Ist Microsoft 365 datenschutzkonform nutzbar?

 

Die Frage, ob Microsoft 365 datenschutzkonform genutzt werden kann, beschäftigt Behörden, Unternehmen und nicht zuletzt Datenschutzbeauftragte seit geraumer Zeit. Nachdem die Datenschutzkonferenz (DSK), das Gremium der deutschen Datenschutzaufsichtsbehörden, 2020 und 2022 zu dem Ergebnis kam, dass eine datenschutzkonforme Nutzung nicht zu gewährleisten sei, kam nun der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) zu einer abweichenden Auffassung. Dem Bericht des HBDI zufolge scheint eine datenschutzkonforme Nutzung auf den ersten Blick nicht mehr ausgeschlossen zu sein - allerdings nur unter bestimmten Voraussetzungen. Detaillierte Informationen zu den Hintergründen, zum aktuellen Stand der Dinge und zu den nach wie vor bestehenden datenschutzrechtlichen Risiken bei der Nutzung von Microsoft 365 haben wir in den folgenden Abschnitten für Sie aufbereitet. 
 

 

„HBDI: Microsoft 365 kann datenschutzkonform genutzt werden“ – unter Laborbedingungen und mit Scheuklappen

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) verkündete Mitte November:


"Microsoft 365 kann in Hessen datenschutzkonform genutzt werden." [1]


Diese Botschaft wurde von vielen Medien sofort weiterverbreitet – oft mit dem Tenor, Microsoft 365 habe nun offiziell grünes Licht für Behörden. Hat es aber nicht.

Was der Bericht wirklich aussagt:

Der zugrunde liegende Bericht ist umfangreich, aber seine Kernaussage lässt sich auf wenige Punkte reduzieren:

  • Microsoft hat seine vertraglichen Regelwerke überarbeitet.
  • Auf Basis dieser Dokumente hält der HBDI es diesmal für möglich, Microsoft 365 formal datenschutzkonform zu betreiben.
  • Dafür müssen Behörden jedoch eine ganze Reihe von Einstellungen korrekt setzen und fortlaufend prüfen.
     

Entscheidend: Der Bericht bewertet die Dokumentation von Microsoft, sowie die Vertragslage – nicht die tatsächliche technische Kontrolle über Microsofts Systeme. Und vor allem:
Der Bericht sagt nicht, dass Microsoft 365 risikofrei wäre!
Er sagt lediglich, dass der Dienst unter bestimmten Bedingungen formal den Anforderungen der DSGVO entsprechen kann.

Hintergrund und Inhalt des Berichts aus Hessen

Der neue Bericht des HBDI war notwendig, weil die Datenschutzkonferenz (DSK) bereits 2022 zu einem kritischen Ergebnis gekommen war: Auf Basis der damaligen Vertragslage ließ sich „ein datenschutzkonformer Betrieb von Microsoft 365 nicht nachweisen“. Mit anderen Worten: Die datenschutzkonforme Nutzung von Microsoft 365 ist aus Sicht der DSK nicht zu gewährleisten.

Die Gründe dafür waren vielfältig und betrafen insbesondere die Nutzung von Daten für die eigene Geschäftstätigkeit, beliebige Änderungen der Unterauftragnehmer, fehlende Verpflichtungen für TOM und unzulässige Drittlandübermittlungen.

Der HBDI hat nun geprüft, was sich seitdem verändert hat und kommt zu dem Schluss, dass auf Basis dieser neuen Unterlagen eine DSGVO-Konformität möglich sein kann – allerdings nur unter strikten Voraussetzungen und nur ausschließlich auf Grundlage der Papierlage, nicht einer technischen Kontrolle.
Was hat sich seit 2022 verbessert – und was nicht? Ein Beispiel der zentralen Kritikpunkte und deren Änderungen:

 

Kritikpunkt 2022: Microsoft 365 nicht datenschutzkonform Was sich laut HBDI 2025 geändert hat; MS 365 datenschutzkonform?
Microsoft räumt sich (nicht konkretisierte) Rechte für Datenverarbeitung unserer Daten für die eigene Geschäftstätigkeit ein. Microsoft versichert, dass es sich nur um aggregierte und anonymisierte Daten handle.
Microsoft behält sich im AVV umfangreiche Befugnisse vor, Daten ohne Weisung des Auftraggebers zu verarbeiten und – auch an Drittstaaten – offenzulegen. Microsoft hat sich verpflichtet, das nicht mehr zu tun.
Microsoft übermittelt beim Betrieb von MS 365 personenbezogene Daten in unzulässiger Weise in die USA und in andere Staaten. Microsoft hat seine Datenverarbeitung so verändert, dass nur noch ein kleiner Teil davon in den USA und Drittländer stattfindet. (Übermittlungen in Drittstaaten werden jedoch ausdrücklich eingeräumt). Außerdem gebe es ja die Standardvertragsklauseln und das „Data Protection Framework“

