Microsoft 365 Datenschutz /DSGVO, TTDSG, BDSG

Einleitung

Microsoft 365 (früher Office 365) ist in Unternehmen, Behörden und Bildungseinrichtungen weit verbreitet. Gleichzeitig steht die Cloud-Plattform im Zentrum datenschutzrechtlicher Diskussionen: Erfüllt Microsoft 365 die strengen Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) und der deutschen Gesetze wie dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation- Telemedien-Datenschutzgesetz (TTDSG)? Dieser Fachartikel untersucht detailliert, welche Anforderungen die relevanten Regelwerke an Dienste wie Microsoft 365 stellen, inwieweit Microsoft 365 diese Anforderungen einhält oder verletzt und welche Maßnahmen Microsoft für die Compliance ergriffen hat. Dabei werden gleichermaßen die Perspektiven von Unternehmen, öffentlichen Stellen und Schulen berücksichtigt. Ebenso fließen bekannte Bewertungen durch Datenschutzbehörden (z. B. BayLDA, DSK, EDSA) sowie Gerichtsentscheidungen (etwa zum Datentransfer in Drittstaaten) und Microsofts eigene Stellungnahmen mit ein. Am Ende folgt ein Fazit mit Stärken, Schwächen und konkreten Handlungsempfehlungen für Datenschutzverantwortliche und Entscheider in Deutschland.

Diese Abhandlung steht hier frei einsehbar zur Verfügung.

Wenn Sie sie in Ihrem Unternehmen oder Organisation nutzen möchten, gibt es zwei Versionen:

• Geschütztes PDF: Eine PDF-Version ohne den „Vorschau“-Schriftzug. Das PDF ist druckbar, die Entnahme von Inhalten ist nicht möglich.
• White Label-Version: Diese Variante erhalten Sie als Word-Dokument, so dass Sie das Dokument beliebig modifzieren können.

Kontaktieren Sie mich bitte, wenn Sie eine kommerzielle Fassung dieser Abhandlung möchten.

‌Rechtlicher Rahmen: DSGVO, BDSG, TTDSG und weitere Vorgaben

Bevor wir Microsoft 365 an den gesetzlichen Vorgaben messen, lohnt ein kurzer Überblick über die wichtigsten Datenschutzregelungen:

• Datenschutz-Grundverordnung (DSGVO): Gilt EU-weit und bildet den Kern des Datenschutzrechts. Sie stellt umfangreiche Anforderungen an die Verarbeitung personenbezogener Daten – von Rechtsgrundlagen über technisch-organisatorische Maßnahmen bis zu Rechten Betroffener. Cloud-Dienste wie Microsoft 365 fallen voll in ihren Anwendungsbereich.
• Bundesdatenschutzgesetz (BDSG): Nationale Ergänzung zur DSGVO in Deutschland. Es konkretisiert insbesondere den Beschäftigtendatenschutz (§ 26 BDSG) und enthält Spezialregeln für bestimmte Sektoren (z. B. Verfassungsschutz, Strafverfolgung – im Alltag aber weniger relevant für Microsoft 365).
• Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG): Seit Dezember 2021 in Kraft, fasst es die Datenschutzvorgaben für Telekommunikation und Telemedien zusammen. Wichtig sind hier vor allem § 25 TTDSG (Umsetzung der ePrivacy-Richtlinie, z. B. Cookie-Regel) und Vorschriften zum Fernmeldegeheimnis. Diese greifen, wenn Microsoft 365 Dienste bereitstellt, die als Telemedien oder elektronische Kommunikationsdienste gelten (etwa E-Mail/Skype/ Teams).
• Weitere europäische Vorgaben: Dazu zählen insbesondere die ePrivacy-Richtlinie (deren Bestimmungen in Deutschland durch das TTDSG umgesetzt werden) und Regeln zum internationalen Datentransfer wie die Standardvertragsklauseln (Standard Contractual Clauses – SCC) der EU-Kommission. Nach dem Wegfall des EU-US Privacy Shield durch das Schrems-II- Urteil (EuGH, 16.07.2020) sind SCCs mit zusätzlichen Schutzmaßnahmen zentral für US- Cloudanbieter geworden. Zudem hat die EU 2023 den Data Privacy Framework als neues Abkommen mit den USA auf den Weg gebracht, das voraussichtlich die Datenübermittlung erleichtern soll – zum Zeitpunkt der Analyse ist aber dessen Beständigkeit noch unklar. Auch die Europäische Datenschutz-Grundverordnung für Institutionen (Verordnung 2018/1725 für EU- Organe) und Leitlinien des Europäischen Datenschutzausschusses (EDSA) fließen indirekt ein, etwa wenn sie generelle Empfehlungen zum Cloud-Einsatz geben.Im Folgenden betrachten wir die Anforderungen dieser Regelwerke im Einzelnen und prüfen Microsoft 365 daran. 
  
  

  ‌Microsoft 365 unter der DSGVO – Anforderungen und Realisierung

  Anforderungen der DSGVO an Cloud-Dienste: Die DSGVO verlangt für jede Verarbeitung personenbezogener Daten einen rechtmäßigen Zweck und eine Rechtsgrundlage (Art. 5 und 6 DSGVO). Dienste wie Microsoft 365 müssen Datenschutz durch Technik und Voreinstellungen gewährleisten (Art. 25 DSGVO) – also möglichst sparsame Datenerhebung, sichere Voreinstellungen und Transparenz. Es gelten Betroffenenrechte (Auskunft, Löschung, etc.) und Verpflichtungen für Auftragsverarbeiter (Art. 28 DSGVO). Wenn ein Unternehmen oder eine Behörde Microsoft 365 nutzt, bleibt sie in aller Regel Verantwortlicher im Sinne der DSGVO, während Microsoft als Auftragsverarbeiter tätig wird – zumindest für die Kernfunktionen wie E-Mail-Inhalte, gespeicherte Dokumente etc. (bei Telemetriedaten ist die Rollenverteilung teils umstritten, dazu später mehr). Die DSGVO schreibt dann einen Auftragsverarbeitungsvertrag vor, der u.a. Vertraulichkeit, Weisungsbindung, Unterauftragsnehmer und Sicherheitsmaßnahmen regelt (Art. 28 Abs. 3). Wichtig ist auch die Datensicherheit: Angemessene technische und organisatorische Maßnahmen (Art. 32) zum Schutz vor unbefugtem Zugriff, einschließlich Verschlüsselung, Zugriffskontrollen und Monitoring, sind Pflicht. Schließlich stellt die DSGVO klare Regeln für Datenübermittlungen in Drittstaaten auf (Kapitel V DSGVO): Personenbezogene Daten dürfen nur in Länder außerhalb der EU übertragen werden, wenn dort ein angemessenes Datenschutzniveau besteht oder andere Garantien (z.B. SCCs, Binding Corporate Rules) plus eventuelle Zusatzmaßnahmen greifen.

   

  Konformität von Microsoft 365 mit der DSGVO: Microsoft betont, die DSGVO umfassend zu unterstützen. Tatsächlich bietet Microsoft 365 viele Funktionen, um DSGVO-Anforderungen umzusetzen: Ein genereller Auftragsverarbeitungsvertrag ist in den Online-Dienstleistungsbedingungen integriert; er umfasst die aktuellen EU-Standardvertragsklauseln und Zusagen zu technischen Maßnahmen. Kunden können im Microsoft Compliance Center Dokumentationen und Prüfberichte einsehen und ihre Compliance konfigurieren. Microsoft 365 verfügt über Tools für Datenschutz durch Voreinstellung – z.B. können Administratoren festlegen, welche Daten gesammelt werden (Diagnosedaten-Einstellungen “erforderlich” vs. “optional”). Standardmäßig werden keine Inhalte der Nutzer für Werbung analysiert (im Gegensatz zu kostenlosen Consumer-Diensten), was dem Zweckbindungs- und Datenminimierungsprinzip zugutekommt. Auch bei Betroffenenrechten unterstützt Microsoft 365: Über eDiscovery und Content Search können Unternehmen Daten exportieren, berichtigen oder löschen, um Auskunfts- oder Löschersuchen zu bedienen.

