Lange galt es als unumstößliche Wahrheit, dass Microsoft 365 nicht datenschutzkonform genutzt werden könne – ungeachtet der weiten Verbreitung der Software. Diesem Verdikt tritt der HBDI Hessen nun in einem im November 2025 zu Microsoft 365 erstellten Bericht entgegen. Demnach kann Microsoft 365 zumindest in Hessen datenschutzkonform genutzt werden. Der Beitrag gibt einen Überblick darüber, wie der HBDI zu dieser Bewertung kam.
Der Inhalt im Überblick
Recap – Microsoft 365 und die DSK: no best friends
Nach eingehender Prüfung kam die DSK bereits im September 2020 zu dem Ergebnis, dass eine datenschutzkonforme Nutzung von Microsoft 365 nicht möglich sei. Im September 2022 bestätigte die DSK nach Neuprüfung dieses Ergebnis.
„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“
Unter anderem meinte die DSK folgende Punkte stünden einen datenschutzkonformen Betrieb entgegen:
- Der Auftragsverarbeitungsvertrag von Microsoft enthalte keine klaren Angaben zu Art und Zweck der Datenverarbeitung sowie zu den Kategorien personenbezogener Daten.
- Zudem räume sich Microsoft Rechte für Verarbeitungen zu eigenen Zwecken ein, deren Umfang nicht eindeutig genug bestimmt sei. Dies umfasse auch das Recht zur Offenlegung von Daten gegenüber Dritten wie z. B. US-Behörden.
- Microsoft gibt keine Gewähr für die Einhaltung angemessener technischer und organisatorischer Maßnahmen.
- Der Lösch- und Rückgabeprozess genüge nicht den Anforderungen von Art. 28 DSGVO.
- Der Informationsprozess bei Änderungen auf Subauftragsverarbeiterebene sei unzureichend.
- Microsoft übermittle – auf Basis der damaligen Rechtslage – ohne Legitimation Daten in die USA.
Microsoft war natürlich anderer Ansicht, was die DSK aber nicht von ihrer Bewertung abbrachte.
Die Neubewertung des HBDI Hessen zu Microsoft 365 – Heureka?
Im September 2024 wurde der HBDI Hessen damit betraut, mit Microsoft über die Nutzung von Microsoft 365 in der Landesverwaltung zu verhandeln. Im Rahmen der Verhandlungen prüfte der HBDI, ob die Kritik der DSK auf Basis der neueren Dokumente und Zusagen von Microsoft noch zutrifft. Das Ergebnis: Dies sei nicht der Fall. So meint der HBDI
„Zum einen haben sich rechtliche Vorgaben verändert wie z.B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks. Zum anderen hat MS seine Datenverarbeitung an europäische Anforderungen angepasst wie z.B. durch die EU-Datengrenze, durch die MS fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet. Drittens hat MS Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert. Viertens konnte der HBDI erreichen, dass MS das DPA (für öffentliche Stellen) fortentwickelt hat. Schließlich stellt MS zusätzliche Informationen bereit wie z.B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt.“
Angesichts dieser Veränderungen betrachtet der HBDI die Kritik der DSK als ausgeräumt, sofern die Verantwortlichen die im Bericht beschriebenen weiteren Maßnahmen in ihr Datenschutzmanagement integriere und für ihre Zwecke anpassen.
Der HBDI und Microsoft 365 … ein kleines gallisches Dorf?
Auch wenn sich die Bewertung des „Hessischen Asterix” lediglich auf die Einführung von Microsoft 365 bei staatlichen Trägern in Hessen bezieht, weckt sie doch die Hoffnung, dass die DSK eine Neubewertung von Microsoft 365 vornehmen wird. Wie der HBDI Hessen zu Recht anmerkt, hat sich in den letzten drei Jahren viel geändert, weshalb eine Neubewertung wünschenswert wäre. Der aktuelle Zustand ist wenig zufriedenstellend, denn es ist unklar, welche der im Jahr 2022 erhobenen Kritikpunkte heute noch zutreffen. Insofern stellt sich die Frage: Bleibt Hessen ein kleines gallisches Dorf…?
Das ist leider eine genauso vereinfachende und pauschale Aussage wie die vom HBDI selbst. Der datenschutzkonforme Einsatz von M365 hängt doch nicht nur alleine von der Vereinbarung mit Microsoft ab.
Hierfür sind z.B. eine Riskiobewertung, die Dokumentation der Verarbeitungstätigkeit oder ggf. eine DSFA notwendig… Darauf solllte auch verwiesen werden, andernfalls entsteht bei vielen Verantwortlichen der Eindruck für datenschutzkonformen Einsatz von M365 wäre nichts zu tun.
Danke für Ihren Kommentar. In dem Beitrag wurde allerdings nicht behauptet, dass die Datenschutzkonformität allein durch den Abschluss des Auftragsverarbeitungsvertrags mit Microsoft hergestellt werden könnte. Siehe die Einschränkung:
„Angesichts dieser Veränderungen betrachtet der HBDI die Kritik der DSK als ausgeräumt, sofern die Verantwortlichen die im Bericht beschriebenen weiteren Maßnahmen in ihr Datenschutzmanagement integriere und für ihre Zwecke anpassen.“
Die DKS hat sich in dem Beschluss 2022 auch weitgehend auf die Prüfung des Auftragsverarbeitungsvertrags beschränkt und nichts zu den außerhalb des Vertrags liegenden Faktoren gesagt.
Daher die inhärente Beschränkung des Artikels rein auf diese Faktoren.
Aus meiner Sicht wurde einerseits die Stellungnahme der DSK zu den Kriterien souveräner Clouds vom 11.05.2023 und andererseits die Aussage des Chefjustiziars von Microsoft France zu US-Zugriffen aus diesem Jahr nicht berücksichtigt. Beides sind m.E. wesentliche Punkte, die die DSGVO konformen Verwendung weiterhin ausschließen.
(Darüber hinaus gibt es vermutlich noch ein paar weitere Argumente…)