M365 DSGVO-konform konfigurieren

Microsoft 365 DSGVO-konform nutzen

Teams, SharePoint, OneDrive, Outlook – DSGVO-konformer Einsatz von MS 365 durch DSFA, AVV und Datenverarbeitung nach DSK-Empfehlungen.

Microsoft 365 datenschutzkonform einrichten — DSFA, AVV, Datenverarbeitung und EU Data Boundary

Erstgespräch buchen Website kostenlos prüfen
Das Risiko

Microsoft 365 ist nicht automatisch DSGVO-konform

DSK
WARNUNG 2024

Telemetrie und Diagnosedaten

In der Standardeinstellung sendet M365 umfangreiche Nutzungsdaten an Microsoft. Die Datenschutzkonferenz hat das als datenschutzrechtlich problematisch eingestuft.

40+
PRÜFPUNKTE

Connected Experiences und KI

Designideen, Übersetzungen, Copilot — diese Funktionen übertragen Ihre Geschäftsdaten an Microsoft-Server. Ohne bewusste Konfiguration verlieren Sie die Kontrolle.

Art. 28
AVV PFLICHT

Kein AVV abgeschlossen

Viele Unternehmen nutzen M365, ohne das Microsoft Data Processing Agreement aktiv akzeptiert zu haben. Das macht die gesamte M365-Nutzung rechtswidrig.

Nils Oehmichen & Jens Hagel – Ihr Datenschutz-Team bei frag.hugo
Die Lösung

Persönliche Beratung + digitale Plattform

frag.hugo kombiniert persönliche Datenschutzberatung durch zertifizierte Datenschutzexperten mit einer digitalen Plattform für Ihr komplettes Datenschutzmanagement.

Keine Interessenkonflikte — unabhängig und objektiv
Immer aktuell — AI Act, NIS2, aktuelle Rechtsprechung
Digitale Plattform — VVT, AVV, TOMs, Schulungen inklusive
Persönlich in Hamburg — Vor-Ort-Termine in der Metropolregion
Ihre Vorteile

Warum Unternehmen in Hamburg sich für frag.hugo entscheiden

40+ Prüfpunkte

Systematische Prüfung aller datenschutzrelevanten M365-Einstellungen anhand unserer Checkliste.

Telemetrie minimieren

Diagnosedaten auf Minimum setzen, Connected Experiences gezielt steuern.

AVV mit Microsoft

Data Processing Agreement korrekt abschließen und archivieren.

EU Data Boundary

Prüfen, welche Dienste unter die EU-Datenhaltung fallen — und welche nicht.

Teams & SharePoint

Aufzeichnungen, Freigaben, Gastzugriff und Aufbewahrungsrichtlinien konfigurieren.

Persönlich in Hamburg

Nils arbeitet gemeinsam mit Ihrer IT-Abteilung an der Umsetzung.

So starten Sie

Nutzung von Microsoft 365 DSGVO-konform in 4 Schritten

01

Tenant-Analyse

Aktuelle M365-Konfiguration prüfen: Telemetrie, Connected Experiences, Freigabeeinstellungen.

02

Maßnahmenplan

Konkrete Handlungsempfehlungen mit Schritt-für-Schritt-Anleitungen für Ihre IT.

03

Umsetzung begleiten

Gemeinsam mit Ihrer IT-Abteilung die Einstellungen umsetzen und testen.

04

Dokumentation

Alle Maßnahmen für die Aufsichtsbehörde dokumentieren — Nachweispflicht erfüllt.

Kundenstimmen

Das sagen unsere Mandanten

„Unsere M365-Umgebung wurde gehackt – Phishing trotz MFA. Nils hat die Meldung an die Behörde innerhalb der 72-Stunden-Frist durchgebracht. Ohne ihn hätten wir die Frist gerissen.“

IT
IT-Leiter
IT-Dienstleister · 15 MA · Hamburg

„Fünf Tage vor unserer TÜV-Rezertifizierung fehlten uns die IT-Risikoanalyse und der Notfallplan. Nils hat das übers Wochenende geliefert. Der Auditor war begeistert.“

QM
Qualitätsmanager
Komponentenfertigung · 85 MA

„Ein Großkunde hat uns ein NIS2-Lieferantenaudit geschickt – 38 Fragen, Nachweise verlangt. Dank frag.hugo hatten wir alle Richtlinien und das Datenschutzkonzept bereits parat. Auftrag gerettet.“