   

  Allerdings wurden in der Vergangenheit auch Verstöße bzw. Risiken identifiziert: Eine wesentliche Kritik betraf die umfangreiche Telemetrie in Office/Windows. So sammelte Microsoft 365 (bzw. Office ProPlus) teils detaillierte Diagnosedaten über Nutzerverhalten, Gerät und teils Inhaltselemente, ohne dass Nutzer oder Admins dem individuell zustimmen oder die Sammlung vollständig abstellen konnten. 2019 deckte eine vom niederländischen Justizministerium beauftragte Datenschutz-Folgenabschätzung erhebliche Probleme auf. Microsoft erfasste bis zu 25.000 verschiedene Datensätze von Office- Anwendungen, darunter Inhaltsfragmente aus Dokumenten, was als personenbezogen und teils exzessiv eingestuft wurde. In Folge passte Microsoft die Produkte an – etwa indem es den Telemetrie-

  Level “Erforderliche Diagnosedaten” deutlich reduzierte und versprach, diese ausschließlich als Auftragsverarbeiter im Kundenauftrag zu erheben. Gleichwohl monierten deutsche Datenschützer, dass weiterhin Restzweifel bestehen: Die Konferenz der Datenschutzaufsichtsbehörden (DSK) führte 2020 Gespräche mit Microsoft, konnte aber keine abschließende Entwarnung geben. Insbesondere für den öffentlichen Sektor sah die DSK eine vollumfänglich DSGVO-konforme Nutzung von Microsoft 365 noch nicht als gegeben an – vor allem wegen des ungelösten Problems des Drittstaatentransfers (siehe unten) und der Intransparenz, welche Telemetriedaten genau wohin fließen. Einige Datenschutzbehörden – etwa der hessische Beauftragte – äußerten daher, dass Microsoft 365 “nicht datenschutzkonform eingesetzt werden kann” in bestimmten Bereichen (z.B. Schulen) Stand 2019/2020.

   

  Maßnahmen von Microsoft für DSGVO-Compliance: Microsoft hat in den letzten Jahren zahlreiche Schritte unternommen, um die DSGVO-Vorgaben zu erfüllen und Bedenken zu begegnen. Dazu zählen:

   

• Vertragswerke und Standardvertragsklauseln: Microsoft aktualisierte seine Datenverarbeitungsbedingungen unmittelbar zum Wirksamwerden der DSGVO (2018) und erneut nach Schrems II. Die aktuellen SCC (Stand 2021) sind Bestandteil des Vertrags mit Kunden, und Microsoft hat eigenen Angaben zufolge hunderte seiner Unterauftragsverarbeiter damit verpflichtet. Zusätzlich verweist Microsoft auf Binding Corporate Rules (BCR) als konzerninterne Datenschutzregeln, die von EU-Aufsichtsbehörden genehmigt wurden, um konzernweite Datenflüsse abzusichern.
• Transparenz und Kontrollzusagen: In Reaktion auf Schrems II veröffentlichte Microsoft die Initiative “Defending Your Data”. Darin verspricht Microsoft, gegen unzulässige Behördenzugriffe zu kämpfen, Kunden zu benachrichtigen und – falls doch Daten preisgegeben werden müssten – Schadensersatz nach europäischen Maßstäben zu leisten. Solche Zusatzzusagen wurden in Verträgen (sog. “EU Data Boundary”-Ergänzungen) formuliert. Außerdem legt Microsoft in Transparenzberichten halbjährlich offen, wie viele Regierungsanfragen nach Daten eingingen.
• Europäische Rechenzentren und EU Data Boundary: Ein zentraler Schritt war der Aufbau von Cloud-Rechenzentrumsregionen in der EU, darunter auch in Deutschland (Frankfurt, Berlin). Microsoft garantiert Geschäftskunden, ihre Kundendaten at rest in der gewählten Region zu speichern. 2022 ging Microsoft noch weiter und kündigte an, bis Ende 2022 ein “EU Data Boundary” umzusetzen – d.h. sämtliche personenbezogenen Kundendaten und unterstützenden Datenströme nach Möglichkeit innerhalb der EU zu verarbeiten und zu speichern. Dieses Vorhaben soll etwa bedeuten, dass Support-Anfragen, Diagnosedaten und Inhaltsverarbeitung vollständig in EU-Rechenzentren erfolgt (Ausnahmen könnten z.B. global notwendige Dienste wie die Verwaltung von Benutzer-IDs sein). Für deutsche Kunden reduziert das die Notwendigkeit von Datenexporten. Allerdings: selbst mit EU-Rechenzentren ist der Zugriff US- amerikanischer Stellen nicht technisch ausgeschlossen, solange der Anbieter ein US- Unternehmen ist – ein Punkt, auf den wir beim Thema Drittstaatentransfer noch eingehen.
• Sicherheit und Privacy-by-Design: Microsoft 365 hat umfangreiche Sicherheitsfunktionen implementiert (Datenverschlüsselung bei Übertragung und Speicherung, DLP-Tools, Zugriffsprotokollierung, Multifaktor-Authentifizierung etc.). Für besonders sensible Daten bietet Microsoft die Option Kundenschlüssel (Customer Key) oder sogar Double Key Encryption, bei der der Kunde einen eigenen Schlüssel hält – damit wären Inhalte selbst für Microsoft unlesbar, was dem Vertraulichkeitsprinzip der DSGVO hilft. Ferner können Administratoren viele Privacy-Settings anpassen: Telemetrie auf dem geringsten Level, personalisierte Dienste abschalten, Benutzerprofile begrenzen usw., um die Datenminimierung sicherzustellen.
• Unterstützung bei Betroffenenrechten: Microsoft stellt Tools bereit (z.B. das Compliance- Manager-Dashboard), die Organisationen anzeigen, wie gut sie DSGVO-Anforderungen erfüllen, und z.B. bei der Suche nach personenbezogenen Daten in Exchange, SharePoint etc. unterstützen. So wird das Handling von Auskunftsbegehren oder Löschpflichten erleichtert.Insgesamt hat Microsoft 365 damit eine robuste Grundlage für DSGVO-Compliance geschaffen. Viele Unternehmen attestieren, dass sie Microsoft 365 datenschutzkonform einsetzen können, wenn sie alle angebotenen Vertragszusätze und Einstellungen nutzen. Dennoch gibt es einige kritische Punkte (Telemetrie, potentielle Eigeninteressen Microsofts an Diagnosedaten, Cloud-Act-Risiken), bei denen die DSGVO-Konformität vom Standpunkt des strengen Datenschutzes aus nicht zweifelsfrei gegeben ist. Hier spielen vor allem die Bewertungen durch Behörden und das Thema internationale Datentransfers hinein, die wir noch behandeln.

   

  ‌Exkurs: Internationaler Datentransfer und Schrems-II (Drittstaatenproblematik)

   

  Ein Kernproblem für Microsoft 365 – wie für alle großen Cloud-Dienste aus den USA – ist der Transfer personenbezogener Daten in sogenannte unsichere Drittstaaten (Länder ohne EU- Angemessenheitsbeschluss, insb. die USA). Seit dem wegweisenden Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 ist klar, dass Datenexporteure (also z.B. ein deutsches Unternehmen, das Microsoft 365 nutzt) zusätzlich prüfen müssen, ob im Empfängerland ein gleichwertiges Datenschutzniveau herrscht . Die USA bieten nach Auffassung des EuGH kein solches Niveau, vor allem wegen weitreichender Zugriffsmöglichkeiten von US-Sicherheitsbehörden (Stichwort: FISA 702, CLOUD Act) ohne ausreichende Rechtsschutzmöglichkeiten für EU-Bürger. Standardvertragsklauseln allein reichen demnach nur, wenn zusätzliche Schutzmaßnahmen ein gleichwertiges Schutzniveau herstellen können . Gelingt das nicht, darf der Verantwortliche keine Datenübermittlung vornehmen . Diese unmissverständliche Vorgabe hat massive Auswirkungen auf Microsoft 365:

   

