Microsoft 365 und der Datenschutz – Kritik gerechtfertigt oder überzogen?

Im wesentlichen fußt die Kritik der Datenschutzaufsichtsbehörden bei der Nutzung von Microsoft 365 auf der Tatsache, dass die Software nicht aus Europa stammt und in dem Zusammenhang technische und rechtliche Probleme entstehen könnten.

Bei der Nutzung von Microsoft 365 lässt sich eine Übermittlung bestimmter Nutzungsdaten, wie zum Beispiel der IP-Adresse, nicht vermeiden. Dabei könne nicht ausgeschlossen werden, dass Microsoft bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt.

Datenschutzrechtliche Probleme sehen die zuständigen Behörden in erster Linie bei Cloud-basierten Produkten. Ein datenschutzkonformer Einsatz von Microsoft 365 sowohl in Unternehmen als auch in öffentlichen Stellen ist allerdings auch heute schon DSGVO-konform möglich - nach der Auslegung der DSGVO durch die Datenschutzaufsichtsbehörden.

In Auftrag gegebene Datenschutzfolgenabschätzungen zu Teams, OneDrive, SharePoint und Azure AD, kommen zum Ergebnis, dass nach der Umsetzung bestimmter Maßnahmen keine hohen Risiken für den Datenschutz bestehen.

Es bleibt allerdings offen, ob sämtliche der folgend genannten Voraussetzungen umgesetzt werden sollten, oder ob es bereits genügt, wenn nur bestimmte der Voraussetzungen erfüllt sind.

Die nach den Datenschutzaufsichtsbehörden zu ergreifenden Maßnahmen würden sich vornehmlich auf die Arbeitseffektivität und die übergreifende Nutzung der in Microsoft 365 enthaltenen Apps auswirken. Da das Zusammenspiel aller Apps wie Word, Excel, PowerPoint, Outlook etc. ein Kern bei der Nutzung von Microsoft 365 ist, stünde allerdings das komplette Tool in Frage.

Die Rechtslage hat sich seit 2022 erheblich geklärt. Drei Entwicklungen haben die Situation verändert: das EU-US Data Privacy Framework, die Entscheidung des Europäischen Datenschutzbeauftragten zur EU-Kommission und der Bericht des Hessischen Datenschutzbeauftragten.

Neue Rechtsgrundlage für Datenübermittlungen in die USA

Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss für das EU-US Data Privacy Framework angenommen. Der Beschluss bestätigt zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau. Microsoft ist unter diesem Framework zertifiziert. Damit können personenbezogene Daten an Microsoft in den USA übermittelt werden, ohne dass zusätzliche Maßnahmen wie Standardvertragsklauseln erforderlich sind.

Das Framework ersetzt das Privacy Shield, das der EuGH 2020 im Schrems-II-Urteil für ungültig erklärt hatte. Ob auch das neue Abkommen einer gerichtlichen Prüfung standhält, ist offen. Eine erste Klage wurde im Oktober 2023 vom EuG abgewiesen. Max Schrems hat angekündigt, auch dieses Abkommen anzufechten.

DSGVO enthält weiterhin keine Herstellerpflichten

Trotz der verbesserten Rechtslage bleibt ein strukturelles Problem bestehen: Die DSGVO enthält keine Herstellerpflichten. Anders als bei Produkten, für die europäische CE-Richtlinien gelten, gibt es keine Verpflichtung für Softwarehersteller, ihre Produkte von vornherein datenschutzkonform auszugestalten.

Die Verantwortung liegt deshalb bei den Unternehmen und Behörden, die Microsoft 365 einsetzen. Sie sind die Verantwortlichen im Sinne der DSGVO und müssen nachweisen, dass sie ihre Pflichten nach Art. 28 DSGVO erfüllen. Microsoft ist als Auftragsverarbeiter nur der „verlängerte Arm" seiner Kunden.

Behördliche Bewertungen geben Orientierung

Die Datenschutzaufsichtsbehörden haben sich in den vergangenen Jahren intensiv mit Microsoft 365 befasst. Ihre Bewertungen haben sich dabei verändert:

November 2022: Die Datenschutzkonferenz (DSK) stellte fest, dass Verantwortliche den Nachweis eines datenschutzkonformen Betriebs auf Grundlage des damaligen Datenschutznachtrags nicht führen können. Sie benannte sieben konkrete Kritikpunkte.

Juli 2025: Der Europäische Datenschutzbeauftragte (EDSB) bestätigte, dass die EU-Kommission Microsoft 365 datenschutzkonform nutzt – nach Umsetzung zusätzlicher vertraglicher, technischer und organisatorischer Maßnahmen.

November 2025: Der Hessische Datenschutzbeauftragte (HBDI) veröffentlichte einen 137-seitigen Bericht, wonach Microsoft 365 datenschutzkonform genutzt werden kann – wenn bestimmte Voraussetzungen erfüllt werden.

Was bedeutet das für Unternehmen?

Die Entwicklungen zeigen: Ein datenschutzkonformer Einsatz von Microsoft 365 ist möglich. Aber er ist kein Selbstläufer. Unternehmen müssen aktiv werden:

Dokumentation: Das Verarbeitungsverzeichnis muss die Datenverarbeitung durch Microsoft 365 vollständig abbilden. Microsoft stellt dafür Dokumentationen wie das M365-Kit bereit.

Risikobewertung: Je nach Art der verarbeiteten Daten kann eine Datenschutz-Folgenabschätzung erforderlich sein. Besonders bei sensiblen Daten nach Art. 9 DSGVO.

Konfiguration: Die Datenschutzeinstellungen müssen geprüft und angepasst werden. Microsoft bietet verschiedene Optionen, um die Datenübermittlung einzuschränken.

Fortlaufende Prüfung: Datenschutzkonformität ist kein statischer Zustand. Produktupdates, neue Funktionen und geänderte Vertragsbedingungen erfordern regelmäßige Überprüfung.

Da die Datenschutzaufsichtsbehörden also wenig Möglichkeiten haben, die vermeintlichen Probleme direkt mit den Anbietern zu lösen, greifen sie auf eine weitere Eskalationsstufe zurück: Die Behörden treten mit ihrer Interpretation der DSGVO an Unternehmen und öffentliche Stellen heran. In Einzelfallprüfungen in den Unternehmen und Institutionen werden diesen nun mangelnder Datenschutz durch die Nutzung von Microsoft 365 vorgeworfen. Durch diesen Umweg soll der Druck auf die Hersteller erhöht und die Behebung der Mängel erzwungen werden.

Derlei Einzelfallprüfungen bei mehr oder weniger zufällig ausgesuchten Unternehmen und Institutionen führen hier zu großen Mehrbelastungen und zwingen die Verantwortlichen indirekt zur gerichtlichen Durchsetzung ihrer Rechte. Bei fehlendem Budget für solche gerichtlichen Auseinandersetzungen führt dies bei Start-ups, kleinen Unternehmen, Schulen oder öffentlichen Stellen zu Unverständnis, Frust und Resignation.

Die DSGVO enthält auch Jahre nach ihrer Einführung noch immer viele ungeklärte und strittige Rechtsfragen. Die in der DSGVO enthaltenen Vorschriften bedürfen in vielen Fällen schlicht der Auslegung. Aber einer Auslegung, die den Datenschutz in Einklang mit Grundrechten wie der unternehmerischen Freiheit und dem Recht auf Bildung bringt. Das bedeutet, dass die DSGVO neben dem Schutz vor Missbrauch persönlicher Daten auch den freien Datenverkehr ermöglichen soll.

Genau hier verengt sich der Flaschenhals. Ohne Zweifel birgt eine moderne Cloud-Lösung wie Microsoft 365 Risiken beim Datenschutz, dafür hat eine solche Software wiederum einige Vorteile, die den freien Datenverkehr unterstützen. Zu den großen Vorteilen von Lösungen wie Microsoft 365 zählt sicherlich die bessere Performance aber vor allem auch die Cybersicherheit. Immer häufiger liest man von Datenlecks selbst betriebener IT-Systeme – seltener jedoch bei Anbietern wie Microsoft.

HBDI Hessen: Microsoft 365 kann datenschutzkonform genutzt werden (November 2025)

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel hat am 15. November 2025 einen 137-seitigen Bericht zum Einsatz von Microsoft 365 veröffentlicht. Das Ergebnis: Microsoft 365 kann datenschutzkonform genutzt werden – sowohl von öffentlichen Stellen als auch von Unternehmen.

Damit bricht erstmals eine deutsche Datenschutzaufsichtsbehörde mit der pauschalen Unmöglichkeitsthese der DSK von November 2022. Der HBDI führte seit Januar 2025 intensive Verhandlungen mit Microsoft und prüfte die sieben Kritikpunkte der DSK erneut. Sein Fazit: Die Rahmenbedingungen haben sich seit 2022 in mehreren Punkten verändert.

