Microsoft hat seinen Sitz in den USA und Microsoft 365 ist eine Cloud-Lösung, das heißt, die Daten liegen auf Servern, v.a. auch in den USA. Man nennt das einen sog. Drittstaatentransfer d.h. es findet eine Verarbeitung von Daten außerhalb der EU statt. Doch sogar, wenn die Daten nur auf deutschen Servern liegen würden, wären aufgrund der rechtlichen Situation in den USA so, dass Microsoft bestimmte Daten an US-Behörden herausgeben müssten, wenn diese danach fragen.
Nun ist es aber leider so, dass die Datenschutzbestimmungen in den USA nicht konform sind mit der in Deutschland geltenden DSGVO. Deshalb braucht man mit Anbietern außerhalb der EU eine gesonderte Rechtsgrundlage. Das Privacy Shield ist als Rechtsgrundlage weggefallen, das heißt, Unternehmen, die Microsoft 365 einsetzten, brauchen eigene vertragliche Regelungen (v.a. Auftragsverarbeitungsverträge und sog. Standarddatenschutzklauseln), die die Datenverarbeitung regeln.
Man könnte sich vorstellen: ok, dann schließe ich halt diese Verträge ab – und dann bin ich rechtskonform unterwegs? Dem ist aber leider nicht so. Die DSK hat 2020 entschieden, dass Office 365 rechtswidrig ist, weil es eigentlich de facto nicht datenschutzkonform genutzt werden kann. Es gibt viele Datenschützer, die das differenziert sehen.
Microsoft Products and Services Data Protection Addendum (DPA) vom 01.09.2025
Am 1. September 2025 hat Microsoft eine neue Version seines Data Protection Addendums (DPA) veröffentlicht, das als zentrales Dokument für den Datenschutz bei Microsoft 365 dient.
Praktische Auswirkungen:
Für den Datenschutz bei den meisten "normalen" Unternehmen ergeben sich aus diesen Änderungen keine wirklich relevanten Neuerungen. Die Ergänzung zum Data Act und die Zusage zum Schutz vor staatlichen Anordnungen könnten jedoch für Behörden und Regierungsstellen von Bedeutung sein, wobei Microsoft sich weiterhin an geltendes Recht halten muss.
Einstellung des Durchsetzungsverfahrens im Zusammenhang mit der Nutzung von Microsoft 365 durch die Kommission
Letter to Commission: Closure of enforcement proceedings in the Commission’s use of Microsoft 365
Der Europäische Datenschutzbeauftragte (EDSB), Wojciech Rafał Wiewiórowski, hat das Vollstreckungsverfahren (Fall 2021-0518) gegen die Europäische Kommission bezüglich deren Nutzung von Microsoft 365 (M365) offiziell eingestellt.
In einer Entscheidung vom 8. März 2024 hatte der EDSB festgestellt, dass die Nutzung von M365 durch die Kommission gegen die Datenschutzverordnung für EU-Institutionen (EU) 2018/1725 verstößt. Der Kommission wurden Korrekturmaßnahmen auferlegt.
Nach intensiver Zusammenarbeit zwischen der Kommission, Microsoft und dem EDSB wurden wesentliche vertragliche, technische und organisatorische Änderungen vorgenommen. Der EDSB stellt fest, dass die Kommission nun die Kontrolle über die Verarbeitung ihrer Daten in M365 hat. Die wichtigsten Verbesserungen sind:
Fazit:
Der EDSB kommt zu dem Schluss, dass die Kommission die in der Entscheidung vom März 2024 festgestellten Verstöße behoben hat und nun die DSGVO einhält. Das Verfahren wird daher geschlossen. Das Schreiben lobt die konstruktive Zusammenarbeit aller Beteiligten als gemeinsamen Erfolg.
Was bedeutet das für Unternehmen und Behörden in Deutschland?
Die Entscheidung ist erstmal ein positives Signal:
Mit den richtigen technischen und organisatorischen Maßnahmen (TOMs) ist Microsoft 365 datenschutzkonform nutzbar.
Wichtig: TOMs bleiben entscheidend hinsichtlich des rechtskonformen Einsatzes. Eine Überprüfung durch deutsche Aufsichtsbehörden steht aus.