GF
Geschäftsführer
Industriezulieferer · 150 MA
Nils Oehmichen

„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen.“

Nils Oehmichen — Geschäftsführer & Datenschutzberater, frag.hugo

Inhalt in Kürze

  • Microsoft 365 ist in der Standardkonfiguration nicht DSGVO-konform. Telemetriedaten, Connected Experiences und fehlende AVVs sind die häufigsten Problemfelder bei der Datenverarbeitung.
  • Die DSK (Datenschutzkonferenz) hat den Einsatz von Microsoft 365 wiederholt kritisch bewertet. Der Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework vom Juli 2023 entschärft die Drittlandproblematik, ersetzt aber keine Tenant-Konfiguration.
  • Ein DSGVO-konformer Einsatz von Microsoft Office 365 ist möglich — durch Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten, Abschluss des DPA mit der Microsoft Corporation und eine Datenschutz-Folgenabschätzung (DSFA).
  • frag.hugo prüft Ihren M365-Tenant anhand von 40+ Prüfpunkten und begleitet die Umsetzung persönlich in Hamburg. Dass Microsoft 365 datenschutzkonform genutzt werden kann, beweisen wir in unserer täglichen Beratungspraxis.

Das Problem: Einsatz von Microsoft 365 ohne DSGVO-Konfiguration — Datenverarbeitung und Privacy

Microsoft 365 DSGVO-konform konfigurieren — Datenschutzberatung für Unternehmen und Behörden in Hamburg

Microsoft 365 (ehemals Microsoft Office 365 bzw. Office 365) ist in Hamburger Unternehmen allgegenwärtig. Outlook, Microsoft Teams, SharePoint, OneDrive, Excel – kaum ein Arbeitsplatz kommt ohne die cloudbasierten Microsoft 365-Anwendungen aus. Doch die wenigsten Unternehmen wissen, dass ihre M365-Installation (MS 365) in der Standardkonfiguration nicht DSGVO-konform ist. Die Folgen für Unternehmen können erheblich sein: Bußgelder, Reputationsschäden und der Verlust von Kundenvertrauen. Die Arbeitsgruppe der DSK hat die Nutzung von Office 365 wiederholt als datenschutzrechtlich problematisch bewertet.

Das Problem ist nicht Microsoft 365 selbst. Das Problem ist, was Microsoft im Hintergrund tut, wenn Sie nichts dagegen unternehmen: Telemetriedaten werden erhoben, Diagnosedaten an Microsoft-Server gesendet, KI-gestützte Funktionen analysieren Ihre Inhalte, und Freigabeeinstellungen erlauben mehr, als Sie ahnen. Die Verarbeitung ist vertraglich nur dann konform, wenn die richtigen Privacy-Einstellungen aktiviert sind.

Die DSK (Datenschutzkonferenz) hat Microsoft 365 wiederholt kritisch bewertet und den Einsatz von Office 365 teilweise für unzulässig erklärt, wenn keine ausreichenden Maßnahmen getroffen werden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) erwartet von Unternehmen, dass Microsoft die personenbezogenen Daten vertraglich nur gemäß den vereinbarten Zwecken verarbeitet. Ein Verweis auf den Namen Microsoft reicht als Nachweis nicht aus.

Warum Sie nicht einfach weitermachen können

Telemetrie und Diagnosedaten

In der Standardeinstellung sendet Microsoft 365 umfangreiche Telemetrie- und Diagnosedaten an Microsoft. Diese Daten umfassen unter anderem Nutzungsmuster, Informationen über verwendete Funktionen, Absturzberichte und Performance-Metriken. Teile dieser Daten können personenbezogene Informationen enthalten oder Rückschlüsse auf einzelne Mitarbeitende ermöglichen.

Die DSK hat diese Datenübermittlung als datenschutzrechtlich problematisch eingestuft, weil Microsoft nicht transparent genug offenlegt, welche Daten genau erhoben werden und zu welchen Zwecken sie verarbeitet werden. Für Sie als Verantwortlicher bedeutet das: Sie müssen die Telemetrie aktiv auf das erforderliche Minimum reduzieren.

