar festgelegt oder von den Kunden konkretisierbar seien. Microsoft hat daraufhin zusätzliche Materialien bereitgestellt und den DPA – insbesondere für öffentliche Stellen – überarbeitet. Verantwortliche erhalten nun ausreichend Informationen über die von Microsoft vorgenommenen Verarbeitungen und können diese in ihr Verzeichnis der Verarbeitungstätigkeiten aufnehmen.
  2. Eigene Geschäftstätigkeiten von Microsoft: Ursprünglich ließ sich Microsoft im DPA zu weitgehende Rechte für Datenverarbeitungen zu eigenen Geschäftszwecken einräumen. Microsoft hat klargestellt, dass es lediglich Diagnose- und Log-Daten – nicht Inhaltsdaten – in anonymisierter und aggregierter Form für Zwecke des Kunden (Auftraggebers) verarbeitet. Eine solche Verarbeitung fällt entweder nicht unter die DSGVO oder ist datenschutzrechtlich vertretbar.
  3. Weisungsbindung und Offenlegung: Die DSK kritisierte, Microsoft behalte sich im Vertrag vor, Daten ohne Weisung des Kunden zu verarbeiten und sogar an Dritte (auch außerhalb der EU) offenzulegen. Microsoft hat nun verbindlich zugesichert, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden zu verarbeiten. Auch bei Offenlegungen an Dritte unterwirft sich Microsoft den strengen Vorgaben der DSGVO.
  4. Technische und organisatorische Maßnahmen (TOM): Der ursprüngliche Vertrag enthielt keine ausdrückliche Verpflichtung von Microsoft, alle von der DSGVO geforderten technischen und organisatorischen Sicherheitsmaßnahmen umzusetzen. Inzwischen hat Microsoft sich vertraglich verpflichtet, die Anforderungen des Art. 32 DSGVO vollständig und ohne Abstriche einzuhalten. Somit wird garantiert, dass z. B. Verschlüsselung, Wiederherstellungsverfahren und regelmäßige Wirksamkeitsüberprüfungen der Sicherheitsmaßnahmen den gesetzlichen Vorgaben entsprechen.
  5. Löschung und Rückgabe von Daten: Laut DSK genügte die Regelung zur Datenrückgabe und -löschung in der früheren Vertragsfassung nicht in allen Fällen den Vorgaben von Art. 28 DSGVO. Microsoft reagierte und bietet nun einen klar definierten Löschprozess an. Allen Kunden – ob groß oder klein – ist es möglich, Daten eigenständig zu löschen oder deren Löschung durch Microsoft veranlassen zu lassen, falls eine schnellere Löschung erforderlich ist.
  6. Unterauftragsverarbeiter (Subprocessor): Ursprünglich informierte Microsoft die Kunden nicht über jede beabsichtigte Änderung bei Unterauftragsverarbeitern, wie Art. 28 DSGVO es verlangt. Nun veröffentlicht Microsoft im Service Trust Portal für alle Kunden detaillierte Informationen zu jedem bestehenden Unterauftragsverarbeiter – sechs Monate im Voraus (bzw. mindestens einen Monat vorher) vor einer Änderung. Kunden werden über neue Subprocessor informiert und können diese Informationen unkompliziert zur Kenntnis nehmen, um ggf. darauf zu reagieren.
  7. Datenübermittlung in Drittstaaten: Die DSK sah ein Problem darin, dass Microsoft personenbezogene Daten im Rahmen von M365 unzulässig in die USA und andere Staaten übermittelte. Inzwischen hat sich die Rechtslage durch den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework geändert – Datenübermittlungen in die USA gelten nun als zulässig. Außerdem hat Microsoft seine technischen und organisatorischen Prozesse so umgestellt, dass ein weit überwiegender Teil der Datenverarbeitung innerhalb des Europäischen Wirtschaftsraums stattfindet. Soweit dennoch in Einzelfällen Daten an Unterauftragnehmer außerhalb des EWR übertragen werden müssen, gewährleisten Standardvertragsklauseln ein angemessenes Datenschutzniveau.

