Der hessische LDSB ist schon mit seinem Gutachten zu Microsoft 365 in die Öffentlichkeit gekommen und hat unter gewissen Voraussetzungen Microsoft 365 als datenschutzkonformen Betrieb ermöglicht. Nun hat er sich auch in dem Jahresbericht zu 2026 dazu geäußert.
Microsoft 365 im Jahresbericht 2026
Durch intensive Verhandlungen mit Microsoft kam es zu einer Stärkung der Rechtssicherheit beim Einsatz von Microsoft 365 . Ausgangspunkt waren erhebliche Bedenken der Datenschutzkonferenz (DSK) aus dem Jahr 2022, wonach das damalige Data Protection Addendum (DPA) von Microsoft nicht den Anforderungen des Art. 28 DSGVO entsprach. Diese Einschätzung führte auch in Hessen zu großer Rechtsunsicherheit bei öffentlichen und nicht‑öffentlichen Stellen. Vor diesem Hintergrund wurden Verantwortliche dazu angehalten, Änderungen am DPA einzufordern. In mehreren Aufsichtsverfahren und begleitenden Informationen wurde deutlich gemacht, dass eine datenschutzkonforme Nutzung von Microsoft 365 nur unter angepassten vertraglichen Bedingungen möglich ist.
Zwischen Juli 2024 und November 2025 verhandelte der Hessische Datenschutzbeauftragte intensiv mit Microsoft über eine Überarbeitung des DPA, orientiert an den sieben Kritikpunkten der DSK. Dabei wurden veränderte rechtliche Rahmenbedingungen – insbesondere das EU‑US Data Privacy Framework –, technische und organisatorische Anpassungen von Microsoft (wie die EU‑Datengrenze) sowie ein weiterentwickeltes Datenschutzkonzept berücksichtigt. Das Ergebnis ist im Abschlussbericht vom 15. November 2025 dokumentiert und kommt zu dem Schluss, dass Microsoft 365 bei Umsetzung konkreter Empfehlungen datenschutzkonform genutzt werden kann. Der Bericht bietet damit öffentlichen Stellen und Unternehmen in Hessen eine belastbare Rechts‑ und Handlungssicherheit und kann auch für andere Aufsichtsbehörden als Grundlage für eigene Bewertungen dienen.
Quelle: .pdf LDSB Bericht 2026
Download LSDB Hessen 2026 Jahresbericht
„Soweit und solange diese Abhängigkeit besteht, kommt es darauf an, eine Anpassung von Angeboten und Vertragsregelungen an die europäischen Datenschutzanforderungen zu erreichen. Daher ist es ein wichtiger Schritt zu mehr Rechtssicherheit, dass es mir in intensiven und schwierigen Gesprächen mit Microsoft gelungen ist, Wege zu finden, wie die Nutzer von Microsoft 365 in Hessen ihre Datenverarbeitung datenschutzgerecht durchführen können. Hierfür hat Microsoft sein Data Protection Addend um und seine Datenverarbeitung verändert und den Nutzern zusätzliche Informationen und Handlungsmöglichkeiten zur Verfügung gestellt. Dies ermöglicht den Nutzern, ihren notwendigen Beitrag zur datenschutzgerechten Nutzung zu leisten (Teil 1 Kap. 1.5 und 16.2).„
„1.5 Mehr Rechtssicherheit durch Gutachten zum Datenschutznachtrag von Microsoft Eine Stärkung der Rechtssicherheit konnte durch Verhandlungen mit Microsoft (MS) über deren Datenschutznachtrag (Data Protection Addendum – DPA) für die Online-Dienste erzielt werden. In einem umfangreichen Gutachten konnte ich feststellen, dass Microsoft 365 (M365) in Hessen datenschutz 12 Neue Aufgaben und Rahmenbedingungen konform genutzt werden kann, wenn meine Empfehlungen an die nutzenden Verantwortlichen umgesetzt werden. MS bietet M365 als Cloud-Dienst an. Datenschutzrechtlich gesehen ist daher MS Auftragsverarbeiter und der nutzende Kunde Verantwortlicher. Der Kunde muss mit MS als seinem Auftragsverarbeiter einen in Art. 28 Abs. 3 DS-GVO beschriebenen Vertrag abschließen. MS nutzt dafür seinen DPA. Im November 2022 stellte die DSK fest, dass Verantwortliche den von Art. 5 Abs. 2 DS-GVO geforderten Nachweis, M365 datenschutzrechtskon form zu betreiben, auf der Grundlage des DPA vom 15. September 2022 nicht führen können. Als Grund nannte die DSK, dass das DPA in sieben Kritikpunkten den Vorgaben des Art. 28 DS-GVO für Auftragsverarbeiter nicht entspreche (s. DSK, Festlegung vom 24.11.2022, https://www.daten schutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365. pdf; DSK, Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung, https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_fest legung_MS365_abschlussbericht.pdf). Über diesen Beschluss der DSK habe ich in Hessen öffentliche und nicht-öffentliche Stellen ausführlich informiert und sie gedrängt, von MS