Die Software Microsoft 365 (M365) kann in Hessen datenschutzkonform genutzt werden. Das geht aus dem Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zum Einsatz von Microsoft 365 hervor, den dieser am 15. November 2025 veröffentlicht hat. Der HBDI Prof. Dr. Alexander Roßnagel erläutert diese Feststellung: „Seit Januar 2025 haben wir mit Microsoft in vielen Diskussionsrunden über den Datenschutz bei Microsoft 365 verhandelt. Wir haben im Interesse der Nutzer konstruktiv untersucht, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 möglich ist. Das positive Ergebnis bietet nun den Unternehmen und Behörden in Hessen grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten.“
Die Ergebnisse der Untersuchung sind im Bericht des HBDI zum Einsatz von M365Öffnet sich in einem neuen Fenster vom 15. November 2025 (137 Seiten) nachzulesen.
Microsoft (MS) bietet M365 als Cloud-Dienst an. Datenschutzrechtlich gesehen ist daher MS Auftragsverarbeiter und der nutzende Kunde Verantwortlicher. Den Datenschutz in M365 regelt MS in einem „Datenschutznachtrag“ (Data Protection Addendum – DPA). Im November 2022 stellte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) fest, dass Verantwortliche den Nachweis, M365 datenschutzrechtskonform zu betreiben, auf der Grundlage des DPA vom 15. September 2022 nicht führen können. Als Grund nannte die DSK, dass das DPA in sieben Kritikpunkten den Vorgaben des Art. 28 DS-GVO für Auftragsverarbeiter nicht entspreche. Diese sieben Kritikpunkte waren der Maßstab für die Verhandlungen zwischen HBDI und MS. Der HBDI hat keine technische Untersuchung einzelner M365-Dienste durchgeführt.
In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben. Zum einen haben sich rechtliche Vorgaben verändert wie z.B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks. Zum anderen hat MS seine Datenverarbeitung an europäische Anforderungen angepasst wie z.B. durch die EU-Datengrenze, durch die MS fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet. Drittens hat MS Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert. Viertens konnte der HBDI erreichen, dass MS das DPA (für öffentliche Stellen) fortentwickelt hat. Schließlich stellt MS zusätzliche Informationen bereit wie z.B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt. Das positive Ergebnis beruht auch auf der Erwartung, dass MS und die Verantwortlichen zusammenwirken, damit Verantwortliche M365 datenschutzrechtskonform nutzen können. Daher endet der Bericht mit Handlungsempfehlungen für die verantwortlichen öffentlichen und nicht-öffentlichen Stellen in Hessen. Auf ihrer Grundlage können verantwortliche Stellen einzelne Bestandteile von M365 einer vertiefenden, datenschutzrechtlichen Betrachtung für den konkreten Einsatz unterziehen und im Erfolgsfall datenschutzkonform einsetzen.
Im Folgenden werden die sieben Kritikpunkte der DSK am DPA vom 15. September 2022 genannt und die Gründe für eine neue Bewertung durch den HBDI erläutert:
Erstens fehlten klare Angaben zu Art und Zweck der Datenverarbeitung sowie zur Art der personenbezogenen Daten und betroffener Kategorien. – MS hat unterschiedliche Materialien erstellt, um besser über die Datenverarbeitung zu informieren, und für öffentliche Stellen den DPA überarbeitet, so dass Verantwortliche ausreichende Informationen über die Datenverarbeitung durch MS erlangen und diese in ihr Verarbeitungsverzeichnis einbinden können.
Zweitens lasse sich MS unzureichend konkretisierte Rechte für Datenverarbeitungen für eigene Geschäftstätigkeiten einräumen. – MS hat klargestellt, dass sie nur Log- und Diagnose-Daten, nicht aber Inhaltsdaten, in anonymisierter und aggregierter Form für Zwecke des Auftraggebers (des verantwortlichen Kunden) verarbeite. Diese Datenverarbeitung unterfällt entweder nicht der DS-GVO oder ist datenschutzrechtlich vertretbar.
Drittens behalte sich MS im DPA im Ergebnis umfangreiche Befugnisse vor, Daten ohne Weisung des Auftraggebers zu verarbeiten und Daten – auch gegenüber Drittstaaten – offenzulegen. – MS hat sich im DPA verpflichtet, personenbezogene Daten nur auf dokumentierte Anweisung des Kunden zu verarbeiten und hinsichtlich Offenlegungen sich der DS-GVO zu unterwerfen.
Viertens verpflichte sich MS nicht, die von der DS-GVO geforderten technischen und organisatorischen Sicherheitsmaßnahmen einzuhalten. – MS hat sich im DPA verpflichtet, die Vorgaben der DS-GVO ohne Abstriche einzuhalten.
Fünftens genügte die Ausgestaltung der Rückgabe- und Löschverpflichtung im DPA nicht den gesetzlichen Anforderungen. – MS bietet einen Löschprozess an und ermöglicht allen Kunden, Daten auch selbst zu löschen oder löschen zu lassen, wenn diese schneller gelöscht werden müssen.
Sechstens informiere MS nach dem DPA nicht über jede beabsichtigte Änderung in Bezug auf Unterauftragnehmer. – MS hält dagegen sechs Monate bzw. einen Monat im Voraus in seinem Service Trust Portal detaillierte Informationen über jeden Unterauftragnehmer bereit und informiert darüber alle Kunden, sodass diese die Informationen problemlos zur Kenntnis nehmen können.
Siebtens übermittle MS für den Betrieb von M365 personenbezogene Daten unzulässiger Weise in die USA und in andere Staaten. – Inzwischen verarbeitet MS die Daten fast vollständig im Europäischen Wirtschaftsraum. Die verbleibenden Datenübermittlungen in die USA und andere Staaten sind durch Angemessenheitsbeschlüsse der Europäischen Kommission und Standardvertragsklauseln gedeckt.