Connected Experiences und KI-Funktionen

Microsoft 365 bietet sogenannte Connected Experiences – Funktionen, die Ihre Inhalte analysieren, um Vorschläge zu machen: Designideen in PowerPoint, Übersetzungen in Word, Ähnlichkeitssuche in Outlook. Diese Funktionen übertragen Inhalte an Microsoft-Server zur Verarbeitung.

Für KI-gestützte Funktionen wie den Microsoft Editor oder die Zusammenfassungsfunktion in Teams gilt dasselbe: Ihre Geschäftsdaten werden an Microsoft-Dienste übermittelt und dort verarbeitet. Für den Einsatz von Microsoft Copilot gibt es eine eigene Datenschutz-Betrachtung, die über die hier beschriebenen M365-Grundeinstellungen hinausgeht.

Sie müssen entscheiden und dokumentieren, welche Connected Experiences Sie zulassen und welche Sie zentral deaktivieren.

Teams: Aufzeichnungen, Chat-Daten und Gastzugriff

Microsoft Teams ist für viele Hamburger Unternehmen das zentrale Kommunikationstool geworden. Datenschutzrechtlich birgt es mehrere Risiken:

  • Aufzeichnungen werden standardmäßig in OneDrive oder SharePoint gespeichert, ohne automatische Löschfrist
  • Chat-Nachrichten werden unbegrenzt gespeichert, sofern Sie keine Aufbewahrungsrichtlinie definieren
  • Gastzugriff kann dazu führen, dass externe Personen auf interne Daten zugreifen
  • Transkriptionsfunktionen verarbeiten gesprochene Inhalte über Microsoft-Server

Ohne klare Richtlinien und technische Konfiguration sammelt Teams mehr personenbezogene Daten, als Ihnen bewusst ist.

OneDrive und SharePoint: Freigabeeinstellungen

Die Standardeinstellungen für OneDrive und SharePoint erlauben in vielen Konfigurationen die Freigabe von Dateien über anonyme Links – also Links, die ohne Anmeldung funktionieren. Wenn ein Mitarbeiter versehentlich einen solchen Link für ein Dokument mit Kundendaten erstellt, liegt ein Datenschutzvorfall vor.

Darüber hinaus müssen Sie konfigurieren, wie lange geteilte Links gültig bleiben, ob externe Freigaben überhaupt erlaubt sind und welche Daten in persönlichen OneDrive-Ordnern gespeichert werden dürfen.

Exchange Online: Aufbewahrung und Datensicherung

E-Mails in Exchange Online werden standardmäßig unbegrenzt aufbewahrt. Das widerspricht dem Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Sie benötigen Aufbewahrungsrichtlinien, die E-Mails nach einem definierten Zeitraum automatisch löschen – unter Berücksichtigung gesetzlicher Aufbewahrungsfristen (z. B. HGB, AO).

Datenverarbeitung und Drittlandtransfer: Data Privacy und Daten in die USA

Schrems II und die Folgen

Microsoft ist ein US-amerikanisches Unternehmen. Auch wenn Microsoft europäische Rechenzentren betreibt, besteht nach US-Recht (insbesondere FISA 702 und Executive Order 12333) grundsätzlich die Möglichkeit, dass US-Behörden auf Daten zugreifen – unabhängig davon, wo diese physisch gespeichert sind. Das Schrems-II-Urteil des EuGH hat das Privacy Shield für unwirksam erklärt und klargestellt, dass Standardvertragsklauseln allein nicht ausreichen, wenn das Datenschutzniveau im Empfängerland nicht gewährleistet ist.

EU-US Data Privacy Framework

Das im Juli 2023 verabschiedete EU-US Data Privacy Framework (DPF) bietet einen neuen Rahmen für den Datentransfer in die USA. Das DPF ist der Angemessenheitsbeschluss der Europäischen Kommission, der die Übertragung personenbezogener Daten in die USA auf der Grundlage des Privacy Framework ermöglicht. Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert. Das DPF ist aktuell eine gültige Rechtsgrundlage für den Datentransfer, allerdings bestehen rechtliche Unsicherheiten: Datenschutzexperten erwarten eine erneute Überprüfung durch den EuGH (ein sogenanntes „Schrems III”).

