Inhaltsverzeichnis
1. Bericht der Datenschutzkonferenz (DSK) 2022
2. Datenverarbeitung und Auftragsverarbeitungsvertrag
3. Handreichung der Datenschutzbehörden & Lösung von Microsoft
4. Was jetzt zu tun ist
1. Bericht der Datenschutzkonferenz (DSK) 2022
Word, Excel und Power Point sind aus deutschen Unternehmen nicht mehr wegzudenken. Microsoft Office hatte laut einer Studie schon im Jahr 2020 einen Marktanteil von 85% sowohl in der Offline- als auch in der Online-Variante Microsoft 365 (https://de.statista.com/statistik/daten/studie/77226/umfrage/internetnutzer-verbreitung-von-office-software-in-deutschland/).
Ein Bericht der Datenschutzkonferenz (DSK) im November 2022 über M365 hatte daher eine große Tragweite. Die DSK stellte darin fest, dass zum Zeitpunkt der Prüfung nach ihrer Auffassung der „Datenschutznachtrag für Produkte und Services von Microsoft“ (Data Protection Addendum, DPA), den Microsoft seinen Kunden zur Verfügung stellt, zur Erfüllung ihrer rechtlichen Pflichten als datenschutzrechtlich Verantwortliche nicht geeignet ist. Insbesondere fehle es an der Transparenz hinsichtlich der Tatsache, wie Microsoft als Auftragsverarbeiter die personenbezogenen Daten der Verantwortlichen für eigene Zwecke verarbeitet, sowie an Belegen für die Rechtmäßigkeit dieser Verarbeitungen.
Der Bericht, der tagelang durch die Medien ging, brachte große Verunsicherung. Viele verstanden die Aussagen der DSK als ein Urteil dieses Gremiums der Datenschutzbehörden von Bund und Ländern, dass die Nutzung von M365 gegen den Datenschutz verstößt und Verantwortliche das Produkt nicht mehr verwenden dürfen. Dies wiederum hätte zur Folge, dass sich alle Unternehmen, Behörden, Vereine, usw. für Textverarbeitung, Tabellenkalkulation und E-Mail andere Programme suchen müssen als Word, Excel und Outlook von Microsoft – bei der enormen Verbreitung von Microsoft-Produkten und dem Mangel an Alternativen eine kaum lösbare Aufgabe.
Dabei geriet jedoch einiges durcheinander:
Die DSK stellt eine einheitliche Anwendung des Datenschutzrechts sicher und tritt für seine Fortentwicklung ein. Sie entscheidet nicht über die Rechtmäßigkeit von Datenverarbeitungen. Es ist auch nicht ihre Aufgabe, Verarbeitungstätigkeiten zu verbieten.
Und Microsoft ist nicht verantwortlich für die Datenschutzkonformität seiner Produkte.
Verantwortlich ist der Verantwortliche.
2. Datenverarbeitung und Auftragsverarbeitungsvertrag
Der Verantwortliche muss seine datenschutzrechtlichen Pflichten erfüllen. Aufgabe der Datenschutzaufsichtsbehörden ist es, die Einhaltung dieser Pflichten zu prüfen.
Die Datenverarbeitung ist hier nicht „M365“, sondern „Erstellung und Bearbeitung von Präsentationen“, für das man PowerPoint nutzt, „E-Mailmanagement“ (Outlook), oder „Textverarbeitung“ mit Microsoft Word. Die Produkte aus dem Paket M365 kann man also für die Durchführung bestimmter Datenverarbeitungstätigkeiten verwenden. Sie stellen jedoch nicht selbst eine Datenverarbeitungstätigkeit dar.
Verantwortliche müssen also die erforderlichen Schritte unternehmen, um eine rechtskonforme Nutzung sicherzustellen, soweit sie M365 für bestimmte Verarbeitungstätigkeiten nutzen möchten. Dazu gehört auch ein wirksamer Auftragsverarbeitungsvertrag, denn es handelt sich um einen Fall der Auftragsverarbeitung.
Exkurs:
Microsoft 365 ist eine Cloud-Lösung. Alle Daten (Dokumente, Fotos, Videos, etc.) und ggfs. sogar Programme wie Outlook oder Teams selbst werden außerhalb des eigenen Rechners auf Servern von Microsoft gespeichert und über das Internet von dort abgerufen. Das ermöglicht es z.B., über mehrere Geräte an einem Text zu arbeiten, weil man von jedem Gerät auf denselben Entwurf zugreifen kann. Ein Hin- und Herschicken der Datei ist nicht nötig. Man ist außerdem unabhängig von Endgeräten: Die eigenen Daten lassen sich über jeden Browser abrufen. Nach einem Login auf der entsprechenden Internetseite kann man Outlook, Excel usw. als webbasierte Anwendungen direkt im Browser nutzen.
Bei der Verwendung von Microsoft-Programmen werden personenbezogene Daten verarbeitet.
Beispiel
Für eine geschäftliche E-Mail in Outlook werden ua benötigt: E-Maildresse des Absenders und des Empfängers (oder der Empfänger), ggfs. jeweils Name und Vorname, in der Signatur dann Telefonnummer(n) und ggfs. weitere E-Mailadressen sowie Position in der Organisation – und dann ist der Inhalt der Nachricht und etwaigen Anhängen noch nicht berücksichtigt.