• Datenflüsse bei Microsoft 365: Zwar speichert Microsoft die Kundendaten europäischer Kunden in der EU, aber im laufenden Betrieb fließen Metadaten und Telemetriedaten oft zu Servern in den USA. Zudem hat die US-Muttergesellschaft theoretisch Zugriff auf die Daten in Europa. Nach Schrems II müsste der Kunde nun bewerten: Können US-Behörden auf diese Daten zugreifen über das nach EU-Recht akzeptable Maß hinaus? Haben Betroffene wirksamen Rechtsschutz? Die Antwort fällt meist Nein aus, da US-Geheimdienste unter gewissen Umständen Cloud-Daten auch in der EU abgreifen könnten und EU-Bürger vor US-Gerichten kaum klagen können. 
• Zusatzmaßnahmen: Microsoft hat einige zusätzliche Schutzmaßnahmen ergriffen, um den Schrems-II-Vorgaben zu genügen. Hierzu zählen technische Maßnahmen wie Verschlüsselung (doch muss man beachten: Wenn Microsoft als Auftragsverarbeiter die Daten verarbeiten soll, darf die Verschlüsselung nicht völlig außerhalb von Microsofts Kontrolle liegen – andernfalls könnte der Dienst nicht funktionieren. Double Key Encryption wäre eine Option, aber die ist nicht für alle Daten standardmäßig aktiv, sondern erfordert bewusstes Einrichten durch den Kunden). Organisatorisch hat Microsoft zugesagt, Behördenanfragen streng zu prüfen und ggf. vor Gericht anzufechten. Trotzdem sind viele Aufsichtsbehörden skeptisch, ob diese Maßnahmen reichen. Der EDSA (Europäische Datenschutzausschuss) hat in seinen Empfehlungen vom 11.11.2020 “zusätzliche Maßnahmen” einige beispielhafte Szenarien bewertet – und in bestimmten Fällen festgestellt, dass nicht ausreichender Schutz erreicht werden kann . Man darf annehmen, dass eine Cloud-Nutzung, bei der der Provider bei Bedarf Zugriff im Klartext hat und dem ausländischen Recht unterliegt, zu diesen problematischen Szenarien gehört. So rät der BayLDA Datenexporteuren eindringlich, die EDSA-Ausführungen genau zu studieren .
• Standpunkt deutscher Behörden: Die deutschen Datenschutzaufsichten bewerten den Drittlandtransfer durchweg streng. Viele von ihnen fordern von Verantwortlichen einen “Transfer Impact Assessment” (TIA) – also eine dokumentierte Prüfung, ob und mit welchen Maßnahmen ein angemessenes Schutzniveau bei der Nutzung z.B. von Microsoft 365 erreicht werden kann. Einige Behörden (z.B. der Hamburger Beauftragte) kamen zum Schluss, dass ohne weitere Vorkehrungen die Nutzung von Microsoft 365 gegen Art. 44 DSGVO verstößt, solange US-Dienste involviert sind. Bisher gibt es jedoch (Stand 2025) keine großen Verbotsverfügungen oder Bußgelder allein wegen des Einsatzes von Microsoft 365 – die Aufsichtsbehörden belassen es meist bei Warnungen und Forderungen nach Nachbesserungen. Man setzt Hoffnung in politische Lösungen wie das EU-US Data Privacy Framework (Nachfolger des Privacy Shield), das 2023 von der EU-Kommission beschlossen wurde. Microsoft hat angekündigt, sich zu zertifizieren, um dann Datentransfers auf Basis dieses Angemessenheitsbeschlusses durchführen zu können. Ob diese Regelung jedoch gerichtsfest ist oder in einem potentiellen “Schrems III”-Urteil erneut gekippt wird, bleibt abzuwarten.
• Praxisempfehlung: Für Kunden in Deutschland bedeutet dies: Solange letzte Rechtsklarheit fehlt, muss man beim Einsatz von Microsoft 365 individuelle Schutzmaßnahmen umso ernster nehmen. Dazu gehören z.B.: Nutzung europäischer Rechenzentren, Verschlüsselung sensibler Inhalte (Client-seitig oder mit Customer Key), Deaktivierung von unnötigen US-Verbindungen (etwa keine optionalen Cloud-Features, die Daten in die USA senden), Minimierung erhobener Telemetrie, sowie vertragliche Absicherung (SCC, BCR, Zusatzerklärungen von Microsoft). Behörden raten, all dies in der Dokumentation abzubilden – etwa im Verzeichnis von Verarbeitungstätigkeiten und der Risikoabwägung (DPIA) für Cloud-Einsatz.

Zusammengefasst ist die DSGVO-Compliance von Microsoft 365 heute besser gewährleistet als noch vor einigen Jahren. Die Plattform deckt fast alle Anforderungen formal ab (Vertragsklauseln, Rechte, Sicherheit). Die größte offene Baustelle bleibt der internationale Datenfluss und damit verbunden die Frage, ob Microsoft als US-Anbieter tatsächlich allen europäischen Schutzanforderungen genügen kann. Hier lautet das Fazit vieler Experten: Ja, mit Einschränkungen und Restrisiken. Wer Microsoft 365 nutzt, sollte sich dieser Restrisiken bewusst sein und je nach Sensibilität der verarbeiteten Daten sorgfältig entscheiden, ob zusätzliche Schutzmaßnahmen oder ggf. alternative Lösungen nötig sind.

‌Microsoft 365 und das BDSG – Beschäftigtendatenschutz und besondere Vorschriften

Das BDSG konkretisiert an manchen Stellen die DSGVO oder füllt Öffnungsklauseln aus. Im Kontext von Microsoft 365 sind zwei Aspekte besonders relevant: Beschäftigtendaten und öffentliche Stellen.

Beschäftigtendatenschutz (§ 26 BDSG): Wenn Microsoft 365 am Arbeitsplatz eingesetzt wird, betrifft dies zwangsläufig Beschäftigtendaten (z.B. Inhalte von Mitarbeiter-E-Mails, Nutzungsprotokolle, Kalender etc.). § 26 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, wenn dies zur Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Ein Beispiel: Die Nutzung von Office 365 zum Versenden dienstlicher E-Mails ist erforderlich zur Arbeitsdurchführung und somit datenschutzrechtlich zulässig. Allerdings setzt das BDSG hier wie auch die DSGVO Grenzen: Nicht alles, was technisch möglich ist, ist erlaubt. Insbesondere Überwachung und Leistungskontrolle der Mitarbeiter sind heikle Themen. Microsoft 365 enthält Features wie etwa “Productivity Score” oder Auswertungen über Nutzeraktivitäten (Login-Zeiten, verfasste Dokumente usw.). Anfangs erlaubte Microsofts Productivity Score sogar, Aktivitäten einzelner Nutzer zu sehen, was auf Kritik stieß – Microsoft änderte dies später, sodass nur aggregierte, anonymisierte Daten für Admins sichtbar sind. Hier zeigt sich der Einfluss des Beschäftigtendatenschutzes: Arbeitgeber dürfen Software nicht einsetzen, um ohne Anlass detailliert das Verhalten ihrer Mitarbeiter auszuspähen. Auch ein Betriebsrat (so vorhanden) hat Mitbestimmungsrechte bei Einführung von Systemen, die zur Mitarbeiterüberwachung geeignet sind. In der Praxis sollten Unternehmen daher Telemetry- und Monitoring-Funktionen von Microsoft 365 sehr bewusst konfigurieren: Das “Compliance Center” ermöglicht z.B. Überwachungsprotokolle, doch deren Einsatz muss verhältnismäßig sein und – falls es um Mitarbeiterkontrolle geht – i.d.R. mit Mitbestimmung und transparenten Regeln einhergehen.

Microsoft hat im Rahmen seines Verantwortungsmodells klargestellt, dass der Kunde steuern kann, welche Daten zu Diagnose- und Administrationszwecken erhoben werden. Für den Beschäftigtendatenschutz bedeutet das: Ein datenschutzbewusstes Unternehmen wird Microsoft 365 so einstellen, dass nur unbedingt notwendige Protokolle geschrieben werden. Zudem sollten Richtlinien intern festlegen, wer auf eventuelle Nutzungsdaten zugreifen darf (z.B. nur bei konkretem Sicherheitsvorfall durch die IT-Abteilung, in Abstimmung mit dem Datenschutzbeauftragten und Betriebsrat). Insgesamt bietet Microsoft 365 genügend Möglichkeiten, um einen DSGVO- und BDSG- konformen Einsatz im Beschäftigtenverhältnis zu gestalten – allerdings erfordert es von den Anwenderorganisationen klare Governance, technische Konfiguration und Sensibilität im Umgang mit Mitarbeiterdaten. Das BDSG sieht übrigens auch vor, dass Einwilligungen von Beschäftigten (falls man solche als Rechtsgrundlage heranziehen will, z.B. für freiwillige Dienste) freiwillig und ohne Druck sein müssen – im Arbeitsverhältnis ein hoher Standard. Daher wird man sich selten nur auf Einwilligung stützen, sondern eher auf Erforderlichkeit oder Betriebsvereinbarungen, um die Datenverarbeitung in Microsoft 365 zu legitimieren.

Öffentliche Stellen und besondere Vorschriften: Behörden und öffentliche Einrichtungen unterliegen neben DSGVO und BDSG (für Bundesstellen) bzw. den Landesdatenschutzgesetzen oft zusätzlichen Anforderungen. Z.B. gilt für viele öffentlichen Stellen das Prinzip der Vertraulichkeit und Integrität staatlicher Daten besonders strikt, und es bestehen oft Vorgaben zur IT-Sicherheit (BSI-Grundschutz etc.). In der Diskussion um Microsoft 365 kommt hier der Begriff der “digitalen Souveränität” ins Spiel. Die Datenschutzkonferenz (DSK) hat in einer Entschließung 2020 betont, dass die öffentliche Verwaltung langfristig nur dann datenschutzgerecht handeln kann, wenn sie Wahlfreiheit und vollständige Kontrolle über die eingesetzten IT-Lösungen behält . Abhängigkeiten von großen (ausländischen) Softwareanbietern sieht die DSK kritisch, da sie zu Kontrollverlust und eingeschränkter Verfügbarkeit führen können . Übersetzt bedeutet dies: Wenn Behörden zentrale Datenverarbeitungen an Microsoft auslagern, muss gewährleistet sein, dass keine unbefugten Dritten (etwa fremde Regierungen) darauf zugreifen können und dass der Staat im Zweifelsfall das Heft des Handelns behält.

