Microsoft 365 & Datenschutz: Risiken erkennen, Maßnahmen umsetzen, DSGVO-konform arbeiten

Welche datenschutzrechtlichen Probleme bestehen bei Microsoft 365?

Die datenschutzrechtlichen Risiken bei Microsoft 365 liegen nicht in einem einzelnen Aspekt, sondern in einer Kombination aus Transparenz-, Rollen-, Transfer- und Steuerungsproblemen sowie dem Verarbeitungsumfang.

Transparenz und Verarbeitung zu eigenen Zwecken

Die deutschen Aufsichtsbehörden kritisierten in der Vergangenheit, dass Microsoft nicht klar genug offenlege, welche Daten in welchem Umfang und für welche (eigenen) Zwecke verarbeitet würden.

So kam der Zusammenschluss der deutschen Datenschutzaufsichtsbehörden (Datenschutzkonferenz, DSK) 2022 noch zu dem Ergebnis, dass Unternehmen bei dem damals bestehenden Auftragsverarbeitungsvertrag von Microsoft (Datenschutznachtrag, Data Processing Addendum (DPA)) einen datenschutzkonformen Einsatz von Microsoft 365 ohne konkreteres Wissen über Datenflüsse, Zwecke und Empfänger sowie ohne zusätzliche Garantien nicht nachweisen könnten.

Manche Aufsichtsbehörden wie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zweifeln in ihrem Tätigkeitsbericht 2025 weiterhin an der Rechtmäßigkeit der Verarbeitung zu eigenen Zwecken von Microsoft. Währenddessen hat die Hessische Aufsichtsbehörde (Hessischer Beauftragter für den Datenschutz und die Informationsfreiheit, HBDI) im November 2025 eine überraschend positive Stellungnahme zum Einsatz von Microsoft 365 abgegeben. Darin hält sie die im Datenschutznachtrag mit Microsoft aufgeführten Verarbeitungszwecke wegen der vorgenommenen Anonymisierung der Daten für zulässig.

Nichtsdestotrotz gibt es von anderen Datenschutzaufsichtsbehörden keine so klaren Signale wie aus Hessen — wodurch die Transparenz und eigenen Verarbeitungszwecke von Microsoft mögliche Streitthemen bleiben.

Drittlandbezug und Unterauftragsverarbeiter

Die sogenannte EU Data Boundary von Microsoft hat die Situation in Hinblick auf den Ort der Datenverarbeitung zwar verbessert, indem die meisten Verarbeitungen nur noch innerhalb der Europäischen Union stattfinden. Doch Ausnahmen bleiben — etwa für Remotezugriffe, Supportfälle, Netzwerktransit und dienstspezifische Übermittlungen. Zugriffe aus Drittstaaten bei Support und Wartung kann Microsoft jedoch nicht vollständig ausschließen.

Auch die Daten bestimmter Core-Onlinedienste werden nur in der EU gespeichert, aber nicht zwangsläufig dort verarbeitet. Allerdings gilt zugleich für potentielle Übermittlungen in die USA der Angemessenheitsbeschluss der Europäischen Kommission (EU-US Data Privacy Framework).

Dazu kommt: Microsoft setzt zahlreiche Unterauftragsverarbeiter ein. Die DSK hatte in der Vergangenheit kritisiert, dass Microsoft nicht transparent genug über neue Unterauftragsverarbeiter informiere und dadurch Unternehmen die Änderungen nicht ordnungsgemäß bewerten könnten.

Auch hier vertrat die Hessische Aufsichtsbehörde in ihrer Stellungnahme vom November 2025 einen anderen Standpunkt und hielt die Form der Benachrichtigung und die Einbindung neuer Unterauftragsverarbeiter für sachgerecht und zulässig.

Neue Fragen könnten jedoch durch die neuesten Änderungen des Datenschutznachtrags von Microsoft aus dem Mai 2026 entstehen, der für die Einbindung von Unterauftragsverarbeitern für KI-Funktionalitäten verkürzte Einspruchsfristen vorsehen. Insofern ist eine ständige Neubewertung der Lage aufgrund der aktuellen vertraglichen und tatsächlichen Gegebenheiten notwendig. Auch sollte die Übermittlung in Drittländer und die Geltung der EU Data Boundary stets überprüft werden.