Mit Beschluss vom 24.11.2022 – unter Verweis auf den Bericht der Arbeitsgruppe DSK „Microsoft- Onlinedienste“ und dessen Zusammenfassungen – hat die DSK (Datenschutzkonferenz) festgestellt, „dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann“.
Pressemitteilung des Thüringer Landesbeauftragten für Datenschutz und die Informationsfreiheit.
Der Landesbeauftragte ist der Ansicht, dass sich die DSK hier nicht an Microsoft wendet, sondern an die Verantwortlichen.
Bindungswirkung der „Festlegung“
Die vorliegende Information hat für die Verantwortlichen keine (unmittelbare) Bindungswirkung. Es handelt sich um eine „Festlegung“ (= Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder); Festlegungen sind Positionen zu internen inhaltlichen, technischen oder organisatorischen Fragen einschließlich der Gremienarbeit.
Hier die aktuelle Geschäftsordnung der DSK
Eine solche Festlegung hat auch keine Bindungswirkung für die Behörden. Für den Verantwortlichen hat eine Festlegung erst Bindungswirkung, wenn er einen von einer Behörde erlassenen Verwaltungsakt nicht (erfolgreich) anficht.
On-Premises Office-Produkte meint die „klassischen“ Office Produkte, die auf dem PC lokal installiert werden, ohne Abo erwerbbar sind und nicht tief in die Microsoft Cloud eingebunden sind. Die aktuellste Version ist derzeit Microsoft Office 2021. Mit einem Blick auf die Microsoft Homepage lässt sich leicht sehen, dass Microsoft verstärkt Microsoft 365 bewirbt und kaum Informationen zu Microsoft Office 2021 zu finden sind. Es könnte also passieren, dass Microsoft die „On-Premises“ Office Produktsparte ganz einstellt.
Der Einsatz eines On-Premise Produkts dürfte datenschutzrechtlich nur dann einen Unterschied machen, wenn es keine Cloud-Einbindung gibt. In der Praxis dürfte es wohl aber wohl so sein, dass Microsoft 365 das Microsoft Office 2021 mit direkter Anbindung an die Microsoft Cloud und einigen zusätzlichen Features ist (siehe Microsoft Produktseite). Zwar besteht also bei Office 2021 keine Cloudanbindung jedoch ist davon auszugehen, dass auch bei den On-Premise Produkten ein erheblicher Datenfluss zu Microsoft stattfindet, wie die z.B. die Untersuchungen des LfDI zu Microsoft 365 nahelegen. Beispielsweise kommt es zu einer umfangreichen Übertragung von Telemetrie- und Diagnosedaten.
Letztlich ist dem Verantwortlichen auch beim Einsatz von einem On-Premise Produkt nicht klar, welche Daten erhoben werden und zu welchem Zweck sowie welche Daten Microsoft im Auftrag des Verantwortlichen verarbeitet und welche selbst als Verantwortlicher. Damit kann der Verantwortliche z.B. beim Einsatz eines (nicht komplett vom Internet abgeschotteten) On-Premise Produkts nicht seiner Verpflichtung aus Art. 13 DSGVO gerecht werden.
Was ist der Patriot Act?
Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden oder auf richterliche Anordnung hin herausgeben.
Wann greift der Patriot Act nicht mehr?
Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden oder auf richterliche Anordnung hin herausgeben. Microsoft hatte sich nach einer richterlichen Anordnung auf Datenherausgabe widersetzt, weil sich die Daten nicht in den USA, sondern in einem Rechenzentrum in Irland - und damit in Europa - befanden. Nach Ansicht Microsofts wäre es dann so, dass das Datenschutzrecht des Landes gelte, in dem die Daten gespeichert sind und die DSGVO erlaubt eben keine Herausgabe der Daten in die USA.
Danach erließ die Regierung TRUMP den CLOUD Act (= Clarifying Lawful Overseas Use of Data Act). Er verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze (wie z.B. die DSGVO) dies am Ort des Datenspeichers verbieten. Seitdem muss sich Microsoft also entscheiden, welches Recht es verletzen möchte – und welches es einhält.
Ergo: Wenn Unternehmen sicher DSGVO-konform arbeiten wollen, müssen sie nicht nur darauf achten, wo die Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat.
Stand: September 2025
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung
