Microsoft Teams

Microsoft 365: In Hessen datenschutzkonform – unter klaren Bedingungen

/in /von

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat grünes Licht für Microsoft 365 gegeben – zumindest unter bestimmten Voraussetzungen. Am 14. November 2025 erklärte die Behörde, der Einsatz von M365 könne in Hessen datenschutzkonform erfolgen. Grundlage ist ein 137-seitiger Bericht, den der HBDI am 15. November 2025 veröffentlicht hat.

Für Unternehmen und öffentliche Stellen klingt es nach Entwarnung. Tatsächlich handelt es sich aber nicht um einen Freibrief. Die Kernbotschaft lautet: Ein datenschutzkonformer Betrieb von Microsoft 365 ist möglich – wenn bestimmte rechtliche und organisatorische Voraussetzungen erfüllt werden.

Die wichtigsten Punkte im Überblick

  • Der HBDI hat die rechtlichen Rahmenbedingungen für M365 neu bewertet, nicht die technische Sicherheit der Produkte
  • Grundlage ist ein überarbeitetes Vertragswerk (Data Protection Addendum, Stand September 2025) und zusätzliche Dokumentationshilfen
  • Der Bericht gilt für Stellen mit Sitz in Hessen und setzt ein spezifisches Vertrags-Setup voraus
  • Verantwortliche müssen umfangreiche Handlungsempfehlungen umsetzen – der Prüfaufwand bleibt hoch
  • Die DSK-Festlegung von 2022, die M365 kritisch bewertete, ist nicht formell aufgehoben

Ausgangslage: DSK-Festlegung 2022 und neue Verhandlungsrunde

Die Datenschutzkonferenz (DSK) hatte im November 2022 festgestellt, dass Verantwortliche den Nachweis eines datenschutzkonformen Betriebs von Microsoft 365 nicht führen können. Maßstab war damals das Data Protection Addendum (DPA) vom 15. September 2022. Die DSK benannte sieben konkrete Kritikpunkte, die vor allem die Auftragsverarbeitung nach Art. 28 DSGVO betrafen. Im Zentrum standen Fragen zur Weisungsbindung, zu Microsofts eigenen Geschäftstätigkeiten, zu Drittlandtransfers und zur Kontrolle von Unterauftragsverarbeitern.

Der HBDI hat diese sieben Punkte jetzt erneut geprüft. Seit Anfang 2025 führte er mehrere Gesprächsrunden mit Microsoft über die Weiterentwicklung des DPA und ein spezielles DPA-öS für öffentliche Stellen in Hessen. Parallel entstanden zusätzliche Unterlagen: eine Interpretationshilfe zum DPA, ein M365-Kit mit Beispielen für Dokumentation und Datenschutzerklärung sowie eine vom HBDI entwickelte Taxonomie der Datenarten.

Gleichzeitig hat sich das rechtliche Umfeld verändert. Der Bericht berücksichtigt insbesondere den Angemessenheitsbeschluss zum EU-US Data Privacy Framework und den Ausbau der von Microsoft beworbenen EU-Datengrenze, innerhalb derer personenbezogene Daten überwiegend im Europäischen Wirtschaftsraum verarbeitet werden.

Worauf sich der HBDI-Bericht stützt – und was er nicht leistet

Wichtig für die Praxis ist diese Abgrenzung: Der HBDI bewertet nicht das gesamte Produkt M365 technisch, sondern vor allem das Vertragswerk. Im Fokus stehen das DPA (Stand 1. September 2025), das für hessische öffentliche Stellen überarbeitete DPA-öS sowie die dazugehörigen Dokumentationen.

Der Bericht stellt ausdrücklich klar:

Im Fokus steht eine normative, also rechtliche Bewertung des Vertragswerks am Maßstab der DSGVO, insbesondere von Art. 28. Eine technische Prüfung einzelner M365-Komponenten findet nicht statt. Der HBDI stützt sich auf von Microsoft bereitgestellte Informationen über die Datenverarbeitung. Die Empfehlungen richten sich an öffentliche und nicht-öffentliche Stellen mit Sitz in Hessen, die M365 einsetzen oder einsetzen wollen.

