Wer die datenschutzrechtliche Entwicklung von Microsoft 365 in den letzten Jahren verfolgt hat (wir berichteten), erinnert sich vermutlich noch gut an das Statement der Datenschutzkonferenz (DSK) aus dem November 2022 (wir berichteten). Nur zur Erinnerung: Die DSK ist ein Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden und verfolgt das Ziel einer deutschlandweit einheitlichen Anwendung des Datenschutzes. Im Jahr 2022 also stellte die DSK recht unmissverständlich fest, dass ein datenschutzkonformer Einsatz von Microsoft 365 nicht nachgewiesen werden könne. Dieser Nachweis würde daran scheitern müssen, dass der Microsoft-Datenschutznachtrag (Data Processing Addendum, DPA) nicht die gesetzlichen Mindestanforderungen einer Auftragsverarbeitung nach Art. 28 DSGVO erfülle.
Während Microsoft in den Folgejahren mehrfach den DPA überarbeitet hat, blieb die DSK indessen stumm und änderte ihre Einschätzung nicht. Stattdessen haben einzelne Datenschutz-Aufsichtsbehörden mal hier mal da eigene ergänzende Erklärungen veröffentlicht – wahrscheinlich ist man sich in der DSK nicht einig geworden.
Seit 2022 steht also unverändert fest, dass Microsoft 365 schlicht DSGVO-widrig ist und basta. Unternehmen, die trotz dieser Drohkulisse in die Microsoft 365-Welt eingestiegen sind, taten dies mit einer Mischung aus Mut, Notwendigkeit und einer Portion Hoffnung, dass die anhaltenden Bedenken schon irgendwann ausgeräumt werden.
Zwischendurch gab es einen durchaus ambitionierten Vorschlag von einigen der deutschen Aufsichtsbehörden, den DPA direkt mit Microsoft nachzuverhandeln. Die Idee war ehrenwert, aber in der Praxis kaum möglich. Nur die größten Kunden von Microsoft erhalten die Gelegenheit, die Lizenzverträge direkt mit Microsoft zu verhandeln. Alle anderen beziehen ihre Microsoft Lizenzen eh von Drittanbietern und diese haben – selbstredend – kein Interesse daran, delikate Datenschutzbedenken ihrer Kunden an Microsoft zu vermitteln. Ein Patt zugunsten von Microsoft.
Währenddessen wächst die Zahl der Unternehmen ungebremst weiter, die Microsoft 365 zum Kernsystem ihrer IT-Infrastruktur machen. Bemühungen in der EU wie in der Verwaltung von Schleswig-Holstein (siehe hier und hier), München (Projekt LiMux) und am Internationalen Strafgerichtshof dazu, eine eigene souveräne Cloud mittels Open-Source-Lösungen zu schaffen und sich damit gegen erwartbare Kostenspiralen aber vor allem gegen politische Einflüsse auf das eigene technische „Backbone“ erwehren zu können, sind natürlich zu begrüßen – bekannte herbe Rückschläge haben die meisten Verantwortlichen aber davon abschrecken lassen.
Hessen prescht vor
Die Bedenken der DSK gegen Microsoft 365 bestehen also seit 2022 fort, bis heute – denn mit der neuen Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) vom 14. November 2025 ist etwas passiert, das es bislang nicht gegeben hat:
In dieser Pressemeldung mit der Überschrift „HBDI: Microsoft 365 kann datenschutzkonform genutzt werden“ wird die damalige Bewertung der DSK in weiten Teilen für überholt erklärt. Die Kurzfassung: Entscheidende Bedingungen und rechtliche Vorgaben hätten sich geändert. Microsoft hätte geeignete Maßnahmen ergriffen. Es ist ja alles jetzt ganz anders. Und wenn Verantwortliche eine vertiefende, datenschutzrechtliche Betrachtung für den konkreten Einsatz vornähmen und diese Betrachtung zum Erfolg führt, dann ist wirklich alles gut. Beachtenswert: Das Wort „konform“ kommt in der Mitteilung sogar 8-mal vor!
Geradezu unheimlich – und für deutsche Aufsichtsbehörden wirklich ungewöhnlich – ist dabei, dass nicht inflationär im Konjunktiv argumentiert wird. Kein „könnte“, kein „würde“, kein „unter Umständen vielleicht“. Und es werden auch keine praxisfernen Zusatzbedingungen formuliert. Es gibt also weder einen doppelten Boden noch einen juristischen Fallschirm.
Hessen legt sich fest. Nice! Aber warte mal …
Der HBDI (also der Datenschutz in Hessen) verlässt damit die starre Linie der DSK und nimmt Abstand von der durch die DSK geprägten, pauschalen Unmöglichkeitsthese. Zum ersten Mal sagt jemand mit behördlicher Autorität laut aus, wovon viele Verantwortliche schon längst ausgegangen sind.
Gut sortierte Unternehmen haben sich nämlich mit den Datenschutzrisiken der Services von Microsoft 365 auseinandergesetzt. Viele führen eine sog. Datenschutz-Folgenabschätzung (DSFA) durch, um sicherzustellen, dass die M365-Apps nach den geltenden Standards zum Datenschutz konfiguriert und deren konforme Nutzung geschult wird.
Das kostet viel Aufwand und Zeit, führt aber gleichzeitig dazu, dass Aspekte der Informationssicherheit und Anliegen der Betriebsräte gleich mitgedacht werden können.
Der HBDI hat diesen Aufwand selbstredend nicht betrieben, um eine Datenschutzkonformität festzustellen. Nur der Auftragsverarbeitungsvertrag von Microsoft (das besagte DPA) wurde geprüft und die Ergebnisse in einem 137-Seiten-Bericht festgehalten. Laut der Pressemitteilung habe der HBDI keine technische Untersuchung einzelner M365-Dienste durchgeführt.
Den gewählten Prüfungsscope und die voraussichtlichen Folgen in der Datenschutzaufsicht hat Mike Kuketz in einem Kommentar auf seinem Blog passend problematisiert. Eigentlich hätte Hessen sich auch mit technischen Aspekten auseinandersetzen müssen.
Ich bin dem HBDI dennoch sehr dankbar für diese Vorgehensweise. So fühlt man sich bestätigt, wenn man bereits 2021 festgestellt hat, dass der Microsoft DPA wohl kein Meisterwerk feinster Datenschutzkunst ist, aber weitgehend die wichtigsten Aspekte einer Auftragsverarbeitung beinhaltet.
Freie Bahn für alle?
Selbstverständlich gilt die Entscheidung des HBDI nur für Hessen, aber andere Aufsichtsbehörden sind nun herausgefordert. Zwar sind sie nicht rechtlich an die Entscheidungen in Hessen gebunden, faktisch lassen sie sich aber so leicht in die Enge treiben. Bei etwaigen Vorbehalten können Verantwortliche nun schlicht auf den HBDI verweisen und darauf, dass die DSGVO ja europaweit und auch bundesweit einheitlich gilt.
Aber vor gänzlich neue Fragestellungen werden die anderen Aufsichtsbehörden in Deutschland sicherlich nicht gestellt. Microsoft 365 wurde bereits von einigen Verwaltungsorganen ganz öffentlich zum neuen Standard erklärt. Neben der Stadt Hamburg hat auch die Bundesagentur für Arbeit sich für den Einstieg in die Microsoft 365-Cloud entschieden. Und mit an Sicherheit grenzender Wahrscheinlichkeit wurde und wird derzeit der Einstieg in Microsoft 365 in allen anderen Bundesländern mit den Aufsichtsbehörden diskutiert.
Jetzt ist die DSK am Zug und muss sich (endlich) einig werden, einen neuen Beschluss fassen und vor allem – das ist schon in der Corona-Pandemie in 2022 längst erforderlich gewesen – sich auch mit den technischen Neuerungen in der Microsoft 365-Cloud auseinandersetzen.
Nur so wird die DSK als Gremium ihrer Aufgabe gerecht, eine Einheitlichkeit in der Aufsichtspraxis für Deutschland zu bieten. Wenn die DSK weiter verzögert, wird die Kluft zwischen dem, was im Datenschutz rechtssicher ist (nämlich nur der Datenschutznachtrag von Microsoft) und dem, was Microsoft 365 seit Jahren in der Cloud alles Neues erfindet (z. B. Copilot) nur noch größer.
Fazit
Unternehmen und andere Verantwortliche in Hessen dürfen jetzt aufatmen und zumindest das Risiko eines möglicherweise unzureichenden DPA in der eigenen Risikoliste streichen.
Doch um eine eingehende Risikobetrachtung im Rahmen einer DSFA kommt man in aller Regel nicht herum. Im konkreten Einsatz von Microsoft 365-Services kann man im Datenschutz erfahrungsgemäß vieles falsch machen.
Wenn Sie daran interessiert sind die DSFA entlang unserer Beratungsstrategie kennenzulernen und von unseren Erfahrungswerten für die Umsetzung von Maßnahmen wie Konfigurationen sowie Richtlinien und Arbeitsanweisungen zu profitieren, dann melden Sie sich gern bei uns für ein erstes Gespräch! Weitere Informationen und Ansprechpartner finden Sie hier auf dieser Webseite.
Unser Leistungsspektrum wurde kürzlich sogar erweitert: Bei einem Konfigurationsaudit auf Basis von SCuBA („Secure Cloud Business Application“) für Microsoft 365-Tenants prüfen unsere Informationssicherheits-Experten Ihren Microsoft-Tenant auf sicherheitsrelevante Fehlkonfigurationen. Sie erhalten dann konkrete Handlungsempfehlungen, um sich vor künftigen Bedrohungen besser wappnen zu können. Nehmen Sie auch hierzu gern Kontakt mit uns auf! Mehr Informationen finden Sie hier.
4. Dezember 2025 @ 14:51
Danke für den tollen Beitrag!
4. Dezember 2025 @ 12:19
Hessen wird seit >25 Jahren von der CDU regiert. Muss man mehr wissen?
4. Dezember 2025 @ 11:38
Die dogmatische Ablehnung der DSK war wellenbrechend für die Compliance, aber zahnlos gegen die Realität in den Häusern. Ihre Einordnung, dass der HBDI hier den „juristischen Knoten“ durchschlägt, aber die „technische Hausaufgabe“ (Konfiguration, SCuBA) bei uns belässt, ist absolut treffend.
Als Informationssicherheitsexperte in Verantwortung begrüße ich es sehr, dass Sie das Thema „Sicherheitskonfiguration“ so stark betonen. Ein schlechter DPA ist ein Risiko, aber ein ungehärteter Tenant ist eine Einladung. Es tut gut, diese differenzierte Sichtweise („Ja, aber mit Arbeit verbunden“) so klar formuliert zu lesen.
4. Dezember 2025 @ 14:50
👍👍👍