Die Stadt Hamburg beschäftigt sich schon länger mit Microsoft 365 und hat z.B. eine Datenschutzinformation schon veröffentlicht. Nun geht es im Projekt BestCloudBasis weiter und der LDSB berichtet im Jahresbericht 2025 über dieses und Microsoft 365. Die Ergebnisse habe ich einmal aufbereitet:
M365 Projekt in Hamburg
Projekt BestCloudBasis der Senatskanzlei Hamburg (SK) datenschutzrechtlich intensiv begleitet. Ziel des Projekts ist die Einführung von Microsoft 365 (M365) zur Verarbeitung personenbezogener Daten mit normalem Schutzbedarf. Dies bedeutet, dass sensible Daten, wie die Daten der Artikel 9 und 10 DSGVO von Beginn an ausgeschlossen wurden. (z.B. Gesundheitsdaten).
Dennoch sollen diese im Rahmen der Risikobetrachtung noch bewertet werden, das Ergebnis liegt heute noch nicht vor, da so die Meldung:
„Die Verarbeitung von Daten mit hohem Schutzbedarf oder sensiblen Kategorien (Art. 9 DSGVO) wurde bislang noch nicht abschließend bewertet, da die Konkretisierungen der dahingehenden Schutzmaßnahmen bei der Senatskanzlei noch in Klärung sind.“
„Die datenschutzrechtliche Begleitung durch den HmbBfDI begann Mitte 2023 mit der Prüfung eines Nutzungskonzepts und wurde durch mehrere Workshops und kontinuierlichen Austausch bis Ende September 2025 fortgeführt.“ So kann man von gut 2,5 Jahren gemeinsamer Arbeit an dem Projekt sprechen.
Besonders interessant ist, dass nun auch Copilot Chat (nun Copilot Basic) bis Ende 2025 geprüft wurde. Bisher wurde KI in den Prüfungen auch im Gutachten aus Hessen nicht erwähnt.
Abschließend interessant ist:
„Bezüglich der Verarbeitung von Daten zu eigenen Zwecken durch Microsoft konnte glaubhaft dargelegt werden, dass Microsoft ausschließlich pseudonymisierte Telemetrie- und Diagnosedaten verarbeitet. Diese dienen der Verbesserung der Dienste und der Fehlerbehebung. Inhaltsdaten der Kunden werden nicht für eigene Zwecke verarbeitet. Die Telemetriedaten umfassen technische Informationen zur Nutzung und Leistung der Dienste und werden in aggregierter und anonymisierter Form ausgewertet.“ Dies bedeutet, dass das Problem damit erledigt sein dürfte, jedenfalls in Hamburg.
Maßnahmen
Im Folgenden stelle ich einmal die in dem Beitrag erwähnten Maßnahmen da:
technische Maßnahmen
| Customer Lockbox wird nicht eingesetzt, dafür Zugriffsverbot mit Dataport | „Die SK verzichtet auf die Microsoft Customer Lockbox zugunsten eines vergleichbaren Zugriffsverbots im Servicevertrag mit Dataport, um unautorisierten Zugriff auf Kundendaten zu verhindern. Zudem wird eine belastbare Exit- und Backup-Strategie empfohlen, um auf mögliche politische Veränderungen flexibel reagieren zu können.“ |
| Liveuntertitel und Transkription wird genutzt | „Gleichzeitig werden barrierefördernde Funktionen wie die Transkription in Teams unter Beachtung der Rechtsgrundlagen genutzt.“ |
| MFA | „Schutzvorkehrungen wie resistente Multi-Faktor-Authentifizierung gegen Phishing-Angriffe“ |
| verbundene Erfahrungen | „Die Konfigurationsmöglichkeiten für verbundene Erfahrungen („connected experiences“) wurden verbessert, sodass eine feingranulare Deaktivierung möglich ist. Die SK deaktiviert Microsoft-Dienste, die als eigenständige Verantwortliche auftreten, soweit dies datenschutzrechtlich erforderlich ist. „ |
organisatorische Maßnahmen
