DE EN

Rechtskonformer Einsatz von Microsoft 365? – aktueller Stand und Ausblick

12/08/2025

Rechtskonformer Einsatz von Microsoft 365? – aktueller Stand und Ausblick

Microsoft 365 ist aus der modernen Arbeitswelt kaum mehr wegzudenken. Gleichzeitig stellt der datenschutzkonforme Einsatz der Cloud-Dienste in Europa seit Jahren eine Herausforderung dar. Immer wieder äußern Datenschutzbehörden Kritik – insbesondere im Hinblick auf die (möglichen) Datenübermittlungen in USA. Wie ist die aktuelle Lage, und was bedeutet das für Unternehmen?

Ausgangslage

Die grundlegende Herausforderung beim Einsatz von Microsoft 365 liegt in der Übermittlung personenbezogener Daten in sogenannte Drittländer außerhalb des Europäischen Wirtschaftsraums (EWR). Ein besonderes Augenmerk liegt auf den USA, wo mit dem CLOUD Act und dem Patriot Act Gesetze bestehen, die US-Behörden unter bestimmten Umständen Zugriff auf gespeicherte Daten ermöglichen – selbst, wenn diese physisch in der EU liegen.

Der ursprünglich bestehende Angemessenheitsbeschluss (Privacy Shield) wurde mit dem Urteil Schrems II des Europäischen Gerichtshofs im Juli 2020 für ungültig erklärt. Zwar wurde im Juli 2023 ein neues Datenschutzabkommen (EU-U.S. Data Privacy Framework) beschlossen, dieses wird jedoch von Kritikern als „schwebend unwirksam“ bezeichnet. Eine erneute gerichtliche Prüfung gilt als wahrscheinlich.

Die offizielle Version von Microsoft

Microsoft hat auf die datenschutzrechtlichen Bedenken reagiert und verschiedene Maßnahmen implementiert:

  • Zertifizierung unter dem EU-U.S. Data Privacy Framework: Microsoft ist offiziell als konformer Anbieter gelistet. Das Framework bildet die Grundlage für eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA – sofern dessen Rechtsbestand bestätigt bleibt.
  • Microsoft EU Data Boundary: Im Frühjahr verkündete Microsoft, dass die Data Boundary, die stufenweise eingeführt wurde, nun final umgesetzt ist. Daten europäischer Kunden (wie E-Mails, Dateien oder Chatverläufe) werden nun ausschließlich innerhalb der EU verarbeitet und gespeichert.
  • Standardvertragsklauseln (SCCs): Für Datenübermittlungen außerhalb des EWR setzt Microsoft die von der EU-Kommission vorgegebenen Standardvertragsklauseln ein, ergänzt um zusätzliche technische und organisatorische Maßnahmen.

Vorbehalte der Datenschutzpraxis

Trotz der genannten Maßnahmen bleiben datenschutzrechtliche Bedenken bestehen:

  • Die EU Data Boundary deckt nicht alle Datenkategorien ab – insbesondere nicht die sogenannten Diagnosedaten, die zur Produktverbesserung und Telemetrie erfasst werden.
  • Die Transparenz darüber, welche Daten wofür genau verarbeitet werden, ist teilweise unzureichend. Viele der eingesetzten Schutzmaßnahmen beruhen auf der Mitwirkung und Konfiguration durch die Kunden selbst – was in der Praxis zu Unsicherheiten führen kann.
  • Die Zugriffsrechte durch US-Behörden bleiben bestehen: CLOUD Act und Patriot Act ermöglichen es US-Behörden, unter bestimmten Bedingungen auch auf Daten zuzugreifen, die physisch in der EU liegen. Bei einer Anhörung vor dem französischen Senat im Juni 2025 räumte der Chief Legal Officer von Microsoft Frankreich ein, dass nicht ausgeschlossen werden kann, dass EU-Daten an US-Behörden übermittelt werden – selbst ohne Zustimmung von EU-Behörden.

Ein Hoffnungsschimmer: Einschätzung der Aufsichtsbehörden

Ein bemerkenswerter Fortschritt kam hingegen im Juli 2025 von europäischer Seite:

Der Europäische Datenschutzbeauftragte (EDSB) hatte seit Mai 2021 die Nutzung von Microsoft 365 durch die EU-Kommission aufgrund von Datenschutzbedenken untersucht. Am 11. Juli 2025 wurden die entsprechenden Durchsetzungsverfahren eingestellt. Die Kommission habe laut EDSB inzwischen Maßnahmen umgesetzt, die den Datenschutzanforderungen genügen – insbesondere hinsichtlich Zweckbindung und Datenübermittlungen in Drittländer.

Für Unternehmen bietet diese Einschätzung eine gewisse Orientierung: Der datenschutzkonforme Einsatz von Microsoft 365 ist möglich – vorausgesetzt, es werden geeignete Schutzmaßnahmen getroffen. Es handelt sich jedoch nicht um eine pauschale Genehmigung; individuelle Prüfungen und Anpassungen bleiben erforderlich.

Fazit

Microsoft 365 kann unter bestimmten Bedingungen datenschutzkonform betrieben werden. Dafür braucht es jedoch vertragliche, technische und organisatorische Maßnahmen – sowie ein waches Auge auf künftige Entwicklungen in Gesetzgebung und Rechtsprechung. Unternehmen sollten daher regelmäßig überprüfen, ob ihr M365-Einsatz noch den aktuellen Anforderungen entspricht. Darüber hinaus ist der Einsatz von M365 auch unter dem Aspekt der digitalen Souveränität stets kritisch zu hinterfragen.  

Wir unterstützen Sie gerne mit einer datenschutzrechtlichen Beratung und Prüfung zum rechtskonformen Einsatz von Microsoft 365 in Ihrem Unternehmen. Reduzieren Sie Datenschutzrisiken, erfüllen Sie regulatorische Anforderungen und demonstrieren Sie Verantwortungsbewusstsein gegenüber Belegschaft, Geschäftspartnern sowie Datenschutzaufsicht.

Verfasserin: Anne Pinke