 

Daraus ergibt sich die neue Einschätzung, die mögliche DSGVO-konforme Nutzung. Allerdings verbunden mit einer ganzen Reihe sehr spezifischer Handlungsempfehlungen bzw. Einstellungen – ein Hinweis darauf, wie schmal und anfällig diese Möglichkeit tatsächlich ist.
 

  Was ist das EU–US Data Privacy Framework?

Das EU–US Data Privacy Framework (DPF) ist der aktuelle Versuch, einen rechtssicheren Datentransfer in die USA zu ermöglichen. Es ist der dritte Anlauf nach zwei gescheiterten Vorgängern:
 

  1. Safe Harbor (2000–2015) → Gekippt vom EuGH, weil US-Überwachungsgesetze europäischen Schutzstandards widersprachen und EU-Bürger keine wirksamen Rechtsmittel hatten.
  2. Privacy Shield (2016–2020) → Gekippt vom EuGH – aus denselben Gründen: US-Behörden hatten weitreichende Zugriffsmöglichkeiten, und europäische Nutzer konnten sich nicht dagegen wehren.
  3. Data Privacy Framework (seit 2023) → Der aktuelle Nachfolger. Die USA haben dafür ein neues Beschwerdeverfahren und zusätzliche Aufsichtsstrukturen geschaffen. Aber: Das grundlegende Problem – die Reichweite von US-Überwachungsgesetzen – bleibt bestehen. Deshalb wird auch dieses Abkommen bereits kritisch gesehen und juristisch angegriffen. 
     

Warum „formale DSGVO-Konformität“ nicht ausreicht

Eine entscheidende Schwäche der aktuellen Debatte ist die Gleichsetzung von formal erfüllten Datenschutzvorgaben mit tatsächlicher Sicherheit. Beides ist nicht dasselbe – und bei Cloud-Diensten eines US-Konzerns könnte der Unterschied kaum größer sein.

Natürlich kann man in Microsoft 365 heute unzählige Datenschutzoptionen aktivieren. Man kann Telemetrie reduzieren, Datenregionen auswählen und bestimmten Verarbeitungsvorgängen widersprechen. All diese Einstellungen erzeugen den Eindruck, man hätte volle Kontrolle darüber, was mit den Daten passiert. Doch am Ende bleibt es genau das: ein Eindruck.

Denn weder Behörden noch externe Prüfer haben technische oder rechtliche Möglichkeiten, die internen Abläufe bei Microsoft unabhängig zu prüfen. Ob die „Häkchen“ wirklich alles tun, was sie versprechen, liegt außerhalb europäischer Kontrolle – und basiert letztlich auf Vertrauen in ein US-Unternehmen, das nach US-Gesetzen handeln muss.

 

Formelle DSGVO-Konformität bedeutet also lediglich:
Auf dem Papier ist alles korrekt eingestellt.
Nicht:
Dass die Daten vollständig geschützt oder ohne Risiko verarbeitet werden.
 

Für private Unternehmen mag das ein kalkulierbares Risiko sein. Für staatliche Stellen ist es das nicht.

Der eigentliche Knackpunkt: Der CLOUD Act – und warum er jeden Schutz in der Praxis aushebelt

Der größte blinde Fleck in der gesamten Microsoft-365-Diskussion ist nicht die Technik, nicht die Verschlüsselung und auch nicht die Frage, in welchem Rechenzentrum die Daten liegen.
Der entscheidende Punkt ist das US-Recht, dem Microsoft nun einmal als US-Unternehmen unterliegt.


Der CLOUD Act verpflichtet US-Anbieter, Daten an US-Behörden herauszugeben –
egal wo diese Daten gespeichert sind
und
egal, welche Datenschutzeinstellungen der Kunde gesetzt hat.