Für Ihr Unternehmen bedeutet das: Verlassen Sie sich nicht ausschließlich auf das DPF. Dokumentieren Sie zusätzliche Schutzmaßnahmen wie Verschlüsselung, Zugangsbeschränkungen und die EU Data Boundary als ergänzende Garantien. Die vertraglich zugesicherte Data Protection durch die Microsoft Corporation ersetzt nicht Ihre eigene Verantwortung als Verantwortlicher. Unternehmen sollten die Übertragung personenbezogener Daten in die USA auf der Grundlage des Privacy Framework dokumentieren, aber gleichzeitig Standardvertragsklauseln als Rückfallposition bereithalten.

Die EU Data Boundary

Microsoft hat seit Januar 2024 die EU Data Boundary für die Kerndienste von Microsoft 365 umgesetzt. Das bedeutet, dass Kundendaten innerhalb der EU gespeichert und verarbeitet werden sollen. Allerdings gibt es wichtige Ausnahmen:

  • Supportanfragen können dazu führen, dass Daten außerhalb der EU verarbeitet werden
  • Sicherheitsdienste wie Microsoft Defender können Daten global verarbeiten
  • Optionale Dienste fallen möglicherweise nicht unter die EU Data Boundary

Sie müssen genau dokumentieren, welche Dienste Sie nutzen und ob diese unter die EU Data Boundary fallen.

Der AVV mit Microsoft

Microsoft stellt ein umfassendes Data Processing Agreement (DPA) bereit, das die Anforderungen an einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erfüllen soll. Dieses DPA müssen Sie über das Microsoft 365 Admin Center aktiv akzeptieren.

Prüfen Sie im DPA insbesondere:

  • Unterauftragsverarbeiter: Microsoft setzt eine Vielzahl von Unterauftragsverarbeitern ein. Die aktuelle Liste finden Sie auf der Microsoft-Website. Sie müssen diese regelmäßig prüfen.
  • Technische und organisatorische Maßnahmen: Microsofts TOM sind im DPA referenziert. Dokumentieren Sie, dass Sie diese geprüft und als angemessen bewertet haben.
  • Weisungsbindung: Das DPA regelt, wie Microsoft Ihre Daten verarbeitet. Stellen Sie sicher, dass dies Ihren Anforderungen entspricht.
  • Löschfristen: Klären Sie, wie und wann Microsoft Daten nach Vertragsende löscht.

Ein nicht abgeschlossenes DPA macht Ihre gesamte Microsoft-365-Nutzung rechtswidrig – unabhängig davon, wie gut Ihre technischen Einstellungen sind. Solange Microsoft 365 verarbeitet, ohne dass ein vertraglich geregelter AVV vorliegt, kann die Nutzung von Office 365 nicht datenschutzkonform eingesetzt werden.

Checkliste: DSGVO-konformer Einsatz von Microsoft 365 für Unternehmen

Telemetrie und Diagnosedaten einschränken

  • Diagnosedaten auf die niedrigste Stufe setzen (Gruppenrichtlinie oder Microsoft 365 Apps Admin Center)
  • Optional verbundene Erfahrungen (Connected Experiences) zentral deaktivieren
  • Sicherstellen, dass diese Einstellungen für alle Nutzer gelten und nicht individuell geändert werden können

Teams absichern

  • Aufbewahrungsrichtlinie für Chat-Nachrichten und Aufzeichnungen definieren
  • Automatische Löschung von Aufzeichnungen nach definierter Frist einrichten
  • Externe Kommunikation und Gastzugriff auf das Notwendige beschränken
  • Transkription und automatische Zusammenfassungen bewusst aktivieren oder deaktivieren

OneDrive und SharePoint konfigurieren

  • Anonyme Freigabelinks deaktivieren oder auf Personen mit Authentifizierung beschränken
  • Ablaufdatum für geteilte Links festlegen
  • Externe Freigaben auf genehmigte Domänen einschränken
  • DLP-Richtlinien (Data Loss Prevention) für sensible Daten einrichten

Exchange Online einrichten

  • Aufbewahrungsrichtlinien definieren, die gesetzliche Fristen berücksichtigen
  • Automatische Löschung nach Ablauf der Aufbewahrungsfrist konfigurieren
  • E-Mail-Verschlüsselung (OME) für den Versand sensibler Daten aktivieren
  • Audit-Protokollierung aktivieren und Aufbewahrungsdauer festlegen

