Zusammenfassung und Maßnahmen aus dem HBDI-Bericht zum datenschutzkonformen Einsatz von Microsoft 365 (Stand: November 2025)

Nun ist es soweit, der erste LDSB in Deutschland und diesmal aus Hessen bescheinigt eine Möglichkeit der datenschutzkonformen Nutzung von Microsoft 365 zunächst in seiner Zuständigkeit Hessen.

 Warum ist Microsoft 365 datenschutzkonform nutzbar?

Ausgangslage und Entwicklung

  • Die Datenschutzkonferenz (DSK) hatte 2022 festgestellt, dass ein datenschutzkonformer Betrieb von Microsoft 365 (M365) auf Basis des damaligen Datenschutznachtrags (DPA) nicht nachweisbar sei. Hauptkritikpunkte betrafen Transparenz, Weisungsbindung, technische und organisatorische Maßnahmen, Löschung, Unterauftragsverarbeiter und Drittlandübermittlungen.
  • Zwischen 2024 und 2025 fanden intensive Gespräche zwischen dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) und Microsoft statt, um die Kritikpunkte zu adressieren und Lösungen zu erarbeiten.

Wesentliche Veränderungen und Verbesserungen

  1. Klarheit über Art und Zweck der Verarbeitung
    • Microsoft hat das DPA überarbeitet und zusätzliche Dokumentationen (Interpretationshilfe, M365-Kit, Taxonomie) bereitgestellt.
    • Verantwortliche erhalten nun ausreichend Informationen, um die Datenverarbeitung zu dokumentieren und in ihr Verarbeitungsverzeichnis einzubinden.
  2. Beschränkung der Verarbeitung für eigene Geschäftstätigkeiten
    • Microsoft verarbeitet ausschließlich Log- und Diagnosedaten, nicht aber Inhaltsdaten, für eigene Geschäftszwecke.
    • Diese Daten werden pseudonymisiert und aggregiert, sodass keine Rückschlüsse auf Einzelpersonen möglich sind.
  3. Weisungsbindung und Offenlegung
    • Microsoft verpflichtet sich, personenbezogene Daten nur auf dokumentierte Anweisung des Kunden zu verarbeiten.
    • Offenlegungen erfolgen ausschließlich auf Basis der DS-GVO oder auf Weisung des Kunden.
  4. Technische und organisatorische Maßnahmen
    • Microsoft verpflichtet sich zur Einhaltung aller Anforderungen des Art. 32 DS-GVO („Stand der Technik“).
    • Die Maßnahmen werden regelmäßig überprüft und sind im Service Trust Portal transparent dokumentiert.
  5. Löschung und Rückgabe
    • Kunden können alle personenbezogenen Daten jederzeit löschen oder löschen lassen.
    • Es bestehen klare Prozesse für die Löschung nach Vertragsende und für verschiedene Datenkategorien.
  1. Unterauftragsverarbeiter
    • Microsoft informiert Kunden rechtzeitig (6 Monate für Kundendaten, 30 Tage für andere Daten) über Änderungen bei Unterauftragsverarbeitern.
    • Kunden haben ein Widerspruchsrecht und können im Zweifel Verträge kündigen.
  2. Drittlandübermittlungen
    • Microsoft hat die Datenverarbeitung weitgehend in die EU/EWR verlagert („EU Data Boundary“).
    • Für unvermeidbare Übermittlungen in Drittländer werden Standardvertragsklauseln und das EU-US Data Privacy Framework genutzt.
    • Microsoft ist für die Übermittlung von „HR and Non-HR Data“ nach dem EU-US Data Privacy Framework zertifiziert.

Rechtliche Bewertung

  • Der HBDI kommt zu dem Schluss, dass – unter Einhaltung der Handlungsempfehlungen und bei Erfüllung der allgemeinen Pflichten nach DSGVO – ein datenschutzkonformer Betrieb von M365 möglich ist.
  • Die Verantwortung für die Einhaltung der DSGVO liegt weiterhin beim Verantwortlichen (Kunde), der durch die bereitgestellten Dokumentationen und Prozesse von Microsoft unterstützt wird.
  • Die Umsetzung der Maßnahmen und die Dokumentation der Verarbeitungsvorgänge ermöglichen es, die Nachweispflichten nach Art. 5 und 28 DSGVO zu erfüllen.

Cloud Act, US-Gesetzgebung und Microsoft 365 – Bewertung durch den HBDI

1Hintergrund

  • Der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act) und andere US-Gesetze (z. B. FISA 702) ermöglichen US-Behörden unter bestimmten Bedingungen den Zugriff auf Daten, die von US-Unternehmen – auch außerhalb der USA – verarbeitet werden.
  • Die Datenschutzkonferenz (DSK) hatte 2022 kritisiert, dass das damalige DPA von Microsoft keine ausreichenden Garantien gegen Zugriffe nach US-Recht bot und die Weisungsbindung des Kunden nicht ausreichend war.

Was sagt der HBDI-Bericht dazu?

Weisungsbindung und Offenlegung

  • Microsoft verpflichtet sich im aktuellen DPA, personenbezogene Daten grundsätzlich nur auf dokumentierte Weisung des Kunden zu verarbeiten.
  • Offenlegungen erfolgen nur auf Weisung, auf Basis des DPA oder wenn sie gesetzlich vorgeschrieben sind.
  • Im DPA wird ausdrücklich auf das Recht der Union oder des Mitgliedstaats verwiesen, dem Microsoft unterliegt. Das bedeutet: Gesetzliche Offenlegungen sind nur nach EU- oder nationalem Recht zulässig.

Umgang mit US-Anfragen (CLOUD Act, FISA 702)

  • Microsoft hat sich verpflichtet, rechtlich gegen behördliche Anforderungen aus den USA vorzugehen, sofern eine rechtliche Grundlage zur Anfechtung besteht.
  • Im DPA-öS (für öffentliche Stellen in Hessen) verpflichtet sich Microsoft ausdrücklich, Handlungen zu unterlassen, die gegen die Pflichten aus dem Auftragsverarbeitungsvertrag und der DS-GVO verstoßen – auch wenn Microsoft durch ausländische Behörden zu einem Handeln, Dulden oder Unterlassen verpflichtet wird.
  • Microsoft hat Maßnahmen eingeführt, um die Verarbeitung personenbezogener Daten europäischer Kunden innerhalb des europäischen Raums zu ermöglichen (EU Data Boundary) und zusätzliche Sicherheits- und Verschlüsselungsoptionen bereitgestellt.

c) Restrisiko und Transparenz

  • Microsoft räumt ein, dass eine Offenlegung auf Anordnung der US-Regierung ohne ausdrückliche Zustimmung des Verantwortlichen für die Zukunft nicht vollständig ausgeschlossen werden kann.
  • Der HBDI empfiehlt daher, regelmäßig den „Government Requests for Customer Data Report“ von Microsoft zu prüfen und technische sowie organisatorische Maßnahmen zur Risikominimierung zu ergreifen (z. B. Verschlüsselung, Datenminimierung).

d) Rechtliche Bewertung

  • Der HBDI sieht die Anforderungen des Art. 28 Abs. 3 DS-GVO (Weisungsbindung, Offenlegung) als erfüllt an, da Microsoft sich der Weisung des Kunden unterwirft und gesetzliche Offenlegungen auf EU-/Mitgliedstaatenrecht begrenzt.
  • Das Restrisiko durch US-Gesetze bleibt bestehen, wird aber durch die getroffenen Maßnahmen und die Transparenzpflichten von Microsoft minimiert.

Fazit des HBDI

  • Microsoft 365 kann datenschutzkonform eingesetzt werden, wenn die Verantwortlichen die Handlungsempfehlungen umsetzen und die Risiken durch US-Gesetzgebung aktiv managen.
  • Die Offenlegung personenbezogener Daten an US-Behörden ist nach aktuellem Stand sehr unwahrscheinlich, aber nicht völlig ausgeschlossen.
  • Verantwortliche sollten technische und organisatorische Maßnahmen zur Risikominimierung ergreifen und die Entwicklung der Rechtslage fortlaufend beobachten.