Telemetrie und Nachweislast

Wiederkehrend als kritisch befunden wurden vor allem in der Vergangenheit Telemetrie- und Diagnosedaten. Dabei blieb teilweise unklar, welche genauen Daten Microsoft erhebt, überträgt und für welche möglicherweise auch eigenen Zwecke nutzt. Je nach Microsoft-Produkt und Windows-Umgebung kommen dabei verschiedene Arten von Telemetrie- und Diagnosedaten in unterschiedlichem Umfang infrage.

Deshalb ist es insbesondere aus Sicht der Aufsichtsbehörden und auch des Bundesamts für Sicherheit in der Informationstechnik (BSI) wichtig, etwaige Einstellungen für Telemetrie- und Diagnosedaten richtig und möglichst datensparsam zu konfigurieren. Gegenüber früheren Äußerungen dieser Stellen muss jedoch berücksichtigt werden, dass Microsoft inzwischen zusätzliche Garantien für die Verarbeitung dieser Daten bereithält und sie unter den Schutz des Datenschutznachtrag stellt.

Soweit bestimmte Daten weiterhin erhoben werden, etwa zur Protokollierung für Sicherheitsaspekte oder zur Verwaltung von Geräten, so muss das verantwortliche Unternehmen diese Datenverarbeitung rechtfertigen.

Fünf ausgewählte Kritikpunkte der Aufsichtsbehörden im Überblick:

• Microsoft lege nicht ausreichend offen, welche Daten es wie und wofür verarbeitet
• Microsoft verarbeite Daten teilweise für eigene Zwecke ohne klare Rechtsgrundlage
• Trotz EU Data Boundary blieben Drittlandzugriffe möglich und die Weisungsbindung könne durchbrochen werden
• Unternehmen hätten nur begrenzte Kontrolle über Unterauftragsverarbeiter
• Erhebung und Nutzung von Telemetrie- und Diagnosedaten blieben unklar

Je nach aktiviertem Dienst im Tenant unterscheidet sich das Risiko erheblich. Doch wo Probleme sind, gibt es auch Stellschrauben. Die folgenden Maßnahmen bilden wichtige Bausteine für einen vertretbaren Einsatz.

Welche Maßnahmen sollten Unternehmen konkret umsetzen?

Ein DSGVO-konformer Einsatz von Microsoft 365 braucht einen korrekt konfigurierten, dokumentierten und dienstbezogenen Betrieb — gute Einstellungen allein reichen nicht, lösen aber einen Großteil der praktischen Probleme. Die folgenden fünf Punkte sind Beispiele für relevante Maßnahmen:

1. Einsatzumfang begrenzen und Daten minimieren

Aktivieren Sie nur die Dienste und Funktionen, die Sie tatsächlich brauchen. Schalten Sie nicht pauschal das gesamte M365-Bundle frei. Je weniger Dienste, Datenkategorien und Zusatzfunktionen aktiv sind, desto besser können Sie die Verarbeitung rechtfertigen, begrenzen und dokumentieren.

Setzen Sie ergänzend auf restriktive Standardkonfigurationen und Freigabeoptionen. Definieren, dokumentieren und beschränken Sie im Falle eines KI-Einsatzes zudem die relevanten Use Cases von Copilot.

2. Telemetrie und Analysen reduzieren

Deaktivieren Sie nicht notwendige Telemetrie-, Analyse- und Berichtsfunktionen, soweit technisch möglich. Gerade die behördliche Kritik zielt auf die unzureichende Transparenz über erhobene Nutzungsdaten ab.

Dies ist auch vor dem Hintergrund des besonderen Beschäftigtendatenschutzes wichtig, um nicht zulässiges Profiling oder Verhaltensüberwachung der Beschäftigten zu verhindern. Das BSI hat ergänzend Empfehlungen zur Deaktivierung von Telemetrie in Windows veröffentlicht.