| Zusatzvereinbarung zur Auftragsverarbeitungsvertrag (AVV) | Diese Zusatzvereinbarung adressiert zentrale datenschutzrechtliche Bedenken und regelt die Rechte und Pflichten beider Parteien im Rahmen der Auftragsverarbeitung. Microsoft verpflichtet sich darin, ausschließlich im Auftrag und nach Weisung der SK tätig zu werden. Die Zusatzvereinbarung enthält unter anderem folgende wichtige Regelungen:– Einschränkungen bei einseitigen Vertragsänderungen durch Microsoft, um eine nachträgliche Verschlechterung der Datenschutzbedingungen zu verhindern.– Klare Zusicherungen zur Einhaltung der DSGVO, insbesondere hinsichtlich der Verarbeitung personenbezogener Daten und der Umsetzung technischer und organisatorischer Maßnahmen.– Ausschluss der Nutzung von Kundendaten für das Training von Künstlicher Intelligenz (KI), um eine unautorisierte Weiterverwendung der Daten zu verhindern. – Stärkung der Weisungsbefugnis der Freien und Hansestadt Hamburg (FHH) gegenüber Microsoft, um die Kontrolle über die Datenverarbeitung sicherzustellen.– Vorrang des EU-Rechts bei Drittstaatenübermittlungen, insbesondere im Hinblick auf den Zugriff durch Behörden außerhalb der EU.– Ausweitung des EU Data Boundary, sodass die Datenverarbeitung und -speicherung ausschließlich innerhalb der EU erfolgt, um den Schutz personenbezogener Daten zu gewährleisten. |
| Verarbeitung | Bezüglich der Verarbeitung von Daten zu eigenen Zwecken durch Microsoft konnte glaubhaft dargelegt werden, dass Microsoft ausschließlich pseudonymisierte Telemetrie- und Diagnosedaten verarbeitet |
| umfangreiche Dokumentationen | Diese besteht aus:
|
Herausforderungen/Risiken
| Detailfragen zu Reports und Anonymisierung | „Prozesse zur Erstellung von Reports sowie zur Anonymisierung und Aggregation der Daten wurden erläutert, wobei noch Detailfragen offen sind, insbesondere hinsichtlich der Kriterien und Verfahren zur Genehmigung der Reports.“
„Offene Fragen, insbesondere zur Reporterstellung und zur Verarbeitung verbundener Erfahrungen, bleiben bestehen und werden weiterverfolgt.“ |
| Rückführung von Daten (gering) | „Die Rückführbarkeit der Telemetriedaten auf einzelne Personen wird als sehr gering eingeschätzt, was das Risiko einer Identifikation minimiert. Dennoch wird eine weitere Klärung der genauen Anonymisierungsverfahren und der Kontrollmechanismen empfohlen, um Transparenz und Datenschutzkonformität sicherzustellen.“ |
Muss noch gemacht werden
- „Die technische Konfiguration von M365 ist teilweise noch unvollständig dokumentiert, insbesondere fehlen Feinkonzepte für Kernanwendungen wie Word oder Excel. Die SK arbeitet an einer besseren Dokumentation und Transparenz der Konfigurationen, um die Rechenschaftspflicht zu gewährleisten. Vorgestellte Sicherheitsprofile sollen auch für den normalen Schutzbedarf angemessene Sicherheitsniveaus bieten.“
- Exit- und Backup-Strategie empfohlen auf Grund der politischen Lage
- Schutzmaßnahmen definieren für sensible Daten / Workshops laufen
Ergebnis
„Insgesamt wurde der Stand des Projekts zum 30. September 2025 als datenschutzrechtlich vertretbar bewertet.“
Eine Erfüllung der Rechenschaftspflicht nach Artikel 5 DSGVO kann hiermit erfüllt werden:
- Datenschutzfolgenabschätzung nach Artikel 35 DSGVO
- detaillierte Verarbeitungstätigkeitsbeschreibungen sowie Feinkonzepte zu zentralen Anwendungen wie SharePoint, Teams und OneDrive.
- Sicherheits- und Governancekonzept
https://datenschutz-hamburg.de/news/hmbbfdi-stellt-taetigkeitsbericht-datenschutz-2025-vor
„M365 in der öffentlichen Verwaltung
Der Senat führt M365 für die überwiegende Zahl der Dienstrechner in der FHH ein. Der HmbBfDI hat das Projekt beratend begleitet. Auf Basis der gegenüber Microsoft erwirkten vertraglichen Verbesserungen und der mit dem Senat abgestimmten Einstellungen ist der Einsatz bei nichtsensiblen Daten vertretbar. Bei Daten mit hohem Schutzbedarf sind hingegen noch zahlreiche Fragen zum Schutzkonzept offen. Auch im Jahr 2025 wurde das Projekt BestCloudBasis der Senatskanzlei Hamburg (SK) datenschutzrechtlich intensiv begleitet. Ziel des Projekts ist die Einführung von Microsoft 365 (M365) zur Verarbeitung personenbezogener Daten mit normalem Schutzbedarf. Die datenschutzrechtliche Begleitung durch den HmbBfDI begann Mitte 2023 mit der Prüfung eines Nutzungskonzepts und wurde durch mehrere Workshops und kontinuierlichen Austausch bis Ende September 2025 fortgeführt.
Die Prüfung konzentrierte sich auf die Einhaltung der Verarbeitungsgrundsätze gemäß Art. 5 DSGVO für nicht sensible Daten. Aufgrund der Komplexität von M365, das vielfältige Cloud-Dienste und komplexe Datenströme umfasst, war ein besonderes Augenmerk auf ein umfassendes Risikomanagement und die Einhaltung der Weisungsbefugnis nach Art. 28 DSGVO erforderlich. Die Verarbeitung von Daten mit hohem Schutzbedarf oder sensiblen Kategorien (Art. 9 DSGVO) wurde bislang noch nicht abschließend bewertet, da die Konkretisierungen der dahingehenden Schutzmaßnahmen bei der Senatskanzlei noch in Klärung sind. Die Thematik bleibt Gegenstand weiterer Prüfungen.
Im Rahmen der Begleitung wurden umfangreiche Dokumentationen bereitgestellt, darunter eine Datenschutzfolgeabschätzung, detaillierte Verarbeitungstätigkeitsbeschreibungen sowie Feinkonzepte zu zentralen Anwendungen wie SharePoint, Teams und OneDrive. Ergänzt wurden diese durch Sicherheits- und Governancekonzepte, die eine risikozentrierte Prüfung und die Erfüllung der Rechenschaftspflichten ermöglichen. Aufgrund geplanter Erweiterungen, etwa durch die Integration von Copilot Chat und MS Forms, ist eine umfassende Überarbeitung der Dokumentation für Ende 2025 vorgesehen. Die Verantwortlichkeitsverteilung zwischen der Senatskanzlei als zentrale IT-Infrastrukturverantwortliche und den Fachbehörden als Verantwortliche für die Verarbeitung ihrer jeweiligen Inhaltsdaten ist derzeit noch nicht abschließend geklärt. Die SK sieht sich gemäß § 14 HmbVwDiG als Verantwortliche für die zentrale IT-Infrastruktur, während die Fachbehörden für die inhaltliche Datenverarbeitung zuständig bleiben. Diese Aufteilung könnte mit der DSGVO zwar grundsätzlich vereinbar sein, bedarf jedoch noch einer abschließenden datenschutzrechtlichen Dokumentation und Prüfung der zugrundeliegenden Rechtsgrundlagen.
Ein wesentlicher Bestandteil der datenschutzrechtlichen Absicherung ist der Auftragsverarbeitungsvertrag (AVV) mit Microsoft, der durch eine Zusatzvereinbarung ergänzt wurde. Diese Zusatzvereinbarung adressiert zentrale datenschutzrechtliche Bedenken und regelt die Rechte und Pflichten beider Parteien im Rahmen der Auftragsverarbeitung. Microsoft verpflichtet sich darin, ausschließlich im Auftrag und nach Weisung der SK tätig zu werden. Die Zusatzvereinbarung
enthält unter anderem folgende wichtige Regelungen:
– Einschränkungen bei einseitigen Vertragsänderungen durch
Microsoft, um eine nachträgliche Verschlechterung der
Datenschutzbedingungen zu verhindern.
– Klare Zusicherungen zur Einhaltung der DSGVO, insbesondere
hinsichtlich der Verarbeitung personenbezogener Daten und der
Umsetzung technischer und organisatorischer Maßnahmen.
– Ausschluss der Nutzung von Kundendaten für das Training
von Künstlicher Intelligenz (KI), um eine unautorisierte
Weiterverwendung der Daten zu verhindern.
– Stärkung der Weisungsbefugnis der Freien und Hansestadt
Hamburg (FHH) gegenüber Microsoft, um die Kontrolle über die
Datenverarbeitung sicherzustellen.
– Vorrang des EU-Rechts bei Drittstaatenübermittlungen,
insbesondere im Hinblick auf den Zugriff durch Behörden
außerhalb der EU.
– Ausweitung des EU Data Boundary, sodass die Datenverarbeitung
und -speicherung ausschließlich innerhalb der EU erfolgt, um den
Schutz personenbezogener Daten zu gewährleisten.
Bezüglich der Verarbeitung von Daten zu eigenen Zwecken durch Microsoft konnte glaubhaft dargelegt werden, dass Microsoft ausschließlich pseudonymisierte Telemetrie- und Diagnosedaten verarbeitet. Diese dienen der Verbesserung der Dienste und der Fehlerbehebung. Inhaltsdaten der Kunden werden nicht für eigene Zwecke verarbeitet. Die Telemetriedaten umfassen technische Informationen zur Nutzung und Leistung der Dienste und werden in aggregierter und anonymisierter Form ausgewertet. Die Prozesse zur Erstellung von Reports sowie zur Anonymisierung und Aggregation der Daten wurden erläutert, wobei noch Detailfragen offen sind, insbesondere hinsichtlich der Kriterien und Verfahren zur Genehmigung der Reports. Die Rückführbarkeit der Telemetriedaten auf einzelne Personen wird als sehr gering eingeschätzt, was das Risiko einer Identifikation minimiert. Dennoch wird eine weitere Klärung der genauen Anonymisierungsverfahren und der Kontrollmechanismen empfohlen, um Transparenz und Datenschutzkonformität sicherzustellen.
Die Drittstaatenübermittlung, insbesondere in die USA, wird durch die EU Data Boundary von Microsoft, das EU-US Data Privacy Framework sowie die vertraglichen Schutzmaßnahmen im AVV zumindest derzeit ausreichend adressiert. Dabei gilt es, die politischen Entwicklungen in den USA im Blick zu halten (siehe Kap. VI 1). Auf Aufforderung des HmbBfDI hin hat die Senatskanzlei eine Exit-Strategie für den Fall entwickelt. Diese setzt sich mit dem möglichen Szenario auseinander, dass sich der kurzfristige Bedarf ergibt, die Daten aus der Microsoft-Cloud zurückzuholen oder dass Microsoft die Dienstleistung für die Stadt Hamburg abrupt beendet. Nach derzeitigem Stand werden allerdings keine Backups bei Dataport erstellt, sodass bei plötzlichen und unvorhergesehenen Maßnahmen durch Microsoft die Verfügbarkeit der Daten gefährdet wäre. Zudem stünde im Fall des Exits keine Software zur Verfügung, die langfristig und in gleichem Leistungsumfang den nahtlosen Weiterbetrieb der Datenverarbeitungen in der FHH gewährleisten würde. Die SK verzichtet auf die Microsoft Customer Lockbox zugunsten eines vergleichbaren Zugriffsverbots im Servicevertrag mit Dataport, um unautorisierten Zugriff auf Kundendaten zu verhindern. Zudem wird eine belastbare Exit- und Backup-Strategie empfohlen, um auf mögliche politische Veränderungen flexibel reagieren zu können.
Die Liste der Microsoft-Unterauftragsverarbeiter wurde aktualisiert und entspricht den Anforderungen für die Verarbeitung von Daten mit normalem Schutzbedarf. Die Konfigurationsmöglichkeiten für verbundene Erfahrungen („connected experiences“) wurden verbessert, sodass eine feingranulare Deaktivierung möglich ist. Die SK deaktiviert Microsoft-Dienste, die als eigenständige Verantwortliche auftreten, soweit dies datenschutzrechtlich erforderlich ist. Gleichzeitig werden barrierefördernde Funktionen wie die Transkription in Teams unter Beachtung der Rechtsgrundlagen genutzt.