Organisationsweite Richtlinien setzen

  • Microsoft 365 DPA im Admin Center akzeptieren und archivieren
  • Conditional-Access-Richtlinien für den Zugriff einrichten
  • Multi-Faktor-Authentifizierung (MFA) für alle Nutzer aktivieren
  • Berechtigungskonzept erstellen und regelmäßig überprüfen

Typische Fehler, die Hamburger Unternehmen machen

In unserer Beratungspraxis sehen wir bei Microsoft 365 immer wieder dieselben Versäumnisse:

  • Kein DPA akzeptiert: Die Lizenz wurde gekauft, aber das DPA im Admin Center nie aktiv angenommen.
  • Standardeinstellungen nie geprüft: Telemetrie, Connected Experiences und Freigabeeinstellungen sind seit der Einrichtung unverändert.
  • Keine Aufbewahrungsrichtlinien: E-Mails und Teams-Chats werden unbegrenzt gespeichert – ein Verstoß gegen die Speicherbegrenzung der DSGVO.
  • Kein Verzeichnis der Verarbeitungstätigkeiten: Microsoft 365 taucht nicht im VVT auf oder nur pauschal ohne Angabe der einzelnen Dienste.
  • Keine Dokumentation: Es gibt keinen Nachweis darüber, welche Konfigurationsmaßnahmen ergriffen wurden – bei einer Prüfung durch den HmbBfDI ein ernstes Problem.

So hilft frag.hugo beim datenschutzkonformen Einsatz von Microsoft 365

Datenschutzberatung zu Microsoft 365 — DSFA, Tenant-Konfiguration und DSGVO-konformer Einsatz

Mit über 25 Jahren Erfahrung in Datenschutz und IT-Sicherheit kennen Nils Oehmichen und Jens Hagel die Herausforderungen, vor denen Hamburger Unternehmen bei Microsoft 365 stehen. Wir kombinieren datenschutzrechtliche Expertise mit technischem Verständnis – denn bei M365 reicht juristisches Wissen allein nicht aus. Die Einhaltung der DSGVO beim Betrieb von Microsoft 365 erfordert sowohl die korrekte Konfiguration der cloudbasierten Microsoft 365-Anwendungen als auch die Absicherung der zugrunde liegenden Infrastruktur, einschließlich Azure AD (jetzt Entra ID). Die Data Privacy muss dabei auf allen Ebenen sichergestellt werden.

Unser Ansatz:

  1. Bestandsaufnahme: Wir analysieren Ihre aktuelle M365-Konfiguration anhand unserer Checkliste mit über 40 datenschutzrelevanten Einstellungen.
  2. Bericht mit Handlungsempfehlungen: Sie erhalten einen verständlichen Bericht, der genau aufzeigt, wo Handlungsbedarf besteht – mit Schritt-für-Schritt-Anleitungen.
  3. Umsetzungsbegleitung: Auf Wunsch setzen wir die Maßnahmen gemeinsam mit Ihrer IT-Abteilung oder Ihrem IT-Dienstleister um.
  4. Dokumentation: Wir erstellen die erforderliche DSGVO-Dokumentation – vom VVT-Eintrag über die TOM-Beschreibung bis zum DPA-Nachweis.
  5. Laufende Betreuung: Als Ihr externer Datenschutzbeauftragter behalten wir auch künftige Änderungen an Microsoft 365 im Blick und passen die Konfiguration bei Bedarf an.

Sie können Ihre aktuelle Website-Compliance übrigens sofort mit unserem Website-Check prüfen lassen – kostenlos und in wenigen Sekunden.

DSFA: Ist Microsoft 365 datenschutzkonform einsetzbar?

Die Datenschutzkonferenz (DSK) — die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder — hat in ihrer Arbeitsgruppe Microsoft Office 365 (Office 365) umfassend bewertet. Das Ergebnis: Ein datenschutzkonformer Einsatz von Microsoft 365 ist unter bestimmten Voraussetzungen möglich, aber keineswegs selbstverständlich. Die DSK hat klargestellt, dass Microsoft als Auftragsverarbeiter die Daten nur auf dokumentierte Weisung des Auftraggebers verarbeiten darf.

Unternehmen und Behörden, die M365 nutzen, müssen sicherstellen, dass Microsoft die personenbezogenen Daten nur im Rahmen der vertraglich vereinbarten Zwecke verarbeitet. Die Nutzung von Office 365 erfordert aktive Konfigurationsmaßnahmen — ein bloßes Lizenzieren und Nutzen genügt datenschutzrechtlich nicht.