Bei M365 nimmt diese Verarbeitungen nicht der Verantwortliche selbst vor, denn die Verarbeitung findet nicht auf dessen eigenen Servern statt. Vielmehr ist diese Aufgabe an Microsoft ausgelagert. Microsoft wird dann als der verlängerte Arm des Verantwortlichen tätig, indem das Unternehmen die Verarbeitungsvorgänge des Verantwortlichen für den Verantwortlichen auf Servern von Microsoft durchführt. Wie immer in solchen Fällen der Auftragsverarbeitung, ist der Abschluss eines Auftragsverarbeitungsvertrags (kurz AVV) Pflicht.
3. Handreichung der Datenschutzaufsichtsbehörden & Lösung von Microsoft
Im November 2022 hat die DSK lediglich festgestellt, dass das von Microsoft für Nutzer zum Download bereitgestellte Standarddokument in seiner Pauschalität nicht den Anforderungen entspricht, die die DSK an Transparenz und andere Aspekte stellt.
In dieser für viele Verantwortliche unsicheren Zeit seit dem Bericht der DSK haben mehrere Datenschutzbehörden eine Handreichung für Verantwortliche veröffentlicht, die beim datenschutzrechtskonformen Einsatz von M365 helfen soll. So auch der Bayerische Landesbeauftragte für den Datenschutz: https://www.datenschutz-bayern.de/datenschutzreform2018/Handreichung_MS_365.pdf.
Mithilfe dieser Hinweise sollten Verantwortliche im Wesentlichen auf Änderungen an den Verträgen mit Microsoft hinwirken und ihre eigenen technischen und organisatorischen Maßnahmen den Anforderungen anpassen.
Microsoft war zwar der Auffassung, alle Gesetze einzuhalten. Dennoch hat Microsoft Deutschland zusammen mit der hessischen Datenschutzaufsichtsbehörde an einer Lösung gearbeitet. In seinem Bericht vom 15.11.2025 stellt der Hessische Beauftragte für Datenschutz und Informationsfreiheit das Ergebnis von 10 gemeinsamen Gesprächsrunden vor (https://datenschutz.hessen.de/presse/hbdi-microsoft-365-kann-datenschutzkonform-genutzt-werden):
Der datenschutzkonforme Betrieb von M365 sei unter Verwendung des inzwischen aktualisierten DPA durchaus möglich, aber ggfs. nicht in den Standardeinstellungen. Es liege jedoch an den datenschutzrechtlich Verantwortlichen, die Einrichtung und Nutzung des Systems so zu gestalten, dass personenbezogene Daten entsprechend geschützt werden.
Der Bericht enthält umfangreiche Handlungsempfehlungen, die dabei unterstützen sollen. Auch Microsoft hat in diesem Zusammenhang mit dem M365-Kit eine Hilfestellung veröffentlicht (zu finden unter https://www.microsoft.com/de-de/mit-sicherheit/datenschutz-ressourcen#DasMicrosoft365Kit).
4. Was jetzt zu tun ist
Verantwortliche, die seit 2022 die weitere Entwicklung abgewartet haben, sollten sich spätestens jetzt u.a. mit folgenden Aspekten beschäftigen:
- Abschluss des DPA mit Microsoft und ggfs. produktspezifischer Erweiterungen
- Prüfung, welche der in M365 enthaltenen Anwendungen genutzt werden – nur für die Produkte, die der Verantwortliche für Verarbeitungstätigkeiten verwendet, treffen ihn auch datenschutzrechtliche Pflichten
- Festlegung von Art und Zweck jeder Verarbeitung und jeweils der Art der personenbezogenen Daten
- Durchführung einer den individuellen Anforderungen entsprechenden Konfiguration von M365 – insbesondere zur Übermittlung von Diagnosedaten und anderen von Microsoft beim Betrieb generierten Daten
- Prüfung eigener technischer und organisatorischer Daten in Ergänzung der TOM von Microsoft
Ansonsten gilt das Übliche:
- Aufnahme der Verarbeitungstätigkeiten, die man mit den Tools von M365 durchführt, in das Verzeichnis der Verarbeitungstätigkeiten
- Pflege des eigenen Löschkonzepts und Prüfung, ob die standardisierten Löschprozesse von Microsoft hier ausreichen
- Information der Betroffenen über die Verarbeitung ihrer personenbezogenen Daten (z.B. in einer Datenschutzerklärung)
Es handelt sich nicht um ein M365-spezifisches Thema. Das Prinzip lässt sich grundsätzlich auf alle Cloud-Dienste übertragen. Wer personenbezogene Daten nicht selbst, sondern durch einen Auftragsverarbeiter verarbeiten möchte, muss die Rechtmäßigkeit der Verarbeitung durch diesen Dienstleister mit Verträgen, Dokumentation, ggfs. Audits sicherstellen.
Der Bericht ist auf der Internetseite des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zu finden:
https://datenschutz.hessen.de/presse/hbdi-microsoft-365-kann-datenschutzkonform-genutzt-werden