Änderungen des DPA zu verlangen, damit sie M365 datenschutzkonform betreiben können (52. Tätigkeitsbericht zum Datenschutz, Kap. 1.2, S. 11 f.). Mit dieser Zielsetzung habe ich auch mehrere Aufsichtsverfahren durchgeführt. Der Beschluss der DSK und die Umsetzungsmaßnahmen in Hessen haben zu einer großen Verunsicherung geführt. Um mit MS zu klären, unter welchen Voraussetzungen das DPA mit der DS-GVO in Einklang gebracht wer den kann, habe ich von Juli 2024 bis November 2025 in vielen intensiven Diskussionsrunden mit MS verhandelt, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 möglich ist (s. auch 53. Tätigkeitsbericht zum Datenschutz, Kap. 1.7). Maßstab waren die sieben Kritikpunkte der DSK. Ich habe keine technische Untersuchung einzelner M365-Dienste durchgeführt. In den Verhandlungen konnte ich feststellen, dass sich nach drei Jahren ent scheidende Bedingungen geändert haben. Zum einen haben sich rechtliche Vorgaben verändert wie z. B. die Zulässigkeit der Übertragung personen bezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks. Zum anderen hat MS seine Datenverarbeitung an europäische Anforderungen angepasst wie z. B. durch die EU-Datengrenze, durch die MS fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet. Drittens hat MS Veränderungen in seinem Datenschutzkonzept durchgeführt und ausführlich erläutert. Viertens konnte ich erreichen, dass MS das DPA (für öffentliche Stellen) fortentwickelt hat. Schließlich stellt MS 13 Der Hessische Beauftragte für Datenschutz und Informationsfreiheit 54. Tätigkeitsbericht zum Datenschutz zusätzliche Informationen bereit wie z. B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt (s. ausführlich Kap. 16.2). Die Ergebnisse der Untersuchung sind in dem „Ab schlussbericht des HBDI zum Einsatz von M365“ vom 15. November 2025 (137 Seiten) (https://datenschutz.hessen.de/hbdi_m365_bericht) nachzulesen. Das positive Ergebnis beruht auch auf der Erwartung, dass MS und die Verantwortlichen zusammenwirken, damit Verantwortliche M365 daten schutzrechtskonform nutzen können. Daher endet der Bericht mit Handlungs empfehlungen für die verantwortlichen öffentlichen und nicht-öffentlichen Stellen in Hessen. Auf ihrer Grundlage können verantwortliche Stellen einzelne Bestandteile von M365 einer vertiefenden datenschutzrechtlichen Betrachtung für den konkreten Einsatz unterziehen und im Erfolgsfall daten schutzkonform einsetzen. Das positive Ergebnis bietet nun den Unternehmen und Behörden in Hessen grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten. Auch andere Aufsichtsbehörden können sich an diesem Ergebnis und seiner Begründung orientieren, wenn sie eine eigene Bewertung zu dem neuen DPA für öffentliche Stellen durchführen müssen.„
16.2
„16.2
Mehr Rechtssicherheit beim Einsatz von Microsoft 365
Der Einsatz cloudbasierter Standardsoftware, insbesondere von Microsoft 365 (M365), stellt öffentliche und nicht-öffentliche Stellen seit Jahren vor erhebliche datenschutzrechtliche Herausforderungen. Zuletzt hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) 2022 festgestellt, dass Verantwortliche den Nachweis eines datenschutzrechtskonformen Betriebs von M365 auf Grundlage des damals vorliegenden Datenschutznachtrags von Microsoft nicht führen konnten. Diese Feststellung war die Grundlage von etlichen Informationsveranstaltungen, die ich im Jahr 2023 veranstaltete, und führte zu mehreren Aufsichtsverfahren gegen Verantwortliche in Hessen (s. 52 Tätigkeitsbericht zum Datenschutz, Kap. 1.2). Sie verursachte in der Praxis erhebliche Rechtsunsicherheit, sowohl im öffentlichen Bereich als auch in der Privatwirtschaft. Vor diesem Hintergrund habe ich Gespräche mit Microsoft aufgenommen, um zu prüfen, ob – unter Berücksichtigung zwischenzeitlicher rechtlicher, vertraglicher und technischer Entwicklungen – mittlerweile ein datenschutzkonformer Eins tz von M365 möglich ist. Ziel war es, öffentlichen und nicht-öffentlichen Stellen mit Sitz in Hessen grundlegende Handlungs- und Rechtssicherheit zu ver schaffen. Die Ergebnisse dieser Gespräche habe ich in einem ausführlichen Bericht zum Einsatz von M365 zusammengefasst, der auf meiner Webseite unter https://datenschutz.hessen.de/presse/hbdi-microsoft-365-kann-datenschutzkonform-genutzt-werden veröffentlicht ist (s. auch Kap. I 1.5).
