Nidhi's Craft - stock.adobe.com
Datenschutz: Was Aufsichtsbehörden zu Microsoft 365 sagen
Die Datenschutzanforderungen an Cloud-Dienste wie Microsoft 365 sind umfangreich. Da stellt sich die Frage, welche Punkte Aufsichtsbehörden besonders in den Blick nehmen.
Die Aufsichtsbehörden für den Datenschutz in Deutschland befassen sich schon seit Jahren mit Microsoft 365. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte insbesondere im November 2022 festgestellt, dass die für den Einsatz von Microsoft 365 vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft (DPA) nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Hierbei wurden bestimmte Problemfelder des DPA betrachtet und erläutert.
Wie man dem damaligen Abschlussbericht (PDF) entnehmen kann, enthielt der Bericht weder eigenständige technische Untersuchungen durch die Arbeitsgruppe, noch abschließende Bewertungen der konkreten Umsetzung der vertraglich festgelegten Verarbeitungen, noch behandelte der Bericht für Einzelkomponenten oder -funktionen des Produktpakets Microsoft 365 gegebenenfalls nunmehr maßgebliche datenschutzrechtliche Anforderungen des TTDSG.
Kurz gesagt, hatte die Prüfung der Aufsichtsbehörden einen klaren Fokus, was auch nicht verwunderlich ist, wenn man an die Komplexität der Datenschutzanforderungen bei einer Lösung wie Microsoft 365 denkt.
Doch nun gibt es neue Hinweise aus den Aufsichtsbehörden: Nach dem Europäischen Datenschutzbeauftragten (EDPS) hat nun auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) eine Stellungnahme zum datenschutzkonformen Einsatz von Microsoft 365 veröffentlicht.
Da stellt sich die Frage, was dabei genau im Fokus der Aufsichtsbehörden war, worauf sie also hier insbesondere geachtet haben.
Microsoft 365 und der Einsatz in Hessen
Der HBDI Prof. Dr. Alexander Roßnagel erklärte im November 2025: „Seit Januar 2025 haben wir mit Microsoft in vielen Diskussionsrunden über den Datenschutz bei Microsoft 365 verhandelt. Wir haben im Interesse der Nutzer konstruktiv untersucht, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 möglich ist. Das positive Ergebnis bietet nun den Unternehmen und Behörden in Hessen grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten.“
Die Software Microsoft 365 (M365) kann demnach in Hessen datenschutzkonform genutzt werden, so das Ergebnis des Berichts (PDF) des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zum Einsatz von Microsoft 365, den dieser am 15. November 2025 veröffentlicht hat.
Was hat zu dieser neuen, positiven Beurteilung beigetragen? Was haben sich die Datenschützer aus Hessen insbesondere angesehen?
Neue Hinweise zum Datenschutz bei Microsoft 365
Im Fokus des neuen Berichts stehen erneut nicht einzelne Komponenten oder Produkte von M365, sondern wieder das DPA (Data Protection Addendum, Auftragsverarbeitungsvereinbarung von Microsoft) von Microsoft (zuletzt in der Fassung vom 1. September 2025) und die Frage, mit Hilfe welcher möglichen Verbesserungen die Anforderungen des Art. 28 DSGVO (Auftragsverarbeitung) erfüllt werden können. Ziel war es demnach, vor dem Hintergrund der von der DSK geäußerten Kritikpunkte öffentlichen und nicht-öffentlichen Stellen mehr Rechtssicherheit zu bieten.
In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben: Zum einen haben sich rechtliche Vorgaben verändert wie zum Beispiel die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks. Zum anderen hat Microsoft seine Datenverarbeitung an europäische Anforderungen angepasst wie zum Beispiel durch die EU-Datengrenze, durch die Microsoft fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet. Drittens hat Microsoft Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert. Viertens konnte der HBDI erreichen, dass Microsoft das DPA (für öffentliche Stellen) fortentwickelt hat. Schließlich stellt Microsoft zusätzliche Informationen bereit wie das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt. Das positive Ergebnis beruht auch auf der Erwartung, dass Microsoft und die Verantwortlichen zusammenwirken, damit Verantwortliche M365 datenschutzrechtskonform nutzen können.
Was zur Neubewertung beigetragen hat
Die Datenschutzaufsicht aus Hessen hat auch erläutert, was Microsoft konkret getan hat, um die Kritik der DSK auszuräumen. Daraus lassen sich auch Punkte ableiten, was für eine Optimierung des Datenschutzes bei Auftragsverarbeitern aus Sicht der Aufsichtsbehörde getan werden kann:
- Umfassende Informationen zur Datenverarbeitung, um besser über die Datenverarbeitung zu informieren, so dass Verantwortliche ausreichende Informationen über die Datenverarbeitung erlangen und diese in ihr Verarbeitungsverzeichnis einbinden können.
- Nur Log- und Diagnose-Daten, nicht aber Inhaltsdaten, in anonymisierter und aggregierter Form für Zwecke des Auftraggebers (des verantwortlichen Kunden) verarbeiten, denn diese Datenverarbeitung unterliegt entweder nicht der DSGVO oder ist datenschutzrechtlich vertretbar.
- Personenbezogene Daten nur auf dokumentierte Anweisung des Kunden verarbeiten und sich hinsichtlich Offenlegungen der DSGVO unterwerfen.
- Einen Löschprozess anbieten und es allen Kunden ermöglichen, Daten auch selbst zu löschen oder löschen zu lassen, wenn diese schneller gelöscht werden müssen
- Detaillierte Informationen über jeden Unterauftragnehmer bereithalten und darüber alle Kunden informieren, sodass diese die Informationen problemlos zur Kenntnis nehmen können.
- Mögliche Datenübermittlungen in die USA und andere Staaten auf Basis von Angemessenheitsbeschlüssen der Europäischen Kommission und Standardvertragsklauseln einer Rechtsgrundlage zuführen.
Auch wenn diese Punkte speziell für den Fall Microsoft 365 zu Verbesserungen geführt haben, sind es doch Punkte, die alle Unternehmen (Auftragsverarbeiter) in den Fokus nehmen sollten und die Aufsichtsbehörden auch besonders im Blick haben.