Zu den Veränderungen zählen:

• Die neue Rechtsgrundlage durch das EU-US Data Privacy Framework
• Die Umsetzung der EU Data Boundary
• Die Überarbeitung des Datenschutznachtrags (DPA) durch Microsoft
• Zusätzliche Dokumentationen wie das M365-Kit für Kunden
• Für hessische Behörden: ein spezielles DPA für öffentliche Stellen (DPA-öS)

Der Bericht enthält konkrete Handlungsempfehlungen für Verantwortliche. Dazu gehören: Prüfung des eigenen Bedarfs, Nutzung der Microsoft-Dokumentation für das Verarbeitungsverzeichnis, Durchführung einer Datenschutz-Folgenabschätzung bei Bedarf und regelmäßige Überprüfung der Konfiguration.

Ausblick: Neubewertung durch die DSK erwartet
Die DSK selbst hat sich seit November 2022 nicht erneut zu Microsoft 365 geäußert. Angesichts der Entwicklungen – EU-US Data Privacy Framework, EDSB-Entscheidung, HBDI-Bericht – wäre eine aktualisierte Stellungnahme der DSK wünschenswert. Der aktuelle Zustand schafft Unsicherheit bei Unternehmen, da unklar ist, welche der damaligen Kritikpunkte noch zutreffen.

Die Entscheidungen des EDSB und des HBDI zeigen: Ein datenschutzkonformer Einsatz ist möglich – vorausgesetzt, Verantwortliche erfüllen ihre Pflichten nach der DSGVO und setzen die empfohlenen Maßnahmen um. Datenschutzkonformität ist kein statischer Zustand, sondern ein fortlaufender Prozess.

EDSB bestätigt datenschutzkonforme Nutzung durch die EU-Kommission (Juli 2025)

Der Europäische Datenschutzbeauftragte (EDSB) hatte im März 2024 festgestellt, dass die EU-Kommission bei der Nutzung von Microsoft 365 gegen Datenschutzvorschriften verstößt. Er ordnete Korrekturmaßnahmen an und setzte eine Frist bis Dezember 2024.

Im Juli 2025 schloss der EDSB das Verfahren ab: Die EU-Kommission hat die geforderten Maßnahmen umgesetzt. Der EDSB bestätigte, dass die Nutzung von Microsoft 365 durch die Kommission nun datenschutzkonform ist. Voraussetzung war eine intensive Zusammenarbeit zwischen EU-Kommission und Microsoft, die in zusätzlichen vertraglichen, technischen und organisatorischen Maßnahmen mündete.

Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte, kommentierte: „Dies ist ein bedeutender gemeinsamer Erfolg und ein starkes Signal dafür, was durch konstruktive Zusammenarbeit und wirksame Aufsicht erreicht werden kann."

EDSB bestätigt datenschutzkonforme Nutzung durch die EU-Kommission (Juli 2025)Microsoft setzt EU Data Boundary um (seit Januar 2024)

Microsoft hat seine technische Infrastruktur angepasst und die sogenannte EU Data Boundary eingeführt. Seit Januar 2024 werden nicht nur Kundendaten, sondern auch alle weiteren personenbezogenen Daten – etwa Nutzungs- und Diagnosedaten – innerhalb des Europäischen Wirtschaftsraums verarbeitet. Damit reagiert Microsoft auf einen der zentralen Kritikpunkte der Datenschutzbehörden.

EDSB bestätigt datenschutzkonforme Nutzung durch die EU-Kommission (Juli 2025)Das EU-US Data Privacy Framework schafft neue Rechtsgrundlage (Juli 2023)

Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss für das EU-US Data Privacy Framework angenommen. Der Beschluss bestätigt zertifizierten US-Unternehmen – darunter Microsoft – ein angemessenes Datenschutzniveau. Datenübermittlungen in die USA sind damit auf einer neuen rechtlichen Grundlage möglich, ohne dass zusätzliche Maßnahmen wie Standardvertragsklauseln erforderlich sind.

Das Framework ist der Nachfolger des Privacy Shield, das der EuGH 2020 im Schrems-II-Urteil für ungültig erklärt hatte. Kritiker wie Max Schrems haben angekündigt, auch dieses Abkommen gerichtlich prüfen zu lassen. Eine erste Klage wurde allerdings im Oktober 2023 vom EuG abgewiesen.