zur Übersicht

Microsoft 365 jetzt offiziell DSGVO-konform?

Die Entscheidung des Europäischen Datenschutzbeauftragten und ihre Bedeutung

Am 11. Juli 2025 veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) ein Schreiben an die Europäische Kommission, in dem er die Fortschritte von Microsoft im Bereich Datenschutz würdigt. Insbesondere geht es um Anpassungen, die Microsoft im Rahmen seiner Rolle als Auftragsverarbeiter vorgenommen hat – etwa im Hinblick auf Transparenz, Datenzugriffe und vertragliche Verpflichtungen. Das Schreiben markiert den offiziellen Abschluss der Untersuchung, den der EDSB gegen die Kommission wegen der Nutzung von Microsoft 365 durchgeführt hatte. In dem Zusammenhang hatte dieser der Kommission die Nutzung zunächst untersagt, soweit nicht bestimmte Auflagen eingehalten werden. Nun hat sich Microsoft in den Verhandlungen mit der EU offenbar in einem Maße bewegt, dass es aus Sicht des EDSB ausreichend ist, um die Dienste datenschutzkonform zu nutzen. Aber was bedeutet das für alle anderen kommerziellen Kunden, die Microsoft 365 Dienste verwenden?

Ein Schritt in die richtige Richtung

Der EDSB erkennt an, dass Microsoft auf die datenschutzrechtlichen Anforderungen der EU reagiert hat. Die vorgenommenen Änderungen verbessern die Kontrolle über personenbezogene Daten und stärken die Rechte der betroffenen Personen. Das ist ein positives Signal – insbesondere für öffentliche Stellen, die Microsoft-Dienste nutzen.

Aber: Kein Automatismus für andere Unternehmen

Wichtig ist jedoch: Diese Bewertung gilt ausschließlich für Microsoft – und nur im konkreten Kontext der geprüften Verträge und Maßnahmen. Daraus lässt sich keine generelle Unbedenklichkeit für andere Unternehmen oder Microsoft-Produkte ableiten. Auch andere Anbieter müssen ihre Datenschutzkonformität individuell nachweisen.

Risiken für Unternehmen

  • Unklare Datenflüsse: Trotz Verbesserungen bleibt oft unklar, welche Daten wohin übertragen werden.
  • Risikobehaftete Drittstaatentransfers: Die Nutzung von US-Diensten kann weiterhin problematisch sein – insbesondere im Lichte von Schrems II.
  • Vertragliche Grauzonen: Standardverträge reichen nicht immer aus, um die Anforderungen der DSGVO zu erfüllen.

To Dos für Verantwortliche

  1. Verträge prüfen: Werden die aktuellen Auftragsverarbeitungsverträge mit Microsoft (oder anderen Anbietern) verwendet und können diese ggf. sogar individuell angepasst werden?
  2. Datenflüsse dokumentieren: Welche Daten werden verarbeitet, wohin fließen sie, und auf welcher Rechtsgrundlage?
  3. Risikobewertung durchführen: Welche Arten von personenbezogenen Daten werden verarbeitet und reichen die eingesetzten TOM zum Schutz aus? Ist ein Transfer Impact Assessment (TIA) notwendig?
  4. Technische und organisatorische Maßnahmen (TOMs): Sind diese ausreichend, um die Daten zu schützen? Hier ist insbesondere eine datenschutzfreundliche Konfiguration erforderlich, ggf. unter Verwendung von Drittanbieter-Tools, z. B. zur Verschlüsselung.
  5. Transparenz schaffen: Betroffene müssen klar und verständlich informiert werden.

Fazit

Microsoft hat Fortschritte gemacht – das ist erfreulich. Aber Unternehmen dürfen sich nicht darauf verlassen, dass diese Maßnahmen automatisch auch für sie gelten. Datenschutz bleibt eine individuelle Verantwortung. Wer auf Nummer sicher gehen will, muss selbst aktiv werden. Die EU-Kommission hat offenbar gehörigen Druck ausgeübt, sodass Microsoft seine Verträge individuell angepasst hat, um den Anforderungen des EDSB zu genügen. Es ist nicht bekannt, welche Änderungen konkret vorgenommen wurden. Nur wenige Unternehmen dürften eine entsprechende Verhandlungsmacht besitzen, um hier mit Microsoft in Gespräche einzusteigen und Änderungen durchsetzen zu können.

Umso wichtiger ist eine sorgfältige Prüfung, Konfiguration und Dokumentation der eingesetzten Tools. Mit unseren Services helfen wir Ihnen dabei, sodass auch Ihr Unternehmen möglichst rechtssicher auf Microsoft 365 setzen kann.

Sprechen Sie uns an und abonnieren Sie unseren Newsletter, um immer auf dem Laufenden zu bleiben.