Quellen aus dem Bericht:

  • Kapitel F I.3 und III.3 (Weisungsbindung und Offenlegung)
  • Kapitel F II.3 und III.3 (rechtliche Bewertung)
  • Handlungsempfehlungen (Seiten 85–86, 91)
  • DPA- und DPA-öS-Passagen

 

Konkrete Maßnahmen für die Datenschutzkonformität

Technische Maßnahmen

  • Einsatz von Verschlüsselung für Datenübertragung und -speicherung (Transport und „at rest“)
  • Pseudonymisierung und Aggregation von Diagnosedaten und Logdaten
  • Zugriffskontrollen und rollenbasierte Berechtigungen
  • Regelmäßige Überprüfung und Auditierung der Sicherheitsmaßnahmen (ISO 27001, ISO 27018, SOC-Berichte)
  • Nutzung von Tools wie eDiscovery und Purview Compliance-Portal zur Identifikation und Löschung personenbezogener Daten
  • Redundante Speicherung und Versionierung von Dateien, kein standardmäßiges dediziertes Backup (Kundenverantwortung)
  • Protokollierung und Nachvollziehbarkeit von Löschvorgängen (Audit-Logs)
  • Möglichkeit zur Konfiguration von Löschfristen und automatisierten Löschprozessen
  • Minimierung von Drittlandübermittlungen, Nutzung von EU Data Boundary und Lock Box-Prozessen

Organisatorische Maßnahmen

  • Abschluss und regelmäßige Prüfung des DPA (bzw. DPA-öS für öffentliche Stellen)
  • Nutzung und Pflege eines Verzeichnisses von Verarbeitungstätigkeiten (z. B. mit Hilfe des M365-Kits)
  • Sensibilisierung und Schulung der Mitarbeitenden zu Datenschutz und Umgang mit Inhaltsdaten
  • Einbindung des Datenschutzbeauftragten und der Personalvertretung bei Einführung oder Änderung von IT-Produkten
  • Dokumentation und Umsetzung eines Löschkonzepts für alle Datenarten
  • Regelmäßige Überprüfung der eingesetzten Unterauftragsverarbeiter und Nutzung der Informationskanäle von Microsoft
  • Überwachung und Bewertung rechtlicher Entwicklungen zu Drittlandübermittlungen und Anpassung der Prozesse bei Änderungen
  • Durchführung von Datenschutz-Folgenabschätzungen und regelmäßige Evaluierung der technischen und organisatorischen Maßnahmen
  • Sicherstellung eines definierten Prüfprozesses vor Einführung neuer Produkte oder wesentlichen Änderungen
  • Kontinuierliche Überwachung von Änderungen an Diensten und Bewertung der Auswirkungen auf Datenschutz und Informationssicherheit

Fazit:
Durch die beschriebenen technischen und organisatorischen Maßnahmen sowie die Weiterentwicklung des DPA und der begleitenden Dokumentationen ist ein datenschutzkonformer Einsatz von Microsoft 365 nach aktueller Bewertung des HBDI möglich – vorausgesetzt, die Verantwortlichen setzen die Handlungsempfehlungen konsequent um und erfüllen ihre allgemeinen Pflichten nach der DSGVO.

Quelle

https://datenschutz.hessen.de/presse/hbdi-microsoft-365-kann-datenschutzkonform-genutzt-werden

„Die Ergebnisse der Untersuchung sind im Bericht des HBDI zum Einsatz von M365 vom 15. November 2025 (137 Seiten) nachzulesen.“

 