Damit ist klar: Der Bericht ist kein Gütesiegel für Microsoft 365 schlechthin. Er bewertet vielmehr ein spezifisches Vertrags- und Dokumentationspaket für Stellen mit Sitz in Hessen.

Microsofts Datenmodell: Drei Kategorien und die Frage der Geschäftstätigkeiten

Eine Besonderheit des Berichts ist, dass er das von Microsoft verwendete Datenmodell übernimmt und systematisiert. Microsoft ordnet alle Daten aus seinen Onlinediensten drei Kategorien zu: Kundendaten, Professional-Services-Daten und von Microsoft generierte Diagnose- und Log-Daten.

Gerade die letztgenannte Kategorie ist für die Bewertung der sogenannten Geschäftstätigkeiten Microsofts entscheidend. Nach der Darstellung im Bericht nutzt Microsoft für eigene Geschäftstätigkeiten nur solche Diagnose- und Log-Daten, die pseudonymisiert und anschließend aggregiert werden. Inhaltsdaten der Kunden sollen in diesen Prozess nicht einfließen. Die Aggregation soll im Ergebnis zu anonymen Daten führen.

Der HBDI prüft, ob und unter welchen Voraussetzungen diese Verarbeitungsvorgänge noch dem Auftragsverhältnis zugerechnet werden können oder einer eigenen Verantwortlichkeit Microsofts unterliegen. Dabei spielt eine Rolle, welche Rechtsgrundlagen jeweils in Betracht kommen – insbesondere für öffentliche Stellen, die sich nicht auf Art. 6 Abs. 1 lit. f DSGVO stützen können.

Die sieben Kritikpunkte der DSK – und wie der HBDI sie bewertet

In der Pressemitteilung fasst der HBDI die Veränderung gegenüber 2022 zusammenfassend so zusammen: Fünf zentrale Rahmenbedingungen haben sich geändert. Das DPA wurde fortentwickelt, es gibt zusätzliche Erläuterungen und Hilfsmittel für Kunden, die rechtliche Lage zum Datentransfer in die USA hat sich durch das Data Privacy Framework verändert, Microsoft hat sein Datenschutzkonzept erläutert, und für öffentliche Stellen in Hessen wurde ein spezifisches DPA-öS vereinbart.

Im Bericht selbst werden die sieben Kritikpunkte der DSK ausführlich aufgegriffen:

  • Bestimmung von Art und Zweck der Verarbeitung: Der HBDI stützt sich auf die aktualisierten Regelungen im DPA, die Interpretationshilfe, das M365-Kit sowie die Taxonomie. Für öffentliche Stellen wurde der Anhang B des DPA-öS angepasst, um Sammelkategorien wie „Inhaltsdaten“ und Betroffenengruppen besser abbilden zu können. Damit sollen Verantwortliche in die Lage versetzt werden, ihre Verarbeitungen hinreichend konkret zu beschreiben und in das Verzeichnis der Verarbeitungstätigkeiten einzubetten.
  • Eigene Geschäftstätigkeiten Microsofts: Der HBDI analysiert die beschriebenen Verarbeitungsstufen (Erhebung, Pseudonymisierung, Aggregation, Nutzung aggregierter Daten) und ordnet sie rechtlich ein. Entscheidend ist dabei, dass laut Bericht nur von Microsoft generierte Diagnose- und Log-Daten genutzt werden und eine Anonymisierung angestrebt wird. Der HBDI entwickelt hierfür ein rechtliches Modell, mit dem Verantwortliche – getrennt nach öffentlichem und privatem Sektor – die Zulässigkeit der Überführung dieser Daten in die Verantwortlichkeit Microsofts prüfen können.
  • Weisungsbindung und Offenlegung: Der Bericht stützt sich auf neue Vertragsklauseln, nach denen Microsoft personenbezogene Daten grundsätzlich nur auf dokumentierte Weisung verarbeitet. Zusätzliche Schutzmaßnahmen bei Offenlegungsanordnungen sind vorgesehen. Microsoft sieht sich im Geltungsbereich der DSGVO an unions- und mitgliedstaatliches Recht gebunden.
  • Zugleich weist der HBDI auf einen wichtigen Vorbehalt hin: Microsoft selbst räumt ein, dass eine Offenlegung auf Anordnung US-amerikanischer Behörden ohne Zustimmung des Kunden für die Zukunft nicht vollständig ausgeschlossen werden kann. Verantwortliche sollen daher genau analysieren, welche Datenkategorien in M365 verarbeitet werden und wie sich Risiken durch technische und organisatorische Maßnahmen mindern lassen. Der Bericht empfiehlt außerdem, den öffentlich zugänglichen Government Requests for Customer Data Report von Microsoft regelmäßig auszuwerten.
  • Technische und organisatorische Maßnahmen: Der HBDI hebt hervor, dass Microsoft sich im DPA ausdrücklich verpflichtet, die Anforderungen des Art. 32 DSGVO einzuhalten und kein Schutzniveau unterhalb des „Standes der Technik“ zu etablieren. Verantwortliche sollen sich aber nicht auf diese Zusage verlassen, sondern die von Microsoft bereitgestellten Sicherheitsdokumente, Zertifizierungen und Auditberichte aktiv auswerten und mit eigenen Maßnahmen kombinieren.
  • Löschung und Rückgabe: Der Bericht verweist auf von Microsoft bereitgestellte Löschfunktionen, auch nach Vertragsende. Die Verantwortung für ein konsistentes Löschkonzept bleibt dennoch bei den Verantwortlichen. Dieses muss sämtliche Datenkategorien einschließlich Audit-Logs und von Microsoft generierter Diagnose- und Log-Daten umfassen und sowohl Standardprozesse als auch anlassbezogene Löschungen abbilden.
  • Unterauftragsverarbeiter und Drittlandübermittlungen: Der HBDI würdigt insbesondere die erweiterten Informationspflichten Microsofts, die Vorankündigung von Änderungen an Unterauftragsverarbeitern sowie den Anspruch, personenbezogene Daten weit überwiegend innerhalb der EU-Datengrenze zu verarbeiten. Gleichwohl sollen Verantwortliche eigene Prozesse etablieren, um Änderungen bei Unterauftragsverarbeitern und Datenflüssen in Drittländer zu überwachen und gegebenenfalls Verträge, Transferinstrumente und Datenschutz-Folgenabschätzungen anzupassen.

Handlungsempfehlungen: Was Verantwortliche jetzt konkret tun müssen

Der Bericht endet mit einem ausführlichen Kapitel zu Handlungsempfehlungen für Verantwortliche in Hessen. Der Tenor lautet: Ein datenschutzkonformer Einsatz von M365 ist möglich, sofern diese Empfehlungen umgesetzt werden und die allgemeinen Pflichten nach der DSGVO eingehalten werden.

Zentral sind dabei zwei Linien:

Bedarfsgerechte Nutzung statt Vollausstattung: M365 soll nicht pauschal als Komplettpaket eingeführt werden, sondern produkt- und zweckbezogen. Der Bericht empfiehlt, zunächst die konkret benötigten Dienste zu identifizieren, nur diese zu lizenzieren und optionale Funktionen erst nach eigener Prüfung und Dokumentation zu aktivieren.

Saubere Dokumentation und Prozesse: M365 ist im Verzeichnis der Verarbeitungstätigkeiten nicht als „Sammelverarbeitung“, sondern als technisches Hilfsmittel abzubilden, das in mehrere Verarbeitungsvorgänge eingebettet ist. Für diese Verarbeitungsvorgänge sollen Verantwortliche Art, Zweck, Kategorien betroffener Personen und Datenarten konkret beschreiben. Hierfür stehen DPA, DPA-öS, Interpretationshilfe, M365-Kit und die Taxonomie zur Verfügung.

Hinzu kommen Anforderungen an Konfiguration und Betrieb:

  • Diagnose- und Log-Daten sollen auf das erforderliche Maß begrenzt und soweit möglich pseudonymisiert werden
  • Interne Regelungen sollen klären, wie mit Supportfällen umzugehen ist, in denen Inhaltsdaten betroffen sein können
  • Vor Einführung neuer Dienste oder relevanter Funktionsänderungen soll ein definierter Prüfprozess durchlaufen werden, in den Datenschutz, IT-Sicherheit und gegebenenfalls Personalvertretungen eingebunden sind
  • Änderungen an Diensten und Produktupdates sollen über einen kontinuierlichen Prozess überwacht und auf Auswirkungen für Datenschutz und Compliance bewertet werden

Der HBDI verlangt ausdrücklich, dass Verantwortliche eigene Konzepte für Löschung, Drittlandtransfers, Umgang mit Behördenanfragen sowie Überwachung von Unterauftragsverarbeitern entwickeln und diese Konzepte regelmäßig anpassen. Wo M365 besonders sensible Daten betrifft, nahe an kritischen Infrastrukturen arbeitet oder in stark regulierten Bereichen eingesetzt wird, liegt es nahe, ergänzend technische Audits oder Penetrationstests der konkreten M365-Umgebung vorzunehmen. Der HBDI-Bericht ersetzt solche Prüfungen nicht.

Grenzen des Berichts: Was er nicht leistet

Der HBDI betont selbst, dass sich seine Bewertung auf Stellen mit Sitz in Hessen bezieht und auf einem spezifisch fortentwickelten Vertrags- und Dokumentationsrahmen beruht. Die DSK-Festlegung von 2022 ist bislang nicht formell aufgehoben. Sie bezog sich allerdings auf das DPA in der damaligen Fassung und eine andere Ausgangslage beim internationalen Datentransfer.

Zudem hat der HBDI keine technische Prüfung einzelner M365-Dienste vorgenommen. Fragen der digitalen Souveränität oder strategische Vorgaben, möglichst auf europäische Alternativen zu setzen, bleiben bewusst ausgespart beziehungsweise werden nur am Rande adressiert. Der Bericht weist darauf hin, dass alternative, datenschutzfreundliche Lösungen im Sinne von Resilienz und Souveränität mitzudenken sind.

Fazit: Rückenwind für M365 – aber kein Selbstläufer

Die zentrale Botschaft des HBDI lautet: Microsoft 365 kann in Hessen datenschutzkonform eingesetzt werden – allerdings nur, wenn Verantwortliche die eigene Hausaufgabenliste abarbeiten. Der Bericht schafft ein belastbares rechtliches Gerüst, ersetzt aber weder die eigenständige rechtliche Bewertung im Einzelfall noch eine sorgfältige technische und organisatorische Umsetzung.

Für Organisationen, die M365 nutzen oder einführen wollen, bedeutet das: Der politische Wind hat sich gedreht, der Prüfaufwand nicht. Wer die Handlungsempfehlungen des HBDI ernst nimmt, gewinnt Rechts- und Handlungssicherheit. Wer sie ignoriert, kann sich auf den Satz „Microsoft 365 kann datenschutzkonform genutzt werden“ nicht berufen.

Sie haben Fragen zum datenschutzkonformen Einsatz von Microsoft 365 in Ihrem Unternehmen oder Ihrer Behörde? Als spezialisierte Kanzlei für IT-Recht und Datenschutzrecht begleiten wir Sie bei der rechtlichen Bewertung und Umsetzung. Sprechen Sie uns gerne an.