3. Verträge und Rollenverteilung prüfen

Akzeptieren Sie den Datenschutznachtrag nicht ungeprüft. Prüfen Sie ihn auf Art.-28-Tauglichkeit, insbesondere in Hinblick auf Transparenz, Unterauftragsverarbeiter und mögliche Eigenzweckverarbeitungen. Die DSK empfiehlt ausdrücklich, auf datenschutzkonforme Vereinbarungen hinzuwirken und nötigenfalls Zusatzvereinbarungen zu verhandeln.

4. Drittlandzugriffe gesondert bewerten

Auch mit der EU Data Boundary bleiben Übermittlungen in die USA möglich — etwa durch Remotezugriffe oder Supportfälle. Richten Sie Tenant- und Speicherorte auf die EU aus, prüfen Sie Supportprozesse und dokumentieren Sie verbleibende Drittlandberührungen, soweit sie zusätzlich zum für Microsoft Corporation in den USA geltenden Angemessenheitsbeschluss auf eine europäische Datenhaltung setzen.

5. Berechtigungen, Transparenz und Löschkonzepte

Drei weitere Bausteine gehören zur Mindestausstattung:

• Berechtigungskonzept: Setzen Sie Need-to-know und Least Privilege konsequent um, vergeben Sie differenzierte Rollen und begrenzen Sie Admin-Rechte und Auswertungszugriffe.
• Beschäftigteninformation: Informieren Sie Ihre Beschäftigten verständlich darüber, welche M365-Dienste Sie nutzen, welche Daten anfallen und welche Einschränkungen gelten.
• Lösch- und Offboarding-Konzept: Legen Sie insbesondere für Exchange, Teams, SharePoint und OneDrive verbindliche Löschfristen, Aufbewahrungsregeln und Offboarding-Prozesse fest.

Wer diese Maßnahmen konsequent umsetzt, reduziert die datenschutzrechtlichen Risiken — auch wenn ein vollständig risikofreier Betrieb angesichts der sehr vielfältigen Einsatzmöglichkeiten und der damit verbundenen potentiellen eingriffsintensiven Datenverarbeitungen kaum möglich ist.

Neben diesen Maßnahmen stellt sich für viele Unternehmen die Frage, ob auch eine Datenschutz-Folgenabschätzung erforderlich ist.

Wann ist eine Datenschutz-Folgenabschätzung für Microsoft 365 erforderlich?

Eine Datenschutz-Folgenabschätzung (DSFA) ist grundsätzlich nicht allein deshalb Pflicht, weil ein Unternehmen Microsoft 365 nutzt — entscheidend ist, ob die konkrete Verarbeitung ein hohes Risiko für Betroffene mit sich bringt (Art. 35 DSGVO).

In der Praxis spricht bei unternehmensweitem Einsatz allerdings vieles für eine DSFA. Zwei Kriterien sind dabei fast immer erfüllt: Die Verarbeitung erfolgt in großem Umfang, und sie betrifft besonders schutzbedürftige Personen — vor allem Beschäftigte. Je nach Setup kommen daneben etwa Risiken durch den Einsatz von KI und den Abgleich oder die Zusammenführung von Daten etwa in umfangreicheren Analysen hinzu.

Die Faustregel

Nutzt ein Unternehmen Microsoft 365 nur sehr begrenzt und datensparsam, kann eine DSFA im Einzelfall gegebenenfalls entfallen — dies sollte jedoch genau geprüft werden. Dient es dagegen als zentrale Kollaborations- und Kommunikationsplattform für die gesamte Organisation, ist eine DSFA in den meisten Fällen sinnvoll oder sogar nötig. Beim Einsatz von Copilot-Agenten, der Nutzung von KI in Meetings, umfangreichen Analysen oder sensiblen Daten ist sie klar erforderlich.