Die technische Konfiguration von M365 ist teilweise noch unvollständig dokumentiert, insbesondere fehlen Feinkonzepte für Kernanwendungen wie Word oder Excel. Die SK arbeitet an einer besseren Dokumentation und Transparenz der Konfigurationen, um die Rechenschaftspflicht zu gewährleisten. Vorgestellte Sicherheitsprofile sollen auch für den normalen Schutzbedarf angemessene Sicherheitsniveaus bieten.
Telemetrie-Messungen zur Analyse der durch M365 ausgelösten Datenströme zeigen keine Auffälligkeiten und werden regelmäßig wiederholt, was als risikominimierend bewertet wird. Insgesamt wurde der Stand des Projekts zum 30. September 2025 als datenschutzrechtlich vertretbar bewertet. Die Verarbeitungsgrundsätze des Art. 5 DSGVO für Daten mit normalem Schutzbedarf werden in angemessenem Maße eingehalten. Die Zusatzvereinbarung mit Microsoft schafft eine solide Grundlage zur Minimierung der Risiken aus der Auftragsverarbeitung und Drittstaatenübermittlung. Offene Fragen, insbesondere zur Reporterstellung und zur Verarbeitung verbundener Erfahrungen, bleiben bestehen und werden weiterverfolgt. Die Bewertung steht unter dem Vorbehalt der angekündigten Dokumentationsüberarbeitungen und weiterer Rückmeldungen.
Zunächst vom Senat ausgeklammert war die Frage des Umgangs mit Behörden und Arbeitsplätzen, die Daten mit hohem Schutzbedarf verarbeiten. Dies können beispielsweise Rechner der Polizei oder von Sozialträgern sein. Die dort anfallenden Informationen sind besonders zu sichern gegen die missbräuchliche Einsichtnahme oder Verwendung durch Unberechtigte. Zum einen sind Maßnahmen gegen das versehentliche Teilen sensibler Informationen in einem unbeabsichtigt weiten Empfängerkreis vorzusehen. Dies kann mittels strikter Voreinstellungen erreicht werden. Zum anderen sind Schutzvorkehrungen wie resistente Multi-Faktor-Authentifizierung gegen Phishing-Angriffe von außen vorzusehen. Es gilt den Angriffsvektor zu minimieren, dass sich Kriminelle durch einen Phishing-Angriff Zugang zu dem Profil einzelner Beschäftigter verschaffen, die als Einfallstor für die Daten anderer Arbeitsplätze und auch Behörden genutzt werden können. Die Senatskanzlei hat erst spät mit dem Prozess begonnen, entsprechende konkrete technische Maßnahmen auszuwählen und zu spezifizieren. Sie beabsichtigt derzeit, den jeweiligen einsetzenden Behörden die Wahl zwischen zwei Varianten zu überlassen, dem Sicherheitsprofil Standard und dem Sicherheitsprofil Plus. Nach Einschätzung der Senatskanzlei sollen beide Profile für die Verarbeitung von Daten mit hohem Schutzbedarf geeignet sein. Dieses Ziel ist zu begrüßen, jedoch sind die Planungen, welche Maßnahmen in welcher technischen Umsetzung in den jeweiligen Sicherheitsprofilen integriert sein können, noch relativ abstrakt. Auch die Kosten, die auf die jeweiligen Behörden bei der Wahl des höheren Sicherheitsprofils entfallen, sind noch nicht bekannt. Aus diesen Gründen hat der HmbBfDI erwirkt, dass ein für den November 2025 geplanter Beschluss des behördenübergreifenden Anwendegremiums ITAB zurückgestellt wurde. Dieser sah eine Vorfestlegung der voraussichtlichen Geeignetheit auch des Standardprofils für hohen Schutzbedarf vor.
Der HmbBfDI setzt seine regelmäßige Workshopreihe mit dem Senat fort und konzentriert sich darin auf die zu ergreifenden Maßnahmen bei hohem Schutzbedarf. Die Senatskanzlei ist derzeit damit befasst, diese weiter auszuarbeiten und zeigt sich offen für die Übernahme konkreter Vorschläge des HmbBfDI.“