Microsoft 365 ist in deutschen Unternehmen allgegenwärtig. Gleichzeitig stellen die Datenschutzbehörden seit Jahren die Frage, ob der Einsatz überhaupt rechtssicher möglich ist. Die Antwort lautet: Ja — aber nur mit den richtigen Maßnahmen.
Was genau das bedeutet, wie die Behördenkritik einzuordnen ist und welche konkreten Schritte Unternehmen jetzt gehen müssen — das erläutern wir hier.
Was kritisieren die Datenschutzbehörden an Microsoft 365?
Die Datenschutzkonferenz (DSK) — das Koordinierungsgremium der deutschen Datenschutzbehörden — hat in mehreren Stellungnahmen erhebliche Bedenken geäußert:
- Auftragsverarbeitungsvertrag: Die von Microsoft bereitgestellten Vertragsdokumente erfüllen nach Auffassung der DSK nicht alle Anforderungen aus Art. 28 DSGVO.
- Drittlandtransfer: Microsoft überträgt im Rahmen seiner Cloud-Dienste Daten in die USA und andere Drittländer. Ohne angemessenes Schutzniveau ist das nach DSGVO grundsätzlich unzulässig.
- Diagnosedaten und Telemetrie: Microsoft erhebt Nutzungs- und Diagnosedaten, deren Umfang und Verarbeitungszwecke nicht vollständig transparent seien.
Wichtig: Die DSK-Abstimmung war denkbar knapp — neun Zustimmungen gegen acht Ablehnungen. Und Microsoft hat auf die Kritik reagiert.
Was hat Microsoft verändert?
Microsoft hat die Kritik nicht unbeantwortet gelassen. Wesentliche Maßnahmen:
- Neuer Datenschutznachtrag (DPA) vom September 2022 mit erweiterten Zusagen zu Transparenz und Kontrolle
- EU Data Boundary: Microsoft verpflichtet sich, Daten europäischer Kunden innerhalb der EU zu verarbeiten und zu speichern
- Erweiterte Kontrollmechanismen für Telemetrie- und Diagnosedaten
- Standardvertragsklauseln (SCC): Microsoft hat die neuen EU-SCC implementiert, die seit Dezember 2022 die alten ablösen
Microsoft betont seinerseits, dass M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern übertreffen — und weiterhin rechtssicher eingesetzt werden können.
Was bedeutet Schrems II für den Einsatz von Microsoft 365?
Mit dem EuGH-Urteil Schrems II (2020) hat der Gerichtshof das Privacy Shield — das bisherige Abkommen für Datentransfers in die USA — für unwirksam erklärt. Gleichzeitig hat der EuGH klargestellt: EU-Standardvertragsklauseln (SCC) bleiben einsetzbar — aber nur unter strengen Bedingungen.
Für den Einsatz von Microsoft 365 bedeutet das konkret:
Transfer Impact Assessment (TIA) ist Pflicht
Bevor personenbezogene Daten auf Basis der neuen SCC in ein Drittland übertragen werden, muss eine Datentransferfolgenabschätzung (Transfer Impact Assessment) durchgeführt werden. Diese Risikoanalyse prüft, ob im Zielland ein angemessenes Datenschutzniveau besteht — und welche zusätzlichen Maßnahmen notwendig sind.
Das EU-US Data Privacy Framework schafft neue Grundlage
Seit Juli 2023 gilt das EU-US Data Privacy Framework als neues Abkommen zwischen EU und USA. Es ersetzt das gescheiterte Privacy Shield und bietet eine neue Rechtsgrundlage für Datentransfers in die USA — unter der Voraussetzung, dass der US-Anbieter zertifiziert ist. Microsoft ist zertifiziert.
Das TIA bleibt dennoch sinnvoll: Es dokumentiert die getroffene Entscheidung und schützt im Prüffall.
Lösungsstrategien: So setzen Sie Microsoft 365 rechtssicher ein
Ein pauschales Verbot von Microsoft 365 gibt es nicht. Es gibt aber klare Anforderungen, die Unternehmen erfüllen müssen:
1. Auftragsverarbeitungsvertrag prüfen und abschließen
Die Beauftragung von Microsoft 365 erfolgt im Rahmen eines AVV nach Art. 28 DSGVO. Prüfen Sie, ob der aktuelle Microsoft Data Protection Agreement (DPA) abgeschlossen ist — und ob er die neuen EU-SCC enthält.
2. Transfer Impact Assessment durchführen
Dokumentieren Sie die Drittlandübermittlung und die getroffenen Schutzmaßnahmen. Das TIA ist Nachweis dafür, dass Sie Ihre Sorgfaltspflicht erfüllt haben.
3. Telemetrie und Diagnosedaten minimieren
Microsoft erlaubt es, Diagnose- und Telemetriedaten auf das Minimum zu reduzieren. Nutzen Sie diese Konfigurationsmöglichkeiten aktiv — und dokumentieren Sie die Einstellungen.
4. Datenschutzfolgenabschätzung (DSFA) prüfen
Abhängig von Art und Umfang der verarbeiteten Daten kann eine DSFA nach Art. 35 DSGVO erforderlich sein — insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten.
5. Mitarbeitende schulen
Der technisch sichere Einsatz von M365 nützt wenig, wenn Mitarbeitende sensible Daten unkontrolliert in Cloud-Dienste hochladen. Schulungen sind kein Nice-to-have — sie sind Teil der nachweisbaren Compliance.
Cloud und Haftung: Was Geschäftsführer wissen müssen
Aus dem Gesellschaftsrecht ergibt sich eine Pflicht zur sorgfältigen Unternehmensführung. Bei IT- und Cyberrisiken bestehen zwar Ermessensspielräume — aber keine Freiheit von Verantwortung.
Wer Cloud-Dienste wie Microsoft 365 einsetzt, ohne die datenschutzrechtlichen Anforderungen zu prüfen, riskiert:
- Bußgelder nach Art. 83 DSGVO — bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes
- Persönliche Haftung der Geschäftsführung bei grob fahrlässiger Pflichtvernachlässigung
- Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO
Absolute Sicherheit gibt es nicht — und der Gesetzgeber verlangt sie auch nicht. Maßgebend ist der Stand der Technik und eine dokumentierte, sorgfältige Risikoabwägung.
„Microsoft 365 ist rechtssicher einsetzbar — aber nicht ohne Vorbereitung. Unternehmen, die das TIA und den AVV nicht dokumentiert haben, stehen im Prüffall mit leeren Händen da.“
— Horst Speichert, Rechtsanwalt, Geschäftsführer e|s|b data gmbh
Was wir für Sie übernehmen
Wir begleiten Unternehmen beim rechtssicheren Einsatz von Microsoft 365 — von der Analyse bis zur Dokumentation:
- Prüfung und Abschluss des Auftragsverarbeitungsvertrags mit Microsoft
- Transfer Impact Assessment (TIA) — strukturierte Risikoanalyse und Dokumentation
- Datenschutzfolgenabschätzung (DSFA) — wenn erforderlich
- Konfigurationsempfehlungen für Telemetrie und Diagnosedaten
- Schulung Ihrer Mitarbeitenden zum datenschutzkonformen Umgang mit M365
- Seminar mit RA Horst Speichert: „Rechtskonformer Einsatz von Microsoft 365 — Praktische Lösungsstrategien für Unternehmen“
Sprechen Sie uns an — kostenfrei und ohne Verpflichtung.
FAQ: Microsoft 365 und Datenschutz
Darf ich Microsoft 365 in meinem Unternehmen noch einsetzen?
Ja — aber nur mit den richtigen Maßnahmen. Ein gültiger Auftragsverarbeitungsvertrag, ein dokumentiertes Transfer Impact Assessment und eine bewusste Konfiguration der Datenschutzeinstellungen sind Voraussetzung. Ohne diese Grundlagen ist der Einsatz datenschutzrechtlich riskant.
Was ist ein Transfer Impact Assessment (TIA) — und brauche ich das?
Das TIA ist eine strukturierte Risikoanalyse, die prüft, ob im Empfängerland (z. B. USA) ein angemessenes Datenschutzniveau besteht. Es ist Pflicht, wenn personenbezogene Daten auf Basis der EU-Standardvertragsklauseln in Drittländer übermittelt werden — und damit für praktisch jeden Microsoft-365-Einsatz relevant.
Hat das EU-US Data Privacy Framework die Probleme gelöst?
Es hat die Rechtsgrundlage für Datentransfers in die USA verbessert — und Microsoft ist zertifiziert. Unternehmen sollten dennoch sicherstellen, dass der AVV aktuell ist und die Konfiguration der Microsoft-Dienste dokumentiert wurde. Das Privacy Framework kann jederzeit erneut vor dem EuGH angefochten werden — Dokumentation schützt.
- → Datenschutzaudit
- → Externer Datenschutzbeauftragter
- → IT-Compliance
