Microsoft-Datenschutz- und Sicherheitsbedingungen für Produkte und Dienste Geschäftsbetrieb (März 2026)

Microsoft erläutert in einem eigenen Whitepaper, welche personenbezogenen Daten im Rahmen sogenannter Business Operations verarbeitet werden – also für Abrechnung, Vergütung, internes Reporting und gesetzliche Finanzberichterstattung. Dabei betont Microsoft klare Selbstbeschränkungen: Es findet keine inhaltliche Analyse von Kundendaten, kein Profiling und keine Nutzung für Werbung statt. Stattdessen basiert die Verarbeitung auf aggregierten und pseudonymisierten Daten, eingebettet in vertragliche Zusagen des Data Protection Addendum (DPA) und umfangreiche technische sowie organisatorische Schutzmaßnahmen.

Mit dem Whitepaper „Microsoft data protection and security terms for products and services: Business operations“ (Stand März 2023) erläutert Microsoft transparent, wie und warum Daten im Rahmen sogenannter Business Operations verarbeitet werden. Ziel des Dokuments ist es, Kunden – insbesondere aus regulierten Branchen und dem öffentlichen Sektor – eine fundierte Grundlage für Datenschutz‑ und Compliance‑Bewertungen zu geben, insbesondere im Zusammenspiel mit dem Microsoft Products and Services Data Protection Addendum (DPA).

Zentral ist dabei die Abgrenzung: Microsoft unterscheidet klar zwischen Verarbeitung zur Leistungserbringung (als Auftragsverarbeiter) und begrenzter Verarbeitung für eigene Geschäftszwecke, die unvermeidbar mit dem Betrieb von Cloud‑Diensten verbunden sind. Für letztere gelten besonders strenge Selbstbeschränkungen.

Vier klar definierte Business Operations

Microsoft beschränkt Business Operations vertraglich auf vier genau benannte Zwecke:

1. Abrechnung und Account‑Management
   Nutzung aggregierter Nutzungsdaten, um verbrauchsbasierte Abrechnungen zu ermöglichen (z. B. Anzahl Nutzer, Speicherverbrauch), ohne Einsicht in Inhalte oder individuelles Nutzerverhalten.
2. Vergütung (Compensation)
   Berechnung von Mitarbeiter‑Provisionen und Partner‑Incentives anhand aggregierter Nutzungskennzahlen, um sicherzustellen, dass Kunden ihre Lizenzen tatsächlich nutzen und Mehrwert erzielen.
3. Internes Reporting und Business‑Modelling
   Auswertung zusammengefasster, nicht‑personenbezogener Statistiken für Kapazitätsplanung, Produktstrategie, Roadmaps und Investitionsentscheidungen (z. B. Einführung oder Anpassung von Features).
4. Finanzberichterstattung
   Aggregierte Nutzungs‑ und Umsatzzahlen zur Erfüllung gesetzlicher Berichtspflichten (z. B. gegenüber Aufsichtsbehörden wie der SEC).

Für alle vier Bereiche gilt: Es werden ausschließlich aggregierte oder statistische Daten genutzt, die keine einzelnen Personen identifizieren oder herausgreifen.

Welche Daten werden verarbeitet – und welche nicht?

Microsoft unterscheidet drei Datenkategorien:

• Customer Data
  Alle Daten, die Kunden selbst über Online‑Dienste bereitstellen (z. B. Inhalte in Exchange, SharePoint, Teams). Diese werden nicht für Business Operations analysiert oder inhaltlich ausgewertet.
• System‑Generated Logs (Service‑Generated Data)
  Technische Protokolle, die bei der Nutzung von Cloud‑Diensten entstehen (z. B. für Sicherheit, Stabilität, Abrechnung). Diese Logs enthalten notwendigerweise personenbezogene Bezüge, werden aber standardmäßig pseudonymisiert.
• Diagnostic Data
  Technische Diagnosedaten zur Sicherstellung von Betrieb, Sicherheit und Aktualität der Dienste.

Entscheidend: Microsoft greift für Business Operations niemals auf Inhaltsdaten zu. Die Nutzung beschränkt sich auf Zählwerte, Metadaten und statistische Auswertungen. Dies findet sich auch in der DPA (aka.ms/DPA).

Privacy by Design: Pseudonymisierung und Zugriffsbeschränkungen

Ein zentraler Bestandteil des Konzepts ist Privacy by Design und Privacy by Default:

• Personenbeziehbare Daten in Logs werden pseudonymisiert (z. B. durch Hashes oder Tokens).
• Schlüssel zur Re‑Identifikation werden streng getrennt gespeichert.
• Es gibt keinen dauerhaften Zugriff („zero standing access“) für Microsoft‑Mitarbeitende auf identifizierende Daten.
• Zugriffe erfolgen nur rollenbasiert, zeitlich begrenzt und protokolliert.
• Datenstandort‑Vorgaben (z. B. EU Data Boundary) werden berücksichtigt.

Damit soll sichergestellt werden, dass Microsoft selbst kein individuelles Nutzerprofil erstellen kann – weder technisch noch organisatorisch.

Keine Werbung, kein Tracking, kein Profiling

Explizit schließt Microsoft aus:

• Nutzung von Customer Data oder Business‑Operations‑Daten für Werbung
• User Profiling
• sonstige kommerzielle Zwecke außerhalb der vier Business Operations

Diese Selbstbeschränkung ist Bestandteil des DPA und damit vertraglich bindend.

Rechtliche Einordnung unter DSGVO

Microsoft adressiert offen die datenschutzrechtliche Diskussion, ob es sich bei Business Operations um eine Verarbeitung als Auftragsverarbeiter oder als Verantwortlicher handelt. Je nach Auslegung und Kontext nennt Microsoft folgende Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – insbesondere für private Unternehmen
• Art. 6 Abs. 1 lit. e DSGVO (öffentliches Interesse) – für öffentliche Stellen
• ggf. Art. 6 Abs. 1 lit. c DSGVO, wenn gesetzliche Berichtspflichten erfüllt werden

Das Dokument legt detailliert dar, warum diese Verarbeitung erforderlich, verhältnismäßig und durch umfangreiche Schutzmaßnahmen abgesichert ist.

 

Fazit

Das Whitepaper macht deutlich:
Microsoft verarbeitet Daten für Business Operations nicht „nebenbei“ oder unkontrolliert, sondern innerhalb eines klar definierten, vertraglich begrenzten und technisch abgesicherten Rahmens. Für Kunden bedeutet das:

• klare Abgrenzung zwischen Auftragsverarbeitung und Microsoft‑eigenen Pflichten,
• belastbare Argumentationsgrundlagen für Datenschutz‑Folgenabschätzungen,
• und mehr Transparenz für Gespräche mit Datenschutz, Betriebsrat und Aufsicht.

Gerade im Kontext von Microsoft 365, Azure und Copilot ist dieses Dokument ein wichtiger Baustein, um faktisch zu verstehen, was Microsoft mit Daten tun muss – und was eben nicht.