Datenschutz-Folgenabschätzung (DSFA) für die Nutzung von Microsoft 365

Eine DSFA nach Art. 35 DSGVO ist beim Einsatz von Microsoft 365 für Unternehmen in der Regel erforderlich. Die Datenverarbeitung durch M365 betrifft potenziell alle Mitarbeitenden und umfasst E-Mail-Inhalte, Dokumente, Chat-Verläufe und umfangreiche Diagnosedaten. Die Aufsichtsbehörde erwartet eine dokumentierte Risikobewertung, die den konkreten Betrieb von Microsoft 365 auf eigenen IT-Strukturen oder in der Cloud berücksichtigt.

Die DSFA sollte insbesondere folgende Aspekte abdecken:

  • Welche personenbezogenen Daten werden in Microsoft 365 verarbeitet (E-Mails, Dokumente, Telemetriedaten)?
  • Welche Daten an Microsoft übermittelt werden — insbesondere Diagnosedaten und Telemetriedaten über eine entsprechende Infrastruktur
  • Filterung bei der Übermittlung personenbezogener Telemetriedaten: Welche Konfigurationsmöglichkeiten nutzen Sie, um die Übermittlung zu unterbinden?
  • Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen oder die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients
  • Inhaltsverschlüsselung nach dem Stand der Technik für besonders sensible Daten

Was sagen deutsche Datenschutzbehörden zu Microsoft 365?

Die Datenschutzkonferenz hat 2024 ihre Bewertung teilweise aktualisiert. Der Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework vom Juli 2023 ermöglicht die Übermittlung personenbezogener Daten in die USA auf der Grundlage des DPF — sofern Microsoft unter dem Framework zertifiziert ist. Die Microsoft Corporation ist zertifiziert.

Die Hamburger Aufsichtsbehörde (HmbBfDI) erwartet dennoch, dass Hamburger Unternehmen die Nutzung von Microsoft 365 aktiv konfigurieren und dokumentieren. Unternehmen sollten nicht davon ausgehen, dass das EU Data Privacy Framework alle datenschutzrechtlichen Bedenken ausräumt. Ergänzende technische und organisatorische Maßnahmen (TOMs) bleiben erforderlich.

Checkliste: Welche Punkte sind bei Microsoft 365 zu prüfen?

Für einen vollständigen DSGVO konformen Einsatz von Microsoft 365 sollten Unternehmen folgende Punkte systematisch prüfen:

  1. DPA-Status: Ist das Data Processing Agreement mit der Microsoft Corporation aktiv akzeptiert? Wurde es archiviert?
  2. Telemetriedaten: Sind die Diagnosedaten auf die niedrigste Stufe gesetzt? Ist die Filterung bei der Übermittlung personenbezogener Telemetriedaten konfiguriert?
  3. Connected Experiences: Welche cloudbasierten Funktionen sind aktiviert? Welche können Sie unterbinden?
  4. EU Data Boundary: Welche Dienste fallen unter die EU-Datenhaltung? Werden Daten in Microsoft 365 ausschließlich in der EU verarbeitet?
  5. DSFA: Liegt eine aktuelle Datenschutz-Folgenabschätzung für den Einsatz von Microsoft 365 vor?
  6. Standardvertragsklauseln: Sind ergänzende Garantien neben dem EU-US Data Privacy Framework dokumentiert?
  7. Windows-Konfiguration: Sind die Windows 10 Enterprise bzw. Windows 11 Telemetrieeinstellungen ebenfalls minimiert?
  8. Berechtigungskonzept: Ist der Zugriff auf SharePoint, OneDrive und Outlook rollenbasiert konfiguriert?
  9. Aufbewahrungsrichtlinien: Sind Löschfristen für Microsoft Teams, Exchange und OneDrive definiert?
  10. Betriebsvereinbarung: Liegt bei Betriebsratspflicht eine Vereinbarung zum Einsatz von Office 365 vor?

Ist Windows DSGVO-konform?