Handlungsempfehlungen für einen praxistauglichen Einsatz

Der HBDI-Bericht betont, dass ein datenschutzgerechter Einsatz von M365 nur gewährleistet ist, wenn auch die Kunden ihre Pflichten als Verantwortliche erfüllen. Entsprechend enthält der Bericht umfangreiche Handlungsempfehlungen für öffentliche Stellen und Unternehmen mit Sitz in Hessen. Diese sollen den Anwendern grundlegende Rechts- und Handlungssicherheit geben und dabei helfen, M365-Produkte datenschutzkonform zu nutzen. Auch für kleine und mittelständische Unternehmen (KMU) sind diese praxisnahen Empfehlungen relevant, da sie zeigen, welche organisatorischen Maßnahmen beim Einsatz von Microsoft 365 zu treffen sind. Zu den wichtigsten Schritten gehören unter anderem:

  • Dokumentation und Transparenz: Unternehmen sollten die von Microsoft bereitgestellten Informationen (z. B. die Interpretationshilfe zum DPA und das M365-Kit) nutzen, um die Datenverarbeitungen von M365 verständlich zu dokumentieren. Diese Details gehören ins eigene Verzeichnis der Verarbeitungstätigkeiten, damit klar festgehalten ist, welche Daten zu welchen Zwecken verarbeitet werden.
  • Vertragliche Anpassungen prüfen: Verantwortliche sollten sicherstellen, dass sie die aktuelle Fassung des Microsoft-Datenschutznachtrags verwenden – insbesondere öffentliche Stellen, für die ein angepasster DPA bereitsteht. Etwaige Zusatzvereinbarungen (z. B. zur EU-Datengrenze oder zum Umgang mit Support-Daten) sollten geprüft und gegebenenfalls abgeschlossen werden, um die Datenschutzanforderungen abzudecken.
  • Löschkonzept umsetzen: Jedes Unternehmen – ob klein oder groß – sollte ein Löschkonzept für in M365 gespeicherte personenbezogene Daten haben. Die vom HBDI geprüften Lösch- und Rückgabefunktionen von Microsoft sollten aktiv genutzt werden. Beispielsweise kann man festlegen, in welchen Abständen alte Teams-Chats, OneDrive-Dateien oder E-Mails automatisiert gelöscht werden, sofern diese nicht mehr benötigt werden. Für Daten, die auf Verlangen Betroffener oder aus gesetzlichen Gründen schneller entfernt werden müssen, bietet Microsoft Tools an, um eine sofortige Löschung durchzuführen.
  • Unterauftragnehmer überwachen: Verantwortliche sollten regelmäßig das Service Trust Portal von Microsoft besuchen, um sich über eingesetzte Unterauftragsverarbeiter (Subprocessor) zu informieren. Insbesondere KMU, die keine eigenen Datenschutzabteilungen haben, können so frühzeitig erfahren, wenn Microsoft neue Dienstleister einsetzt oder wechselt. Bei Bedenken gegen einen bestimmten Subprocessor besteht ggf. die Möglichkeit, vertragliche Rechte auszuüben oder alternative Dienste zu erwägen.
  • Datenübermittlung im Blick behalten: Auch wenn Übermittlungen in die USA dank des neuen EU-US Datenschutzabkommens wieder zulässig sind, sollten Unternehmen ein Auge auf Datentransfers in andere Drittstaaten haben. Microsofts Zusicherung, größtenteils im EWR zu verarbeiten, sowie der Einsatz von Standardvertragsklauseln bieten hierbei zwar Schutz. Dennoch ist es empfehlenswert, im Datenschutzkonzept festzuhalten, welche Datenkategorien möglicherweise das europäische Gebiet verlassen und welche Garantien (wie SCCs) dafür bestehen.

Fazit

Aus Sicht des HBDI ist es heute möglich, Microsoft 365 datenschutzkonform zu betreiben – ein wichtiges Signal für viele Organisationen, die auf M365 angewiesen sind. Die intensive Prüfung und Verhandlung mit Microsoft hat gezeigt, dass durch Vertragsanpassungen, technische Maßnahmen und transparente Informationen die früheren Datenschutzbedenken ausgeräumt werden können. Für Unternehmen, insbesondere KMU, bedeutet dies mehr Rechtssicherheit beim Einsatz von Cloud-Lösungen im Arbeitsalltag. Dennoch bleibt Datenschutz eine gemeinsame Aufgabe: Microsoft muss seine Zusagen einhalten, und die Anwenderorganisationen müssen die bereitgestellten Hilfsmittel und Empfehlungen aktiv nutzen. Wer diese Hausaufgaben erledigt, kann die Vorteile von Microsoft 365 nun weitgehend sorgenfrei nutzen – und zugleich den Anforderungen der DSGVO gerecht werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert