Nichts ist so beständig wie der Wandel – oder die datenschutzrechtliche Diskussion über Microsoft 365. Nachdem wir bereits im Oktober 2020 sowie im November und Dezember 2022 den jeweiligen Standpunkt der Datenschutz-Aufsichtsbehörden sowie mögliche Herangehensweisen darstellten, wandte sich nun der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) im November 2025 mit einer – zu Teilen sicher unerwarteten – Pressemitteilung an die Öffentlichkeit: „Microsoft 365 kann datenschutzkonform genutzt werden“ heißt es in der Überschrift. Zu den Hintergründen des vermeintlichen Sinneswandels.
Was bisher geschah
Ende November 2022 hieß es von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder („Datenschutzkonferenz“, kurz: DSK) zuletzt: „Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. […] Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ Hauptkritikpunkt war demnach im Wesentlichen die vertragliche Grundlage zur Auftragsverarbeitung und daran anknüpfende Aspekte der Transparenz. Microsoft hatte diese Auffassung – wenig überraschend – nicht geteilt und eine entsprechende Stellungnahme veröffentlicht.
Nachdem die Handlungsempfehlungen der Datenschutz-Aufsichtsbehörden zum damaligen Zeitpunkt insbesondere individuelle Vertragsanpassungen vorsahen, die seitens der Verantwortlichen gegenüber Microsoft durchgesetzt werden sollten, vermeldete das Niedersächsische Ministerium für Inneres und Sport im Mai 2024 erstmals die datenschutzkonforme Nutzung von Microsoft Teams auf Basis individuell vereinbarter datenschutzrechtlicher Vereinbarungen – nach Ansicht des LfD Niedersachen zum damaligen Zeitpunkt immerhin ein „akzeptables“ Ergebnis.
Auch der Europäische Datenschutzbeauftragte (EDSB) bestätigte im Juli 2025 den datenschutzkonformen Einsatz von Microsoft 365 bei der EU-Kommission. Nachdem dieser im Frühjahr 2024 einige datenschutzrechtliche Mängel feststellte und konkrete Abhilfemaßnahmen auferlegte, konnte die EU-Kommission die Umsetzung der Maßnahmen letzten Endes nachweisen. Auch hierbei handelte es sich neben der Umsetzung ergänzender technischer und organisatorischer Maßnahmen ebenfalls um die Etablierung zusätzlicher vertraglicher Regelungen.
Zum Ergebnis des HBDI
Im Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft 365 werden auf 137 Seiten ausführlich die rechtlichen Erwägungen des HBDI sowie daraus erwachsende Handlungsempfehlungen für Organisationen dargelegt. Im Rahmen der Pressemitteilung fasst die hessische Datenschutz-Aufsichtsbehörde das Ergebnis wie folgt zusammen:
„In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben. Zum einen haben sich rechtliche Vorgaben verändert wie z. B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks. Zum anderen hat [Microsoft] seine Datenverarbeitung an europäische Anforderungen angepasst wie z. B. durch die EU-Datengrenze, durch die [Microsoft] fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet.
Drittens hat [Microsoft] Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert. Viertens konnte der HBDI erreichen, dass [Microsoft] das DPA (für öffentliche Stellen) fortentwickelt hat. Schließlich stellt [Microsoft] zusätzliche Informationen bereit wie z. B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt. Das positive Ergebnis beruht auch auf der Erwartung, dass [Microsoft] und die Verantwortlichen zusammenwirken, damit Verantwortliche M365 datenschutzrechtskonform nutzen können.“
Mitunter ausschlaggebend waren eben auch hier vertragliche Anpassungen. Deutlich wird dabei auch, dass seitens des HBDI hauptsächlich vertragliche und dokumentarische Aspekte, nicht jedoch die durch die jeweiligen Anwendungen tatsächlich stattfindenden Verarbeitungen personenbezogener Daten überprüft wurden. Es bedarf also neben gegebenenfalls erforderlichen vertraglichen Ergänzungen weiterhin auch einer fundierten Auseinandersetzung mit der technischen Konfiguration der Microsoft 365-Instanz mitsamt aller Anwendungen und Prozesse.
Fazit
Die Überschrift der Pressemitteilung des HBDI „Microsoft 365 kann datenschutzkonform genutzt werden“ darf nicht missverstanden werden. Zwar konnte Microsoft im Rahmen der Prüfung durch die hessische Datenschutz-Aufsichtsbehörde vermeintliche Mängel ausräumen, die Implementierung und Nutzung von Microsoft 365 setzt durch die jeweiligen Organisationen jedoch weiterhin eine konkrete Betrachtung der genutzten Anwendungen, potenzieller Risiken und vorhandener Einstellungsmöglichkeiten voraus. Ein datenschutzkonformer Betrieb von Microsoft 365 ist damit nicht ausgeschlossen; er kann jedoch nicht pauschal unterstellt werden und entbindet nicht von einer einzelfallbezogenen datenschutzrechtlichen Prüfung und fortlaufenden Steuerung.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