Ob die Daten in Frankfurt liegen oder in China, ob sie in einem EU-Datumsraum verarbeitet werden oder verschlüsselt sind: Für US-Ermittlungsbehörden ist das nicht ausschlaggebend. Entscheidend ist allein, dass Microsoft ein US-Unternehmen ist.
Damit steht über jedem DSGVO-Schutzmechanismus ein rechtlicher Überbau, der aus Europa heraus nicht kontrolliert werden kann.
Es ist ein strukturelles Risiko, das sich nicht wegkonfigurieren lässt.

Und genau deshalb bleibt am Ende eine unbequeme Wahrheit stehen:

  • Kein Häkchen in den Einstellungen verhindert US-Zugriffe.
  • Kein Vertragstext bei Microsoft kann den CLOUD Act aushebeln.
  • Keine europäische Dokumentation ändert daran etwas.
     

Für viele Unternehmen mag dieses Restproblem überschaubar sein (vor allem bei Kundendaten – denn Kunden werden eh auf Schritt und Tritt maximal durchleuchtet).
Aber für den Staat - für Verwaltungen, Gerichte, Ministerien, Polizei oder kritische Behörden?
Dort geht es nicht um Komfort und auch nicht um Toolpräferenzen – dort geht es um die grundlegende Frage, wem man die Kontrolle über staatliche Kommunikation und sensible Prozesse überlässt.

 

  Marketinggag: „Hosting in Deutschland“

Viele Cloud-Anbieter – auch Microsoft – werben damit, dass Daten „in Deutschland“ oder „in der EU“ gespeichert werden.
Das klingt nach Sicherheit, ist aber in der Praxis bedeutungslos, sobald der Anbieter dem US-Rechtssystem unterliegt.
Warum?

  • US-Recht schlägt Standort: Microsoft bleibt ein US-Unternehmen – und muss US-Behörden Zugang gewähren, egal wo die Server stehen.
  • Der CLOUD Act gilt weltweit: Er unterscheidet nicht zwischen Daten in Washington oder Daten in Frankfurt.
  • Betrieb, Schlüsselkontrolle und Management liegen nicht in deutscher Hoheit: Ein deutsches Gebäude ändert nichts an der juristischen Verantwortlichkeit.
  • EU Data Boundary“ löst das Problem nicht: Sie regelt interne Datenflüsse – nicht staatliche Zugriffe. 
     

Kurz gesagt: Der Serverstandort ist Marketing. Die Rechtslage entscheidet. Was im Übrigen von Microsoft selbst auch so kommuniziert wird..[2]  

Ein weiteres Risiko: politische Einflussnahme jenseits europäischer Kontrolle

Und selbst wenn Microsoft 365 datenschutzkonform betrieben werden könnte: Neben DSGVO und Technik gibt es einen dritten Faktor, der im hessischen Bericht (verständlicherweise) nicht auftaucht – Geopolitik. Der HBDI bewertet Datenschutz, nicht digitale Souveränität. Genau hier aber wird die Abhängigkeit von Microsoft besonders brisant.

Denn Microsoft hat bereits gezeigt, dass das Unternehmen in politisch sensiblen Situationen bereit ist, Zugänge zu kritischer Kommunikation einzuschränken – ohne richterliche Anordnung, ohne transparenten Prozess und im vorauseilenden Gehorsam gegenüber der US-Politik.

So wurde der E-Mail-Account des Chefanklägers des Internationalen Strafgerichtshofs (ICC) zeitweise blockiert. Nicht wegen technischer Probleme und nicht wegen eines Gerichtsbeschlusses. Sondern im Umfeld von US-Sanktionsmaßnahmen, die den ICC politisch unter Druck setzen sollten.[3]

Für den ICC war das ein Alarmsignal: Wenn ein externer Anbieter in einem heiklen Moment den Zugang dichtmachen kann, ist die Institution verwundbar. Die Konsequenz: Der Gerichtshof stellt seine Infrastruktur auf europäische Alternativen um.[4] 

Also, Denkfehler nicht ausgeschlossen, aber: 
Ein internationales Gericht ermittelt, Trump findet das gar nicht gut, und Microsoft 365 drosselt schon einmal vorsorglich die Leitungen?
Der Internationale Strafgerichtshof reagiert darauf, indem er seine komplette Infrastruktur neu aufstellt.

Und Hessen titelt: „Microsoft 365 kann datenschutzkonform genutzt werden.“
 

Die richtige Message? Ein einfacher Test für die Objektivität des Vorgangs wäre, die Rollen auszutauschen: Wie würden wir reagieren, wenn nicht Microsoft aus den USA der potenzielle Täter wäre, sondern Alibaba Cloud aus China oder Yandex aus Russland? 

Fazit – Die unbequeme Wahrheit

Dass der HBDI Microsoft 365 für „datenschutzkonform nutzbar“ erklärt, ist formal korrekt – aber praktisch irreführend.
Nicht, weil der Bericht falsch wäre, sondern weil er nur die halbe Wirklichkeit betrachtet.

Solange ein US-Anbieter US-Recht unterliegt, bleibt jede noch so streng und sauber konfigurierte Cloud ein System, das in letzter Instanz amerikanischem Recht und amerikanischer Politik verpflichtet ist – und das europäische Behörden weder technisch noch rechtlich vollständig überprüfen oder regulieren können.
Die Folge: Man arbeitet zwangsläufig mit Annahmen und Vertrauen. Doch Vertrauen ist keine Grundlage staatlicher IT-Sicherheit und Datenschutz.

Gerade deshalb wäre es gefährlich, den hessischen Bericht als Freibrief zu interpretieren: ein paar Einstellungen setzen, den Bericht zitieren – und das Thema für erledigt erklären.
Der leichte Weg ist oft der falsche, insbesondere wenn er Abhängigkeiten zementiert, Risiken ausblendet und politische Faktoren ignoriert.

Und es ist nicht so, dass Europa keine Alternativen hätte: Es existieren Lösungen, die ohne Cloudflare, Amazon, Google oder Microsoft auskommen – und dennoch funktionsreich, zuverlässig und preislich attraktiv sind. 

 

Quellen:

[1] https://datenschutz.hessen.de/presse/hbdi-microsoft-365-kann-datenschutzkonform-genutzt-werden 

[2] https://www.theregister.com/2025/07/25/microsoft_admits_it_cannot_guarantee/

[3] https://osb-alliance.de/pressemitteilungen/digitale-sanktionen-gegen-internationalen-strafgerichtshof-muessen-ein-weckruf-fuer-deutsche-behoerden-sein

[4] https://www.handelsblatt.com/technik/it-internet/software-strafgerichtshof-ersetzt-microsoft-durch-deutsche-loesung/100166382.html

 

Gunther Koschnick
(5/5)
sagt über LamaPoll
Zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir erstmals eine Sicherheitsumfrage durchgeführt. Für Datenschutz, Cybersicherheit und Anonymität bestanden hohe Anforderungen seitens der Unternehmen. Lamapoll konnte diese technisch und organisatorisch bestens umsetzen. Zudem war bei jeder Gelegenheit ein Ansprechpartner zur Stelle. Wir sind mit der Zusammenarbeit äußerst zufrieden.

 

Umfrage erstellen

 

 

Haben Sie Fragen an unser Team?

Wir beantworten Ihnen gern alle Fragen rund um das Thema Sicherheit bei LamaPoll.

Zögern Sie nicht uns zu kontaktieren

Warum LamaPoll?

 

  • DSGVO-konform
  • Zertifizierte Server
  • Hosting in Deutschland

 

unverbindlich Free Account erstellen
 
Wir beraten Sie gern!
Rufen Sie uns an!
 030 120 885 12
Mitarbeiterbefragungen - wertvolles Wissen über Ihre Mitarbeiter auswerten und Unternehmensprozesse optimieren

© golubovy

Mitarbeiterumfragen mit LamaPoll

  • Einfaches & intuitives Tool
  • 100% DSGVO-konform 
  • Professioneller Funktionsumfang
  • Umfangreiche Auswertungen
  • Attraktiv auf allen Geräten

 

Mehr als 10.000 Unternehmen erstellen bereits Online Umfragen mit unserem Umfragetool.
Bekannt aus:
Made in Germany, © 2007-2025 LamaPoll

 

 Kontakt

Schreiben Sie uns!

Unser Support-Team hilft bei Fragen oder Problemen gern weiter.

LamaPoll Logo
030 120 88 512
support@lamapoll.de
Ihr Online Umfragetool
Saubere Homepage: keine Tracker, keine Cookies!
Wir respektieren WIRKLICH Ihre Privatsphäre: Auf unserer Website setzen wir KEINE Tracking-, Werbe- oder Drittanbieter-Cookies ein.

Und selbstverständlich verfolgen wir auch NICHT Ihr Verhalten auf unserer Webseite!

Ist mir egal Find ich super!