In den letzten Jahren haben einige Länder und Kommunen Bedenken geäußert, Microsoft 365 in der Verwaltung zu nutzen. Teils wurden Alternativen geprüft (Open-Source-Lösungen, datenschutzzertifizierte Clouds etc.). Andere Behörden wiederum setzen – auch mangels gleichwertiger Alternativen – trotzdem auf Microsoft 365, versuchen aber, über Verträge mit Microsoft spezielle Zusagen zu erhalten. So gab es Berichte, dass z.B. Baden-Württemberg eine Vereinbarung mit Microsoft anstrebt, um den Einsatz an Schulen/Behörden datenschutzkonform zu gestalten, etwa durch besonders datenschutzfreundliche Voreinstellungen für öffentliche Nutzer. Auch das Bundesinnenministerium initiierte die Entwicklung eines souveränen Arbeitsplatzes (Phoenix Projekt), allerdings bisher mit begrenztem Erfolg.

Speziell bei Bundesbehörden gilt das BSI-Kritisieren: Einige besonders sensible Bereiche (z.B. Sicherheitsbehörden) dürfen Cloud-Dienste aus rechtlichen oder politischen Gründen nicht nutzen, wenn Risiken für Geheimhaltung bestehen. Microsoft bietet zwar eine “Microsoft Government Cloud Deutschland” nicht mehr an (das frühere Treuhänder-Modell mit T-Systems wurde eingestellt), doch es gibt Bestrebungen, im Rahmen von EU-Initiativen (Gaia-X, EU Cloud Code of Conduct) Lösungen zu etablieren, die auch dem öffentlichen Sektor mehr Souveränität geben. In der Zwischenzeit behelfen sich manche Behörden mit Hybrid-Modellen – etwa On-Premises-Versionen von Office für besonders vertrauliche Daten und Cloud-Funktionen nur für weniger kritische Kollaboration.

Unterm Strich fordert das BDSG für öffentliche Stellen nichts fundamental Anderes als die DSGVO – es betont aber das Prinzip der Zweckbindung und Notwendigkeit noch einmal. Öffentliche Entscheider sollten daher gut abwägen, welche Daten sie in Microsoft 365 auslagern. Für viele Bürgerdaten (z.B.

Meldedaten, Gesundheitsdaten in staatlichen Händen) ist die Erwartungshaltung, dass diese nicht ungeklärt in ausländische Clouds wandern. Einige Landesdatenschutzgesetze schreiben z.B. vor, dass besonders schützenswerte Daten die EU nicht verlassen dürfen, oder sie verlangen Genehmigungen der Aufsichtsbehörde beim Einsatz bestimmter Cloud-Dienste. Hier ist die Lage heterogen – jede Behörde sollte Rücksprache mit dem jeweiligen Landesdatenschutz halten.

Zusammengefasst: Das BDSG bringt vor allem Spezialaspekte (Beschäftigte, öffentliche Stellen) ins Spiel, die für Microsoft 365 relevant sind. Microsoft 365 kann im Rahmen des BDSG eingesetzt werden, sofern die oben genannten Punkte beachtet werden. Wichtig ist insbesondere, Transparenz und Mitbestimmung intern sicherzustellen, die Funktionen nur im nötigen Umfang zu nutzen und – gerade bei Behörden – die mittel- und langfristigen Folgen einer Abhängigkeit von Microsoft kritisch zu beobachten.

‌Microsoft 365 und das TTDSG – ePrivacy, Cookies und Kommunikation

Das TTDSG als relativ neues Gesetz ist vielen noch unbekannt. Es vereint das früher im TMG und TKG verstreute Telemedien-Datenschutzrecht. Für Microsoft 365 sind zwei Themenbereiche aus dem TTDSG zentral:

1. § 25 TTDSG – Einwilligung bei Zugriff auf Endeinrichtungen (Cookies & Co.): Diese Vorschrift ist die deutsche Umsetzung von Art. 5 Abs. 3 der ePrivacy-Richtlinie. Sie bestimmt, dass Speichern von Informationen in der Endeinrichtung eines Nutzers oder das Auslesen bereits gespeicherter Infos nur mit Einwilligung erlaubt ist , sofern nicht eine der engen Ausnahmen greift. Einfach gesagt: Jegliche Form von Cookies, Local Storage, Device IDs etc., die nicht unbedingt erforderlich sind, braucht vorher die Zustimmung des Nutzers. Bei Microsoft 365 stellt sich dies z.B. bei Webanwendungen und Clients so dar: Wenn ein Nutzer Outlook Web Access oder Teams im Browser verwendet, werden Cookies und ähnliche Technologien eingesetzt. Cookies, die für den Login oder die Seitendarstellung notwendig sind, fallen unter “erforderlich” und dürfen ohne extra Einwilligung gesetzt werden. Aber Cookies zu Analyse-/Marketingzwecken wären zustimmungspflichtig. Microsoft 365 als Unternehmensservice nutzt zwar keine Werbung, aber Analysedienste (Telemetrie) laufen im Hintergrund. Diese Telemetrie sammelt Geräte- und Nutzungsdaten und könnte als “Auslesen von Informationen aus der Endeinrichtung” interpretiert werden. Streng genommen müsste also für nicht erforderliche Telemetrie eine Einwilligung der Endnutzer eingeholt werden – was in der Praxis kaum umgesetzt wird, da Mitarbeiter beim Start von Office keine Cookie-Banner sehen. Microsoft argumentiert wohl, dass die erforderlichen Diagnosedaten nötig sind, um den Dienst bereitzustellen (Wartung, Sicherheit), und optionale Daten nur mit Zustimmung des Administrators gesendet werden. Faktisch bleibt hier eine Grauzone, da das TTDSG keine klare Ausnahme “für Telemetrie in Software” formuliert. Die DSK hat in ihrer Orientierungshilfe Telemedien 2021 betont, dass § 25 TTDSG technisch neutral zu verstehen ist – also auch “vergleichbare Technologien” wie etwa Gerätezugriff durch Software umfasst . Außerhalb klassischer Websites nennt sie zum Beispiel Software-Updates, Spyware, Web-Bugs, Fingerprinting etc., die ebenfalls unter die Regel fallen . Somit müsste auch ein Office- Programm, das zur Produktverbesserung Daten vom Endgerät ausliest (z.B. welche Buttons geklickt wurden), im Prinzip vorher eine Einwilligung des Nutzers bekommen, es sei denn, diese Aktion ist “notwendig zur Erbringung des Dienstes, den der Nutzer erwartet” (eine der Ausnahmen in § 25 Abs. 2 TTDSG).In der Praxis sind Unternehmen gut beraten, Telemetrie auf das Nötigste zu beschränken, um das TTDSG-Risiko zu minimieren. Microsoft selbst hat diesbezüglich keine Endnutzer-Einwilligungsmechanik implementiert – vielmehr wälzt der Anbieter die Verantwortung auf den Kunden ab: Der Kunde musslaut Microsoft-Datenschutzerklärung sicherstellen, dass er die Befugnis hat, Microsoft die Diagnosedaten seiner Nutzer zu überlassen. Im Zweifel sollte also die Nutzung von Microsoft 365 in einer Betriebsvereinbarung oder Datenschutzerklärung für Mitarbeiter abgedeckt sein, um Transparenz herzustellen. Für externe Nutzer (z.B. Gastnutzer in Teams, Schüler im Schul-Account) müsste man analog informieren. Das TTDSG ist ein Erlaubnistatbestand neben der DSGVO; d.h. auch wenn eine Verarbeitung nach DSGVO erlaubt ist, kann sie unzulässig sein, falls § 25 TTDSG missachtet wird. Noch gibt es wenig bekannte Fälle, in denen TTDSG-Verstöße in Bezug auf Cloud-Software sanktioniert wurden – der Fokus lag bislang auf Cookie-Bannern bei Websites. Dennoch sollte man § 25 TTDSG nicht ignorieren. 
2. Vertraulichkeit der Kommunikation (Fernmeldegeheimnis nach TTDSG/TKG): Microsoft 365 beinhaltet Kommunikationsdienste: Exchange Online (E-Mail) und Teams (Chat, Voice/Video). In Deutschland gilt für Telekommunikationsdienste das Fernmeldegeheimnis (Art. 10 GG, konkretisiert in