Schnellentscheidung in fünf Fragen

Beantworten Sie diese fünf Fragen für eine erste Einschätzung:

1. Nutzen Sie den Dienst unternehmensweit oder für große Teile der Belegschaft?
2. Verarbeiten Sie Beschäftigtendaten, sensible Daten oder vertrauliche Inhalte?
3. Setzen Sie Aufzeichnungen, Transkriptionen oder KI-Zusammenfassungen in Meetings ein?
4. Werten Sie die Nutzung der Anwendungen aus oder verwenden viele Diagnose- und Telemetriedaten?
5. Binden Sie viele externe Schnittstellen oder automatisierte KI-Agenten ein?

Auswertung: Bei 0–1× „Ja" besteht vermutlich kein hohes Risiko. Ab 2× „Ja" ist eine DSFA wahrscheinlich sinnvoll. Ab 3× „Ja" brauchen Sie voraussichtlich eine DSFA.

Wie bewerten die Aufsichtsbehörden Microsoft 365 aktuell?

Die deutschen Aufsichtsbehörden bewerten Microsoft 365 teilweise weiterhin kritisch — allerdings differenzierter als die Datenschutzkonferenz 2022. So stellte der Hessische Datenschutzbeauftragte (HBDI) in seinem Bericht vom November 2025 erstmals behördlich fest, dass Microsoft 365 unter bestimmten Voraussetzungen datenschutzkonform genutzt werden kann.

Auch der Europäische Datenschutzbeauftragte (EDSB) bestätigte im Juli 2025 den datenschutzkonformen Einsatz bei der EU-Kommission — nachdem diese zuvor konkrete Korrekturmaßnahmen umgesetzt hatte.

Was das praktisch bedeutet

Haben die Behörden Microsoft 365 „freigegeben"? Nein. Halten sie einen datenschutzkonformen Einsatz unter strengen Voraussetzungen für möglich? Teilweise ja — aber nur mit Prüf-, Konfigurations- und Dokumentationsaufwand.

Was ist bei Microsoft Copilot besonders zu beachten?

Für Copilot gelten strengere Anforderungen als für klassische M365-Dienste. Entscheidend ist die Unterscheidung nach Einsatzform:

• Copilot Chat ohne komplexe Anbindungen lässt sich bei klaren Vorgaben und Konfigurationen beherrschen — aber schon Dateiuploads, Websuche oder fehlende Transparenz erhöhen das Risiko.
• Copilot in Meetings mit Transkription, Zusammenfassungen oder Audio-/Videoauswertung greift tiefer in persönliche Daten ein — geben Sie diese Funktion erst nach gesonderter Prüfung frei.
• Copilot Agenten mit Tenant-Zugriff, externen Datenquellen oder anderen KI-Modellen erfordern aufgrund größerer Risiken für die IT-Sicherheit und den Datenschutz ausführlichere Prüfungen.

Grundsätzlich gilt: Geben Sie Copilot nur mit klar definiertem Use Case frei, erstellen Sie eine KI-Guideline, verwenden Sie KI-Outputs nicht ungeprüft und informieren Sie Beschäftigte vorab.

Fazit: Microsoft 365 & DSGVO — es kommt auf das Wie an

M365 DSGVO-konform einzusetzen ist möglich — aber weder selbstverständlich noch pauschal zu beantworten. Die Zeiten des kategorischen „geht nicht" sind vorbei, doch eine generelle Entwarnung gibt es ebenso wenig.

Entscheidend ist nicht der Produktname, sondern der konkrete Tenant mit den konkret aktivierten Diensten. Die wichtigsten Hebel: Einsatzumfang auf das notwendige Maß begrenzen, nicht erforderliche Telemetrie deaktivieren, Verträge aktiv prüfen, Berechtigungen eng steuern und Beschäftigte transparent informieren. Wer zusätzlich Copilot einsetzt, sollte jede Funktion separat bewerten und freigeben.

Ein konkret konfigurierter und dokumentierter Betrieb ist kein optionaler Bonus, sondern die Voraussetzung für einen vertretbaren Einsatz.

Häufig gestellte Fragen

Lässt sich Microsoft Office 365 noch DSGVO-konform einsetzen?