Windows 10 und Windows 11 senden ebenfalls Diagnosedaten an Microsoft. Die DSK hat diese Datenübermittlung als datenschutzrechtlich relevant eingestuft. Für Windows 10 Enterprise und neuere Versionen stehen Gruppenrichtlinien zur Verfügung, mit denen Sie die Übermittlung von Diagnosedaten auf die niedrigste Stufe setzen oder ganz unterbinden können.

Beachten Sie: Die Konfiguration von Windows und die Konfiguration von Microsoft 365 sind zwei getrennte Aufgaben. Auch wenn Sie M365 datenschutzkonform konfiguriert haben, können über das Betriebssystem weiterhin personenbezogene Daten an Microsoft fließen.

Microsoft 365 für Unternehmen und Behörden: DSGVO-konformen Einsatz sicherstellen

Zusammengefasst müssen Hamburger Unternehmen für einen datenschutzkonformen Einsatz von Microsoft 365 folgende Punkte sicherstellen:

  1. DPA aktiv akzeptiert — Das Microsoft Data Processing Agreement im Admin Center annehmen und archivieren
  2. Telemetriedaten minimiert — Diagnosedaten auf die niedrigste Stufe setzen
  3. Connected Experiences gesteuert — Nicht benötigte cloudbasierte Funktionen deaktivieren
  4. EU Data Boundary aktiviert — Prüfen, welche Dienste abgedeckt sind
  5. DSFA durchgeführt — Datenschutz-Folgenabschätzung dokumentiert
  6. VVT aktualisiert — Microsoft 365 als Verarbeitungstätigkeit mit allen Diensten (Teams, SharePoint, OneDrive, Outlook, Exchange) eingetragen
  7. Aufbewahrungsrichtlinien definiert — Löschfristen für E-Mails, Teams-Chats und Aufzeichnungen
  8. Berechtigungskonzept geprüft — Zugriffsrechte minimiert, SharePoint-Freigaben kontrolliert
  9. Mitarbeitende geschult — Sensibilisierung für den datenschutzkonformen Umgang mit M365
  10. Regelmäßige Überprüfung — Konfiguration bei Microsoft-Updates und neuen Funktionen anpassen

Benötigen Sie Unterstützung bei der Umsetzung? Unser DSGVO-Audit prüft Ihren gesamten Compliance-Status — inklusive Microsoft 365.

Unter welchen Voraussetzungen kann Microsoft 365 datenschutzkonform eingesetzt werden?

Microsoft 365 kann datenschutzkonform eingesetzt werden, wenn folgende Voraussetzungen erfüllt sind: Das DPA mit der Microsoft Corporation ist vertraglich abgeschlossen, die Telemetriedaten sind auf das Minimum reduziert, eine DSFA liegt vor und die EU Data Boundary ist aktiviert. Die Datenschutzkonferenz hat klargestellt, dass ein DSGVO-konformer Einsatz von Office 365 technisch und organisatorisch möglich ist — aber nur bei aktiver Konfiguration durch den Verantwortlichen. Ohne diese Maßnahmen kann M365 nicht konform betrieben werden.

Ist Microsoft Forms datenschutzkonform?

Microsoft Forms ist ein häufig genutztes Tool für Umfragen, Feedbackbögen und Anmeldeformulare innerhalb von Microsoft 365. Ob Microsoft Forms datenschutzkonform ist, hängt von der Konfiguration und dem Einsatzzweck ab. Grundsätzlich gilt: Die über Forms erhobenen Daten werden auf Microsoft-Servern gespeichert und unterliegen dem Data Processing Agreement (DPA). Sind die Daten in Office 365 vertraulich behandelt und die EU Data Boundary aktiviert, verbleiben die Antworten innerhalb der EU.

Problematisch wird es, wenn über Microsoft Forms personenbezogene Daten erhoben werden — z. B. Mitarbeiterbefragungen mit Gesundheitsfragen oder Kundenzufriedenheitsumfragen mit Kontaktdaten. In diesen Fällen benötigen Sie eine klare Rechtsgrundlage, eine Datenschutzerklärung für die Umfrage und gegebenenfalls eine DSFA. Externe Teilnehmer müssen vor dem Ausfüllen über die Verarbeitung informiert werden. Die Ergebnisse dürfen nur zweckgebunden gespeichert und müssen nach Ablauf der Aufbewahrungsfrist gelöscht werden.

Sind die Daten in Office 365 vertraulich?