   § 3 TTDSG und dem TKG). Das bedeutet, Inhalte und spezifische Verkehrsdaten von Kommunikation dürfen vom Anbieter nur zur Dienstebereitstellung verwendet und nicht unbefugt Dritten offenbart werden. Hier stellt sich die Frage: Gilt Microsoft als “Telekommunikationsdiensteanbieter” im Sinne dieser Gesetze? Mit der Reform 2021 ist der Kreis der TK-Dienste etwas enger gefasst worden – reine Unternehmens-internen Kommunikationsdienste könnten evtl. ausgenommen sein. Dennoch: Microsoft trat 2020 selbst der Diskussion entgegen und verpflichtete sich, keine Daten aus seinen Clouddiensten für eigene Zwecke zu verarbeiten, außer im Rahmen der Auftragsverarbeitung für den Kunden. Besonders betonte Microsoft, Inhalte von E-Mails oder Dateien würden nicht für Profilbildung oder Werbung genutzt, was im Einklang mit dem Fernmeldegeheimnis steht. Allerdings werden E-Mails natürlich automatisiert gescannt, z.B. auf Malware, Spam oder mittels Data Loss Prevention (falls der Kunde es aktiviert). Solche Scans sind erlaubt, da sie dem Dienstezweck entsprechen (Schutz der Nutzer und Infrastruktur). Anders wäre es, wenn Microsoft Kommunikationsinhalte etwa für Trainings KI-gestützter Dienste oder Produktverbesserungen analysieren würde – dann müsste man prüfen, ob das noch von Einwilligungen oder Vertrag gedeckt ist. Derzeit gibt es keine Hinweise, dass Microsoft Inhalte zweckfremd analysiert; gleichwohl ist Vertrauen nötig, denn absolute technische Kontrolle hat der Kunde nicht.

    

   Zusätzlich relevant: Wenn Microsoft im Rahmen von Support oder Wartung Zugriff auf Kundenkommunikation erhielte, müsste dies vertraglich und technisch abgesichert sein (Stichwort Customer Lockbox, womit Kunden freigeben müssen, falls ein Admin bei Microsoft mal auf Inhalte schauen muss, z.B. zur Fehlerbehebung). Microsoft 365 bietet diese Funktion für höhere Pläne an. Damit lässt sich das Need-to-know-Prinzip durchsetzen.

    

   Fazit zu TTDSG/ePrivacy: Microsoft 365 hält im Wesentlichen die Vorgaben der ePrivacy-Regelungen ein – zumindest formal. Es werden keine Werbungscookies gesetzt, und essentielle Cookies dienen der Sitzungssteuerung. Problematischer ist der Bereich der Telemetry/Fingerprinting, wo streng genommen Endnutzer-Zustimmungen fehlen. Unternehmen und Schulen sollten hier auf Transparenz setzen: Nutzer über die Datenerhebung aufklären und ggf. Einwilligungen einholen, wo es unklar ist (z.B. bei optionalen Feedback-Features). In der Praxis bleibt abzuwarten, ob die Datenschutzaufsicht diesbezüglich Auflagen erteilt. Angesichts knapper Ressourcen der Behörden liegt der Fokus eher auf großen Verletzungen (Tracking zu Werbezwecken etc.) als auf interner Softwaretelemetrie. Dennoch: Ein datenschutzorientierter Admin wird Telemetrie-Optionen restriktiv konfigurieren, auch um dem Geist von § 25 TTDSG gerecht zu werden.

   ‌Bewertungen durch Behörden und Gerichte

   Nach der Durchsicht der gesetzlichen Anforderungen und Microsofts Maßnahmen ist es aufschlussreich zu betrachten, wie unabhängige Stellen Microsoft 365 beurteilen. Hier gab es in den letzten Jahren zahlreiche Wortmeldungen, Prüfberichte und Beschlüsse. Einige der wichtigsten:

    

   • Hessischer Datenschutzbeauftragter (HBDI) und Schulen (2019): Für Aufsehen sorgte im Juli 2019 eine Mitteilung des HBDI, in der die Nutzung von Office 365 an hessischen Schulen als rechtswidrig bewertet wurde. Grund war vor allem, dass nach dem Ende der deutschen Treuhänder-Cloud nun Daten von Schülern in die USA fließen könnten und die umfangreiche Telemetrie nicht mit den Prinzipien der DSGVO vereinbar schien. Schulen als öffentliche Stellen unterliegen strengen Anforderungen, zumal es um besonders schutzwürdige Minderjährige geht. Der Hessische BfDI betonte, dass ohne ausdrückliche Einwilligung der Eltern und ohne datenschutzfreundliche Voreinstellungen Office 365 nicht zulässig sei. Diese Haltung wurde zunächst viel diskutiert; Microsoft versprach auch hier Besserung (z.B. Speicherung von Schülerdaten in EU-Rechenzentren). Einige Zeit später relativierte die Behörde ihre Pauschalaussage etwas, blieb aber skeptisch. Viele Bundesländer (Berlin, Baden-Württemberg, Rheinland-Pfalz u.a.) sprachen zeitweise Empfehlungen aus, in Schulen auf US-Cloudlösungen zu verzichten, solange die Rechtsfragen nicht abschließend geklärt sind. Stand 2025 ist die Lage je nach Bundesland unterschiedlich: Manche Schulen nutzen Microsoft 365 im Einvernehmen mit der Aufsichtsbehörde (teils im Hybridbetrieb mit lokalen Servern), andere setzen auf datenschutzkonforme Alternativen (z.B. Nextcloud, dataport.cloud) oder haben vorerst gar keine cloudbasierten digitalen Lösungen, um Rechtskonflikte zu vermeiden. Die Thematik bleibt im Fluss, zumal Datenschutzkonferenz und Kultusministerkonferenz im Austausch stehen, wie man praxisgerechte Lösungen findet.
   • Bayerisches Landesamt für Datenschutzaufsicht (BayLDA): Das BayLDA hat sich einen Namen gemacht mit pragmatischen Prüfungen im IT-Bereich. U.a. untersuchte es 2019/2020 zusammen mit Microsoft die Telemetriedaten von Windows 10 und Office 365 ProPlus in einem Pilotprojekt. Im Ergebnis veröffentlichte das BayLDA Leitfäden, wie Unternehmen Windows/ Office so einstellen können, dass nur notwendige Diagnosedaten gesendet werden – was als weitgehend datenschutzkonform angesehen wurde. Das BayLDA betonte jedoch, dass letztlich eine Bewertung durch die Gesamtheit der Aufsichtsbehörden nötig sei, da Microsoft 365 so weit verbreitet ist. Tatsächlich arbeitete eine DSK-Arbeitsgruppe “Microsoft Online Services” an dieser Fragestellung. Im DSK-Jahresbericht 2020 wurde angemerkt, dass Microsoft einige Zusagen gemacht hat, aber noch Punkte offen seien (konkret: Unklarheiten zur Verarbeitung von Inhaltsdaten für die Diensteoptimierung, zur Vereinbarkeit mit TTDSG und zum Schutz vor US-Zugriff). Das BayLDA publizierte zudem Hilfen zum Schrems-II-Urteil – diese empfahlen u.a. Zusatzvereinbarungen und Verschlüsselung beim Einsatz von Cloud-Anbietern wie Microsoft. Die bayerische Behörde hat also nicht explizit Microsoft 365 verboten, sondern setzt auf Guidance u
   • Datenschutzkonferenz (DSK): Die DSK, das Gremium aller deutschen Aufsichtsbehörden, hat zwar keine bindende Kraft, aber ihr Wort hat Gewicht. In einer Entschließung vom 22.09.2020 (zur digitalen Souveränität, s.o.) kritisierte sie indirekt die Abhängigkeit der öffentlichen Verwaltung von einzelnen IT-Anbietern . Das liest sich klar als Hinweis auf die Dominanz von Microsoft (und anderen Big-Tech) und die damit verbundenen Datenschutzrisiken. Ferner veröffentlichte die DSK Orientierungshilfen, die Microsoft 365 zumindest am Rande erwähnen: Insbesondere die OH Videokonferenzsysteme (Stand Oktober 2020) listete Kriterien für datenschutzkonforme Videotools auf. Bei einer inoffiziellen Bewertung der gängigen Dienste durch einige Datenschutzbehörden schnitten Lösungen wie Microsoft Teams oder Zoomaufgrund des Drittlandtransfers und teils unklarer Vertragslagen weniger gut ab – oft wurde Open-Source oder in der EU gehostete Dienste der Vorzug gegeben. Im Ergebnis riet die DSK, vor dem Einsatz solcher Tools sorgfältig zu prüfen, ob alle DSGVO-Vorgaben (insb. Art. 28 Vertrag, Transparenz, Zweckbindung, keine Übermittlung ohne ausreichendes Schutzniveau) eingehalten werden. Für Microsoft Teams in Microsoft 365 bedeutete das: Kunden sollten zumindest den “Datenschutzmodus” nutzen (Aufzeichnungen aus, Lobby-Funktion, möglichst Pseudonyme), um die Privatsphäre zu wahren.
   • Europäischer Datenschutzausschuss (EDSA) und Europäischer Datenschutzbeauftragter (EDPS): Auf europäischer Ebene wurde Microsofts Rolle ebenfalls beleuchtet. Der EDPS – zuständig für EU-Institutionen – untersuchte 2020 die Verträge von EU-Organen mit Microsoft. Ergebnis: Zahlreiche Datenschutzlücken, v.a. in Bezug auf Klarheit, welche Daten Microsoft zu eigenen Zwecken verarbeitet. Der EDPS gab Warnungen an die Institutionen aus, neue Verträge möglichst zu vermeiden, bis Microsoft nachbessert. Daraus resultierte ein “Microsoft Schreibtisch” – ein fortlaufender Dialog zwischen EU und Microsoft, um vertragskonforme Lösungen zu erzielen. Der EDSA wiederum (in dem alle europäischen Behörden vertreten sind) hat 2022 eine koordinierte Prüfung zum Cloud-Einsatz im öffentlichen Sektor durchgeführt. Der Abschlussbericht (Anfang 2023) zeigte, dass viele Behörden Cloud-Angebote wie Microsoft 365 nutzen, aber oft ohne vollständige Kontrolle über die Datenflüsse. Der EDSA forderte daher klare Schutzmaßnahmen und standardisierte Klauseln. In Summe signalisieren die europäischen Datenschützer: Microsoft 365 ist nicht per se unzulässig, aber erfordert aktive Maßnahmen und bleibt unter Beobachtung. Sollte der neue EU-US Data Privacy Framework halten, wird sich die Lage entspannen; wenn nicht, könnten striktere Schritte erwogen werden.
   • Gerichtsentscheidungen: Neben dem schon erläuterten Schrems-II-Urteil (EuGH, 2020) ist noch Schrems I (EuGH, 2015 – Safe Harbor ungültig) historisch relevant. Auf nationaler Ebene gab es bisher kaum Urteile direkt zu Microsoft 365. Allerdings existieren vereinzelt Verwaltungsgerichtsentscheidungen, etwa zur Frage, ob ein Datenschutzbeauftragter einer Behörde den Einsatz von Microsoft 365 untersagen kann. Ein Beispiel: Das VG Wiesbaden soll in einem Eilverfahren 2021 das Land Hessen verpflichtet haben, weitere Prüfungen anzustellen, ob der Einsatz von Microsoft Office 365 an Schulen datenschutzgerecht ist (das war kein generelles Verbot, aber unterstrich den Prüfauftrag). Zudem haben Arbeitsgerichte und Mitbestimmungsgremien immer wieder über den Einsatz von Office-Analysetools oder Exchange-Auswertungen entschieden – hier lautet Tenor meist: Ohne Zustimmung des Betriebsrats keine individuenbezogene Leistungskontrolle via Software.

      

     In der Gesamtschau der behördlichen und gerichtlichen Bewertungen lässt sich sagen: Microsoft 365 steht im Datenschutz weiterhin unter Bewährung. Die Behörden erkennen Microsofts Verbesserungsbemühungen an, bleiben aber vorsichtig. Es gibt keine vollständige Entwarnung, insbesondere wegen der Drittlands-Thematik. Unternehmen und öffentliche Stellen erhalten die Botschaft, eigene Verantwortung wahrzunehmen: Microsoft liefert die Bausteine für Compliance, aber korrekt zusammensetzen muss sie der Anwender – und zwar so, dass er es im Zweifel der Aufsicht nachweisen kann.

      

     ‌Stärken und Schwächen von Microsoft 365 in Bezug auf Datenschutz

     Aus den bisherigen Abschnitten lassen sich deutliche Stärken ebenso wie Schwächen/Risiken von Microsoft 365 im Licht des Datenschutzes herausarbeiten:

     Stärken / positive Aspekte:

      

   • Umfangreiche Compliance-Funktionen: Microsoft 365 gehört zu den am besten dokumentierten und zertifizierten Cloud-Diensten. Es gibt Unterstützung für DSGVO-Compliance, von Verträgen über Auditberichte bis zu spezifischen Tools (Compliance-Manager, DSGVO-Dashboards). Viele Konkurrenten bieten diese Tiefe nicht. Für Datenschutzverantwortliche ist das ein Plus, da es die Kontrolle erleichtert.
   • Sicherheit auf hohem Niveau: Microsoft investiert stark in Cloud-Sicherheit. Mit Features wie durchgehender Verschlüsselung, ausgefeiltem Rechtemanagement, DLP und Threat Protection können selbst strenge Art. 32 DSGVO Anforderungen erfüllt werden. Oftmals erreicht ein Cloud- Anbieter wie Microsoft ein höheres Sicherheitsniveau als eine in-house IT, was indirekt auch dem Datenschutz zugutekommt (Schutz vor Datenpannen).
   • Datenhoheit und Kundenkontrolle: Trotz Cloud behält der Kunde bei Microsoft 365 viele Gestaltungsmöglichkeiten. Durch regionale Speicherung (Wahl der Data Residency in EU), eigene Verschlüsselungsschlüssel, User-Privacy-Einstellungen etc. kann ein Kunde seine Daten weitgehend unter Kontrolle behalten. Microsofts Geschäftsmodell im Geschäftsbereich beruht nicht auf dem Verkauf von Daten – anders als etwa bei kostenlosen Services. Das Unternehmen hat sich vertraglich gebunden, Daten nur nach Kundenweisungen zu verarbeiten, was ein Fundament des Vertrauens bildet.
   • Transparenz und Verbesserung: Microsoft hat auf Kritikpunkte reagiert – sei es durch Reduktion der Diagnosedaten, Einführung der Customer Lockbox oder regelmäßige Transparenzberichte. Dieser kontinuierliche Verbesserungsprozess ist aus Sicht des Datenschutzes positiv, denn er zeigt die Bereitschaft, auf regulatorische Anforderungen einzugehen. Auch unabhängige Prüfungen (wie durch das Dutch Ministry of Justice) führten zu Produktanpassungen, was zeigt, dass Microsoft lernfähig ist.
   • Breite Akzeptanz und Standardisierung: Indirekt kann man anführen: Weil Microsoft 365 so weit verbreitet ist, haben sich inzwischen Standards herausgebildet, wie man es datenschutzgerecht nutzen kann. Es gibt Checklisten, Erfahrungen und Community-Wissen. Das reduziert das Risiko von Wildwuchs und unbekannten Problemen. Zudem übt die breite Nutzung Druck auf Microsoft aus, datenschutzkonform zu bleiben – andernfalls drohen weltweit Kundenschwund und rechtliche Konsequenzen.
     
     

     Schwächen / Datenschutzrisiken:

      