Checkliste: Datenschutzkonformer Einsatz von Microsoft 365

1. Technische Maßnahmen

  • ☐ Verschlüsselung aller Datenübertragungen (Transportverschlüsselung, z. B. TLS)
  • ☐ Verschlüsselung ruhender Daten („at rest“) in Microsoft 365-Diensten
  • ☐ Pseudonymisierung und Aggregation von Diagnosedaten und Logdaten
  • ☐ Einsatz rollenbasierter Zugriffskontrollen (RBAC) und das Prinzip der minimalen Berechtigung
  • ☐ Regelmäßige Überprüfung und Auditierung der Sicherheitsmaßnahmen (z. B. ISO 27001, ISO 27018, SOC-Berichte)
  • ☐ Nutzung von Audit-Logs zur Nachvollziehbarkeit von Zugriffen und Löschvorgängen
  • ☐ Implementierung und regelmäßige Überprüfung von Löschkonzepten für alle Datenarten (Inhaltsdaten, Logdaten, Diagnosedaten, Professional Services-Daten)
  • ☐ Nutzung von Tools wie eDiscovery und Purview Compliance-Portal zur Identifikation und Löschung personenbezogener Daten
  • ☐ Konfiguration von Löschfristen und automatisierten Löschprozessen
  • ☐ Sicherstellung der Datenminimierung bei Drittlandübermittlungen (z. B. Nutzung der EU Data Boundary, Lock Box-Prozesse)
  • ☐ Regelmäßige Aktualisierung und Überprüfung der eingesetzten Unterauftragsverarbeiter (Service Trust Portal)
  • ☐ Überprüfung und Nutzung von Microsoft-Zertifizierungen und Auditberichten (z. B. im Service Trust Portal)
  • ☐ Sicherstellung der Verfügbarkeit und Wiederherstellbarkeit der Daten (Backup-Konzept, Versionierung)
  • ☐ Regelmäßige Überprüfung und Erprobung der technischen und organisatorischen Maßnahmen (z. B. Penetrationstests, Notfallübungen)

2. Organisatorische Maßnahmen

  • ☐ Abschluss und regelmäßige Prüfung des DPA (bzw. DPA-öS für öffentliche Stellen)
  • ☐ Nutzung und Pflege eines Verzeichnisses von Verarbeitungstätigkeiten (z. B. mit Hilfe des M365-Kits)
  • ☐ Dokumentation und Umsetzung eines Löschkonzepts für alle Datenarten inkl. manueller und automatisierter Löschprozesse
  • ☐ Sensibilisierung und Schulung der Mitarbeitenden zu Datenschutz und Umgang mit Inhaltsdaten
  • ☐ Einbindung des Datenschutzbeauftragten und der Personalvertretung bei Einführung oder Änderung von IT-Produkten
  • ☐ Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen (DSFA) für relevante Verarbeitungsvorgänge
  • ☐ Regelmäßige Überprüfung der eingesetzten Unterauftragsverarbeiter und Nutzung der Informationskanäle von Microsoft (z. B. Service Trust Portal)
  • ☐ Überwachung und Bewertung rechtlicher Entwicklungen zu Drittlandübermittlungen und Anpassung der Prozesse bei Änderungen
  • ☐ Sicherstellung eines definierten Prüfprozesses vor Einführung neuer Produkte oder wesentlichen Änderungen
  • ☐ Kontinuierliche Überwachung von Änderungen an Diensten und Bewertung der Auswirkungen auf Datenschutz und Informationssicherheit
  • ☐ Dokumentation und Umsetzung eines Prozesses zur Wahrnehmung von Betroffenenrechten (z. B. Auskunft, Löschung, Berichtigung)
  • ☐ Regelmäßige Sichtung und Bewertung von Microsoft-Berichten zu behördlichen Datenanfragen („Government Requests for Customer Data Report“)
  • ☐ Sicherstellung der Einbindung aller relevanten Stakeholder (Datenschutzbeauftragter, IT-Sicherheit, Personalvertretung)
  • ☐ Dokumentation und Umsetzung eines Prozesses zur Meldung von Datenschutzvorfällen (Art. 33, 34 DS-GVO)
  • ☐ Regelmäßige Überprüfung und Anpassung der technischen und organisatorischen Maßnahmen an den Stand der Technik

3. Ergänzende Hinweise

  • ☐ Nutzung der Interpretationshilfe zum DPA und des M365-Kits zur Dokumentation und Nachweisführung
  • ☐ Dokumentation der eingesetzten Produkte und Funktionen im Verzeichnis der Verarbeitungstätigkeiten
  • ☐ Prüfung und Dokumentation alternativer Produkte zur Sicherstellung der digitalen Souveränität
  • ☐ Regelmäßige Überprüfung der Wirksamkeit aller Maßnahmen (z. B. durch interne/externe Audits)