Bezogen auf die sieben von der DSK benannten Kritikpunkte komme ich zu dem Ergebnis, dass ein datenschutzkonformer Betrieb von M365 hinsichtlich des Datenschutznachtrags von Microsoft grundsätzlich möglich ist. Diese Schlussfolgerung beruht insbesondere auf:– der Fortentwicklung des Datenschutznachtrags (Data Protection Addend um – DPA) durch Microsoft, einschließlich spezifischer Anpassungen für öffentliche Stellen, 54. Tätigkeitsbericht zum Datenschutz– zusätzlichen transparenzfördernden Begleitdokumenten, etwa einer Interpretationshilfe zum DPA und dem „M365-Kit“,– einer von meiner Behörde erstellten Taxonomie der verarbeiteten Datenkategorien sowie– veränderten rechtlichen Rahmenbedingungen, insbesondere dem Angemessenheitsbeschluss der Europäischen Kommission zum EU-U.S. Data Privacy Framework.
In Gesprächen mit Microsoft konnte ich klären, dass Microsoft personenbezogene Daten nicht für eigene Geschäftszwecke inhaltlich auswertet, sondern lediglich bestimmte generierte, abgeleitete oder gesammelte Daten in aggregierter Form verarbeitet. Diese aggregierten Daten weisen keinen Personenbezug mehr auf.
Im Folgenden werden die sieben Kritikpunkte der DSK am DPA vom 15.September 2022 genannt und die Gründe für eine neue Bewertung durch den HBDI erläutert:
1. Kritikpunkt: Im DPA fehlten klare Angaben zu Art und Zweck der Datenverarbeitung sowie zur Art der personenbezogenen Daten und betroffener
Kategorien. – Microsoft hat inzwischen unterschiedliche Materialien erstellt,um besser über die Datenverarbeitung zu informieren, und für öffentliche
Stellen den DPA überarbeitet, so dass Verantwortliche ausreichende Informationen über die Datenverarbeitung durch Microsoft erlangen und
diese in ihr Verarbeitungsverzeichnis einbinden können.
2. Kritikpunkt: Microsoft lasse sich im DPA unzureichend konkretisierte Rechte für Datenverarbeitungen für eigene Geschäftstätigkeiten einräumen. – Microsoft hat klargestellt, dass es nur Log- und Diagnose-Daten, nicht aber Inhaltsdaten, in anonymisierter und aggregierter Form für Zwecke des Auftraggebers (des verantwortlichen Kunden) verarbeite. Diese Datenverarbeitung unterfällt entweder nicht der DS-GVO oder ist datenschutzrechtlich vertretbar.
3. Kritikpunkt: Microsoft behalte sich im DPA im Ergebnis umfangreiche Befugnisse vor, Daten ohne Weisung des Auftraggebers zu verarbeiten und Daten, auch gegenüber Drittstaaten, offenzulegen. – Microsoft hat sich im neuen DPA verpflichtet, personenbezogene Daten nur auf dokumentierte Anweisung des Kunden zu verarbeiten und sich hinsichtlich Offenlegungen der DS-GVO zu unterwerfen.
4. Kritikpunkt: Microsoft verpflichte sich nicht, die von der DS-GVO geforderten technischen und organisatorischen Sicherheitsmaßnahmen ein zuhalten. – Microsoft hat sich im neuen DPA verpflichtet, die Vorgabender DS-GVO ohne Abstriche einzuhalten.
5. Kritikpunkt: Die Ausgestaltung der Rückgabe- und Löschverpflichtung im DPA genüge nicht den gesetzlichen Anforderungen. – Microsoft bietet einen Löschprozess an und ermöglicht allen Kunden, Daten auch selbst zu löschen oder löschen zu lassen, wenn diese schneller gelöscht werden müssen.
6. Kritikpunkt: Microsoft informiere nach dem DPA nicht über jede beabsichtigte Änderung in Bezug auf Unterauftragnehmer. – Microsoft hält dagegen sechs Monate bzw. einen Monat im Voraus in seinem ServiceTrust Portal detaillierte Informationen über jeden Unterauftragnehmer bereit und informiert darüber alle Kunden, so dass diese die Informationen problemlos zur Kenntnis nehmen können.
7. Kritikpunkt: Microsoft übermittle für den Betrieb von M365 personenbezogene Daten unzulässigerweise in die USA und in andere Staaten. – In zwischen verarbeitet Microsoft die Daten fast vollständig im Europäischen Wirtschaftsraum. Die verbleibenden Datenübermittlungen in die USA und andere Staaten sind durch Angemessenheitsbeschlüsse der Europäischen Kommission und Standardvertragsklauseln gedeckt.
Auch wenn hinsichtlich der von Microsoft im Rahmen der bereitgestellten Produkte und Services mehr Transparenz besteht und durch die Anpassungen des Datenschutznachtrags mehr Rechtssicherheit entsteht, möchte ich betonen, dass die Möglichkeit eines datenschutzkonformen Einsatzes von
M365 nicht automatisch gegeben ist. Denn der rechtmäßige Einsatz setzt voraus, dass Verantwortliche die ihnen nach der DS-GVO obliegenden Pflichten erfüllen. Dazu gehören etwa:– die Dokumentation von Zwecken und Rechtsgrundlagen der Datenverarbeitung,– die Überprüfung der zur Verarbeitung vorgesehenen Dienste hinsichtlich der Anforderungen und Voraussetzungen eines datenschutzkonformen
Einsatzes,– die angemessene Konfiguration der eingesetzten Dienste,– die Einbindung der Nutzung von M365 in das Verzeichnis der Verarbeitungstätigkeiten,– die Prüfung und Steuerung von Lösch- und Aufbewahrungsfristen sowie– die laufende Bewertung von Drittlandübermittlungen und Unterauftrags
verarbeitern.
Der M365-Bericht enthält hierzu und zu weiteren Punkten konkrete Handlungsempfehlungen, die den Verantwortlichen als Orientierung für eine datenschutzgerechte Nutzung dienen sollen. Auch wenn diese Handlungsempfehlungen nicht abschließend sind, hoffe ich, dass sie einen Beitrag zu einer praxisnahen und rechtssicheren Umsetzung der datenschutzrechtlichen Anforderungen leisten können.
Mit dem M365-Bericht verfolge ich einen differenzierten und konstruktiven Ansatz. Ziel ist es nicht, den Einsatz bestimmter Produkte pauschal zu unter sagen oder zu empfehlen, sondern darauf hinzuwirken, dass Verantwortliche in Kenntnis meiner Rechtsauffassung ihre Bewertung vornehmen und hierauf
aufbauend ihren datenschutzrechtlichen Pflichten nachkommen können. Der Bericht ersetzt mithin keine Einzelfallprüfung, schafft aber einen belastbaren Rahmen für die Aufsichtspraxis meiner Behörde.
Losgelöst von einer rein datenschutzrechtlichen Betrachtungsweise möchte ich darauf hinweisen, dass der Einsatz marktbeherrschender, außereuropäischer Cloud-Angebote mit strukturellen Risiken verbunden ist. Auch wenn das DPA zu M365 die Mindestanforderungen der DS-GVO erfüllt: Eine Digitalstrategie, die ausschließlich auf die Nutzung außereuropäischer Cloud-Angebote gerichtet ist, bringt erhebliche Risiken für Staat, Verwaltung und Gesellschaft mit sich. Digitale Souveränität sollte daher ein zentrales strategisches Ziel für öffentliche und nicht-öffentliche Stellen sein. Verantwortliche sollten bei der Digitalisierung daher nicht allein kurzfristige Funktionalität, sondern auch langfristige Souveränitäts- und Resilienzfragen in ihre Entscheidungen einbeziehen.“