   • Drittlandzugriff (US Cloud Act etc.): Unverändert die Achillesferse: Die abstrakte Gefahr, dass US- Behörden auf EU-Daten zugreifen könnten, ist nicht gebannt. Auch wenn dies vermutlich selten und nur bei konkreten Anlässen passiert, steht die potentielle Rechtsverletzung im Raum. Aus streng juristischer Sicht reicht die Möglichkeit aus, um Kopfzerbrechen zu bereiten. Selbst mit dem Data Privacy Framework bleiben Überwachungsprogramme wie PRISM, auf die die EU keinen direkten Einfluss hat. Hier hat Microsoft nur begrenzte Mittel, dieses politische Problem zu lösen. Für sehr sensible Daten (z.B. in kritischer Infrastruktur, im Bereich Staatsgeheimnisse oder Gesundheitsdaten) stellt dies weiterhin ein erhebliches Risiko dar.
   • Komplexität und Konfiguration: Microsoft 365 ist ein mächtiges, aber auch extrem komplexes Ökosystem. Datenschutzkonformes Arbeiten erfordert, dass die Administratoren die richtigen Einstellungen kennen und setzen (Telemetrie-Level, Retention-Policies, Zugriffsrechte, Sharing- Optionen etc.). Die Voreinstellungen sind zwar besser geworden (z.B. externe Freigaben eher restriktiv, Privacy-Schalter vorhanden), aber es besteht die Gefahr, dass bei Unkenntnis Daten unnötig frei fließen. Kleine Organisationen ohne spezialisiertes IT-Personal könnten hier überfordert sein. Fehlkonfigurationen – wie öffentlich erreichbare SharePoint-Teams oder unverschlüsselte Ablage sensibler Infos – sind dann kein Produktfehler von Microsoft, fallen aber in der Praxis auf Microsoft zurück (“mit Office 365 wurde Datenschutz verletzt”).
   • Undurchsichtige Telemetrie verbleibt: Trotz Reduktion sendet Microsoft 365 immer noch Diagnosedaten nach Hause. Welche Daten das exakt sind, lässt sich für Außenstehende kaum prüfen – man muss Microsoft glauben oder auf gelegentliche Audits vertrauen. Solange der Code proprietär ist, bleibt ein Restrisiko von Intransparenz. Einige Datenschützer stört grundsätzlich, dass Metadaten (z.B. wer mit wem wann kommuniziert hat) statistisch erfasst werden, und befürchten Profilbildung. Microsoft versichert, dies nur für die Vertragserfüllung zu nutzen, doch hier prallen philosophische Unterschiede aufeinander: Die einen sagen “Telemetrie ist für moderne Cloud-Dienste essentiell”, die anderen “Verzichtet darauf oder holt jedes Mal Einwilligungen ein”. Der Kompromiss ist schwer greifbar.
   • Abhängigkeit und Lock-In: Aus einer etwas weiteren Perspektive ist auch die Monopolstellung von Microsoft ein Datenschutzproblem. Wenn faktisch alle Schulen, Behörden und Firmen Microsoft 365 nutzen (sollen), wird es für Datenschutzbehörden politisch heikel, gegen Missstände vorzugehen – man schafft sich faktisch eine “Too big to ban”-Situation. Umgekehrt hat ein Kunde, der unzufrieden ist, kaum Ausweichmöglichkeiten ohne hohe Wechselkosten. Diese Abhängigkeit kann dazu führen, dass Datenschutzprobleme ausgesessen werden. Die DSK hat dies als “fehlende Wahlfreiheit der Verantwortlichen” kritisiert . Datenschutz lebt aber von Diversity und Interoperabilität, die in der Cloud-Welt nicht selbstverständlich sind.
   • Offene Punkte bei speziellen Rechtslagen: Einige Bereiche sind nach wie vor unklar geregelt. Etwa: Wie ist die Zulässigkeit von Microsoft 365 unter Landesdatenschutzgesetzen für Schulen im Detail? Hier fehlen bundeseinheitliche Linien. Oder: Was ist mit Auftragsverarbeitern außerhalb der Cloud – z.B. Microsofts Support-Mitarbeiter im Ausland? Die neuen SCC verlangen, dass auch diese Subunternehmer datenschutzkonform handeln, aber Kontrolle hat man kaum. Zudem gibt es Themen wie Archivierung/Pflichten nach deutschem Recht (z.B. Handelsbriefaufbewahrung), wo Cloud-Dienste erst passende Lösungen bauen mussten. Microsoft 365 deckt zwar viel mit Compliance-Modulen ab (z.B. Exchange Online Archiv), doch für absolute Rechtssicherheit muss der Kunde diese auch kennen und nutzen.

In Summe sind es vor allem rechtliche und organisatorische Risiken, weniger technische: Technisch funktioniert die Plattform sehr sicher und zuverlässig. Die Schwachstellen liegen im Spannungsfeld zwischen einem globalen Cloud-Dienst und europäischen Datenschutzprinzipien, sowie in der anspruchsvollen Aufgabe, die Nutzung korrekt zu steuern.

‌Handlungsempfehlungen für Datenschutzverantwortliche und Entscheider

Angesichts der obigen Analyse stellt sich die Frage: Wie sollen Verantwortliche in Deutschland mit Microsoft 365 umgehen? Anhand der Stärken und Schwächen lassen sich einige klare Empfehlungen aussprechen:

1. Gründliche Risikoabwägung und DPIA: Führen Sie vor dem Einsatz – oder bei bereits erfolgendem Einsatz – eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durch, sofern erhebliche Risiken vorliegen (z.B. systematische Verarbeitung sensibler Daten in der Cloud). Identifizieren Sie die konkreten Datenkategorien und Verarbeitungszwecke bei Ihrer Nutzung von Microsoft 365. Bewerten Sie die Risiken (insb. Zugriff durch Unbefugte, Drittstaatentransfer, Nicht-Einhaltung von Löschfristen, etc.) und dokumentieren Sie getroffene oder geplante Schutzmaßnahmen. Diese DSFA hilft nicht nur zur internen Compliance, sondern kann bei Nachfragen der Aufsicht als Nachweis dienen, dass Sie die Sache ernst nehmen und kontrolliert managen.
2. Vertragliche Absicherung und Prüfung: Stellen Sie sicher, dass mit Microsoft ein gültiger Auftragsverarbeitungsvertrag geschlossen ist (in der Regel durch Akzeptieren der Microsoft Online-Dienste-DPA – Data Protection Addendum). Prüfen Sie diese Verträge auf Vollständigkeit: Enthalten sie die EU-Standardvertragsklauseln? Sind alle Unterauftragsverarbeiter aufgelistet? Gibt es spezielle Klauseln, die Ihre Branche braucht (z.B. Gesundheitsdaten, Geheimhaltung)? Nutzen Sie ggf. Muster-Vertragskontrollen der Aufsichtsbehörden als Check. Falls möglich, verhandeln Sie Zusatzvereinbarungen: Große Unternehmenskunden oder Behörden haben teils Zusatz-Addenda mit Microsoft abgeschlossen, um spezifische Anforderungen (z.B. Daten in Deutschland zu halten, bestimmte Zertifizierungen einzuhalten) festzuschreiben. Dies mag nicht jedem Kunden offenstehen, aber Nachfragen kostet nichts – Microsoft hat Interesse, insbesondere den öffentlichen Sektor zufriedenzustellen.

    

3. Einsatz auf das Notwendige beschränken: Hinterfragen Sie, welche Dienste von Microsoft 365 Sie wirklich benötigen. Muss es z.B. OneDrive/SharePoint für alle Dateitypen sein, oder lagern höchstsensible Daten besser on-premise? Müssen Schüler zwingend personalisierte Microsoft- Konten haben, oder reichen Pseudonyme? Jeder Verzicht auf unnötige Cloud-Funktionen senkt das Datenschutzrisiko. Ein hybrider Ansatz kann sinnvoll sein: Kernfunktionen verwenden, kritische Prozesse ausklammern. Auch innerhalb der Suite: Überlegen Sie, ob Sie z.B. LinkedIn- Integration, Cortana-Assistent oder andere optionale Dienste freischalten – oft ist es datenschutzfreundlicher, diese zu deaktivieren, wenn kein Mehrwert für die Aufgabe besteht.

    

4. Privacy-freundliche Konfiguration: Nutzen Sie konsequent alle Datenschutzeinstellungen, die Microsoft 365 bietet. Einige ToDos:

    

5. Setzen Sie die Diagnosedatenerfassung auf “erforderlich” (nicht “optional”); optional nur, falls Sie die zusätzlichen Daten wirklich benötigen.
6. Deaktivieren Sie “Experience”-Features, die Telemetrie senden, sofern sie nicht essentiell sind (z.B. die Funktion, dass User Inhalte an Microsoft senden können zur Verbesserung, oder die Sammlung von Nutzungsstatistiken für Produktverbesserung).
7. Aktivieren Sie Customer Lockbox, falls verfügbar, um Zugriffe im Support-Fall kontrollieren zu können.
8. Implementieren Sie Verschlüsselung mit eigenem Schlüssel für besonders vertrauliche Daten (z.B. E-Mails via Azure Rights Management, oder DKE für Dateien). Dadurch reduzieren Sie die im Klartext bei Microsoft vorliegenden Informationen.
9. Stellen Sie Aufbewahrungsfristen und Löschregeln so ein, dass sie den gesetzlichen Vorgaben entsprechen (z.B. automatische Löschung von Teams-Chats nach X Tagen, sofern nicht archivierungsbedürftig; Löschung von ehemaligen Nutzerkonten sobald zulässig etc.).Microsoft 365 bietet Retention Policies – nutzen Sie sie an Ihre Bedürfnisse angepasst.
10. Konfigurieren Sie Zugriffsrichtlinien strikt: Externe Freigaben nur mit Ablaufdatum und Passwort, Mobilgerätezugriff nur mit PIN und Remotewipe usw. Je weniger Angriffsfläche, desto besser die Realisierung von Datenschutzprinzipien.
11. Transparenz und Einbindung der Beteiligten: Informieren Sie die Benutzer (Mitarbeiter, Schüler, Bürger) transparent über den Einsatz von Microsoft 365. Dies sollte in der Datenschutzerklärung bzw. interne Datenschutzinfo klar beschrieben sein: Welche personenbezogenen Daten werden in die Cloud gestellt? Zu welchen Zwecken? Welche Rechte haben die Betroffenen? Gerade im Arbeitsverhältnis empfiehlt sich eine Betriebsvereinbarung mit dem Personalrat/Betriebsrat, in der die Spielregeln festgelegt sind (z.B. keine heimliche Protokollierung von Tastatureingaben, Einsicht in Mailaccounts nur bei Vertretungslösung XY etc.). In Schulen sollten Eltern und Schüler aufgeklärt werden und idealerweise eine Einwilligung

    für die Kontoeinrichtung eingeholt werden (auch wenn man argumentieren kann, dass es für den Bildungszweck erforderlich ist – Transparenz schafft Vertrauen). Die Einbindung der Stakeholder sorgt dafür, dass Datenschutzkultur gelebt wird und beugt Misstrauen vor. Schließlich möchte kein Mitarbeiter sich überwacht fühlen oder kein Elternteil ungefragt wissen, dass Daten ihres Kindes auf US-Servern liegen.