Ja, ein datenschutzkonformer Einsatz ist grundsätzlich möglich — aber nur mit dokumentierter Einzelfallprüfung und angepasster Konfiguration. Die Aufsichtsbehörden haben kein pauschales Verbot ausgesprochen, erwarten aber, dass Unternehmen den konkreten Einsatz eigenständig rechtfertigen können.

Reicht die EU Data Boundary für die DSGVO-Konformität von Microsoft 365?

Nein, die EU Data Boundary allein reicht nicht aus. Sie deckt Speicherung und große Teile der Verarbeitung innerhalb der EU ab, schließt aber Ausnahmen wie Remotezugriffe, Supportfälle und Netzwerktransit nicht aus. Unternehmen müssen die Restrisiken eigenständig bewerten. Allerdings ist Microsoft Corporation für Übermittlungen in den USA auch nach dem EU-US Data Privacy Framework zertifiziert.

Ist eine DSFA für Microsoft 365 Pflicht?

Eine DSFA ist nicht automatisch Pflicht, aber bei unternehmensweitem Einsatz mit Beschäftigtendaten oder sensiblen Kundendaten in den meisten Fällen sinnvoll oder sogar nötig. Entscheidend ist die Schwellenwertanalyse nach Art. 35 DSGVO — bei großem Umfang, sensiblen Daten, umfangreichen Auswertungen oder KI-Funktionen fällt sie in der Regel positiv aus.

Welche Microsoft-365-Dienste haben das höchste Datenschutzrisiko?

Das höchste Risiko bergen Dienste mit umfangreicher Datenauswertung: Copilot in Meetings, Copilot Agenten, Zusatzdienste wie Viva Insights sowie Automatisierungen und Analysen mittels der Dienste von Power Platform. Aber auch Sicherheitsanwendungen können zu umfangreichen Datenauswertungen führen. Standarddienste wie Exchange oder SharePoint lassen sich bei entsprechender Konfiguration deutlich besser beherrschen.

Darf Microsoft Daten aus Microsoft 365 für eigene Zwecke nutzen?

Microsoft behält sich vertraglich bestimmte Eigenzweckverarbeitungen vor — ob das zulässig ist, ist aktuell unter den Aufsichtsbehörden umstritten. Während die Hessische Aufsichtsbehörde in ihrer Stellungnahme vom November 2025 die anonymisierten bzw. aggregierten Verarbeitungsvorgänge für zulässig hielt, kam die Datenschutzkonferenz 2022 noch zu einem anderen Ergebnis.

Was ändert sich durch Microsoft Copilot am Datenschutzrisiko?

Microsoft Copilot kann das Datenschutzrisiko erheblich erhöhen, je nach Art der genutzten KI-Funktionen. Kritisch können etwa Meeting-Zusammenfassungen, Audiorecaps, Echtzeitübersetzungen und Sprachsimulationen sowie Agenten mit Tenant-Zugriff und automatisierten Aufgaben sein. Prüfen Sie jede Copilot-Funktion separat und geben Sie sie erst nach klarer Zweckdefinition frei.

Welche Datenschutz-Einstellungen sollten Unternehmen in Microsoft 365 ändern?

Relevante Stellschrauben sind etwa: Telemetrie und Diagnosedaten auf das erforderliche Minimum reduzieren, nicht benötigte Dienste und Zusatzfunktionen deaktivieren, externe Freigaben in SharePoint und OneDrive einschränken und restriktive Berechtigungskonzepte umsetzen. Das BSI hat ergänzend Empfehlungen zur Telemetrie-Deaktivierung in Windows veröffentlicht.

Braucht man einen Auftragsverarbeitungsvertrag für Microsoft 365?

Ja, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist zwingend erforderlich. Microsoft stellt dafür das Data Protection Addendum (DPA) bereit, das automatisch Bestandteil der Lizenzvereinbarung wird. Akzeptieren Sie das DPA aber nicht unbesehen — achten Sie etwa besonders auf Transparenz, Verarbeitungen für eigene Zwecke und Unterauftragsverarbeiter sowie auf Änderungen durch neue Versionen des DPA.