     

12. Beobachten der Rechtslage und Updates: Der Datenschutz-Bereich ist dynamisch. Halten Sie sich informiert über neue Entwicklungen: etwa ob das EU-US Data Privacy Framework rechtskräftig bleibt, ob Aufsichtsbehörden neue Leitfäden zu Microsoft 365 herausgeben, oder ob Microsoft neue Compliance-Features veröffentlicht (Microsoft stellt z.B. jährlich einen Privacy Report bereit und kommuniziert größere Änderungen im Microsoft Trust Center). Passen Sie Ihre Nutzung entsprechend an. Beispielsweise, sollte es ein negatives Gerichtsurteil geben, das bestimmte Übermittlungen für unzulässig erklärt, seien Sie bereit, darauf zu reagieren – etwa indem Sie betroffene Dienste temporär deaktivieren oder Alternativen vorbereiten. Diese Flexibilität kann man auch im Vertrag mit Microsoft verankern (Exit-Klauseln, Datenexport- Möglichkeiten bei Anbieterwechsel etc.).

     

13. Alternativen prüfen (insbesondere für Behörden/Bildung): Auch wenn Microsoft 365 viele Vorteile bringt – prüfen Sie dennoch gelegentlich alternative Lösungen, vor allem wenn Sie zur besonders sensiblen Kategorie gehören (Behörde mit hoheitlichen Daten, Bildung mit Kindern). Es gibt inzwischen Ansätze für “Sovereign Cloud”-Angebote, teils mit Unterstützung der öffentlichen Hand (z.B. Bundescloud, Bildungsplattformen mancher Länder). Open-Source-Tools wie Nextcloud, LibreOffice Online etc. haben sich weiterentwickelt. Ein Multi-Vendor-Ansatz könnte helfen, Abhängigkeiten zu reduzieren. Natürlich muss die Funktionalität stimmen – aber man sollte nicht blind im Ökosystem verharren, wenn begründete Datenschutzbedenken bestehen. Die DSK fordert ausdrücklich eine Diversifizierung und Nutzung von Open-Source wo möglich, um digitale Souveränität zu stärken . Als Entscheider sollten Sie diese strategische Perspektive im Blick behalten. Vielleicht ist jetzt (noch) nicht der Zeitpunkt für einen Wechsel, aber man sollte vorbereitet sein und Marktbeobachtung betreiben.
14. Dialog mit der Aufsichtsbehörde suchen: Last but not least – scheuen Sie sich nicht, bei Unklarheiten Ihre zuständige Datenschutzaufsichtsbehörde einzubeziehen. Viele Behörden bieten Beratung an, gerade für öffentliche Stellen oder KMU. Wenn Sie ein innovatives Nutzungsszenario haben (z.B. Telemedizin über Teams), kann eine vorherige Abstimmung mit dem LfD/LfDI sinnvoll sein, um “grünes Licht” zu bekommen oder auf Risiken hingewiesen zu werden, bevor es zum Problem wird. Diese kooperative Haltung wird meist honoriert; es zeigt auch, dass Sie Datenschutz ernst nehmen. Dokumentieren Sie solche Kontakte und die daraus resultierenden Entscheidungen.

Durch diese Empfehlungen lässt sich Microsoft 365 datenschutzbewusst einsetzen. Es bedeutet zwar Mehraufwand gegenüber einem naiven “Plug & Play”-Ansatz, aber der Aufwand lohnt sich, um die Vorteile der Plattform rechtssicher zu nutzen. Viele Organisationen in Deutschland beweisen täglich, dass Microsoft 365 und Datenschutz kein Widerspruch sein müssen – es erfordert jedoch Engagement, Know-how und manchmal Kreativität in der Umsetzung.

‌Fazit

Microsoft 365 im Lichte der DSGVO & Co. ist weder ein uneingeschränkt glänzendes Vorbild noch der datenschutzrechtliche Sündenfall, als den ihn manche darstellen. Unsere Analyse zeigt ein ambivalentes Bild: Auf der einen Seite hat Microsoft gewaltige Anstrengungen unternommen, um den

europäischen Datenschutzvorgaben gerecht zu werden. Die meisten gesetzlichen Anforderungen – vom Auftragsverarbeitervertrag über Sicherheit bis hin zu Betroffenenrechten – sind prinzipiell erfüllbar. Insbesondere Unternehmen schätzen die umfangreichen Compliance-Möglichkeiten, die mit On- Premises-Lösungen oft schwerer zu realisieren wären. Viele Datenschutzbedenken lassen sich durch richtige Einstellungen und vertragliche Garantien entschärfen.

Auf der anderen Seite bleiben strukturelle Risiken. Solange die Rechtsrahmen zwischen EU und USA nicht harmonieren, bewegt sich ein Dienst wie Microsoft 365 in einem Spannungsfeld. Die Abhängigkeit von einem globalen Monopol birgt zudem ein “Geschmäckle” im Sinne der informationellen Selbstbestimmung einer ganzen Gesellschaft. Die deutschen und europäischen Datenschutzbehörden werden daher weiterhin Druck auf Microsoft ausüben, noch mehr Zugeständnisse zu machen – sei es durch technische Entkopplung von US-Servern, Transparenzsteigerung oder vertragliche Selbstverpflichtungen. Es ist zu erwarten, dass Microsoft hier Schritt für Schritt nachbessert, allein schon um im Markt zu bestehen.

Für Entscheider in Deutschland gilt: Microsoft 365 kann verantwortungsvoll eingesetzt werden, aber es ist kein Selbstläufer. Die Verantwortlichkeit liegt letztlich bei Ihnen, den Einsatz so zu gestalten, dass er rechtskonform ist. Wer die oben beschriebenen Maßnahmen beherzigt, wird Microsoft 365 weitgehend datenschutzgerecht betreiben können und dabei von dessen unbestreitbaren funktionalen Stärken profitieren. Gleichwohl sollte man kritisch und wachsam bleiben: Datenschutz ist kein Zustand, sondern ein Prozess ständiger Anpassung und Verbesserung. Microsoft 365 wird uns in dieser Hinsicht noch weiter begleiten – mit jedem Update, jedem neuen Feature und jeder regulatorischen Änderung stellen sich die Fragen neu.

Stärken von Microsoft 365 sind u.a. die hohe Sicherheit, Funktionsvielfalt und die Bemühungen um Compliance-Unterstützung. Schwächen liegen vor allem in externen Faktoren (Drittstaatenrecht) und der komplexen Konfigurationsverantwortung. Datenschutzverantwortliche sollten diese Stärken nutzen und die Schwächen managen. Dann lässt sich ein ausgewogenes Fazit ziehen: Microsoft 365 ist mit den richtigen Maßnahmen datenschutzkonform einsetzbar, erfordert aber fortlaufende Kontrolle. Für die Praxis heißt das: Nutzen Sie Microsoft 365, aber tun Sie es datenschutzbewusst – im Interesse Ihres Unternehmens/Ihrer Institution und der Rechte der Betroffenen. Diesen Balanceakt erfolgreich zu gestalten, ist eine Kernaufgabe moderner Datenschutzstrategie.

Zuletzt ist es wichtig, den Dialog fortzuführen – zwischen Anwendern, Microsoft und den Datenschutzaufsichtsbehörden. Nur so können Missverständnisse ausgeräumt, Nachbesserungen erreicht und letztlich das Vertrauen gestärkt werden, dass auch in einer von wenigen Cloud-Giganten geprägten IT-Welt die Prinzipien von Datenschutz und Privatsphäre gewahrt bleiben. In diesem Sinne: Microsoft 365 ist kein Selbstläufer, aber mit Augenmaß und Sachkenntnis ein mächtiges Werkzeug, das sich auch im Rahmen deutscher und europäischer Datenschutzanforderungen verantwortungsvoll nutzen lässt.

Weitere Beiträge zum Thema Security und Compliance