Die Vertraulichkeit Ihrer Daten in Office 365 hängt maßgeblich von Ihrer Konfiguration ab. Microsoft bietet als Auftragsverarbeiter vertragliche Zusicherungen zur Vertraulichkeit im DPA. Dennoch bestehen berechtigte Bedenken: Telemetriedaten fließen standardmäßig an Microsoft, Connected Experiences analysieren Ihre Inhalte, und US-Behörden können unter bestimmten Umständen Zugriff auf Daten verlangen — selbst wenn diese in der EU gespeichert sind.

Um die Vertraulichkeit Ihrer Daten in Office 365 sicherzustellen, müssen Sie aktiv handeln: Telemetrie auf das Minimum reduzieren, Connected Experiences deaktivieren, die EU Data Boundary aktivieren und für besonders sensible Dokumente zusätzliche Verschlüsselung einsetzen. Microsoft Purview Information Protection bietet Klassifizierungs- und Verschlüsselungsfunktionen, mit denen Sie vertrauliche Dokumente systematisch schützen können. Ohne diese Maßnahmen können Sie die Vertraulichkeit Ihrer Geschäftsdaten in Office 365 nicht gewährleisten.

Nutzung von Microsoft 365: DSFA und Datenverarbeitung dokumentieren

Für den DSGVO konformen Einsatz von Microsoft 365 ist eine vollständige Dokumentation der Datenverarbeitung unverzichtbar. Die DSFA muss alle Aspekte der Nutzung von Microsoft 365 abbilden — von der Verarbeitung in den Kerndiensten (Outlook, Teams, SharePoint, OneDrive) bis hin zu den Diagnosedaten, die Windows an Microsoft sendet.

Nutzung von Microsoft 365 DSGVO-konform — Datenschutzkonformer Einsatz mit DSFA und EU Data Boundary

Die DSK hat in ihrer Bewertung festgestellt, dass Microsoft 365 nicht pauschal für unzulässig erklärt werden kann, wenn Unternehmen die technischen und organisatorischen Maßnahmen umsetzen. Der datenschutzkonformer Einsatz von Microsoft 365 setzt voraus, dass Sie die Datenflüsse genau kennen und kontrollieren. Dazu gehört insbesondere die Frage, welche EU Data Boundary-Optionen verfügbar sind und wie Sie sicherstellen, dass keine personenbezogenen Daten unkontrolliert in die USA übertragen werden.

Microsoft 365 und der Betriebsrat

In Unternehmen mit Betriebsrat ist die Einführung und Konfiguration von Microsoft 365 mitbestimmungspflichtig. Die umfangreichen Überwachungsmöglichkeiten — von Aktivitätsprotokollen über Anwesenheitsanzeigen bis zu Nutzungsstatistiken — lösen die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG aus. Schließen Sie eine Betriebsvereinbarung ab, die den datenschutzkonformen Einsatz von M365 regelt und die Nutzung von Überwachungsfunktionen klar eingrenzt. Der Datenschutzbeauftragte sollte bei der Erstellung der Betriebsvereinbarung einbezogen werden, um sicherzustellen, dass die datenschutzrechtlichen Anforderungen vollständig berücksichtigt werden.

DSGVO-konformer Einsatz: MS 365 datenschutzkonform eingesetzt

Damit Microsoft 365 datenschutzkonform eingesetzt werden kann, müssen Hamburger Unternehmen einen systematischen Ansatz verfolgen. Der DSGVO-konforme Einsatz erfordert nicht nur technische Konfiguration, sondern auch organisatorische Maßnahmen und eine lückenlose Dokumentation. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat klargestellt, dass die Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten eine Grundvoraussetzung für den datenschutzkonformen Einsatz darstellt.

Unternehmen sollten dabei folgende Aspekte berücksichtigen:

  • Verarbeitung auf eigenen IT-Strukturen des Verantwortlichen prüfen — wo möglich, Daten lokal statt in der Cloud verarbeiten
  • Azure AD (Entra ID) als Identity-Provider korrekt konfigurieren — Conditional Access, MFA und Berechtigungskonzepte
  • DSGVO-konformen Einsatz dokumentieren — alle Maßnahmen für die Aufsichtsbehörde nachweisbar festhalten
  • Regelmäßige Überprüfung — bei jedem Microsoft-Update die Konfiguration anpassen

Microsoft Copilot und Datenschutz

Microsoft Copilot — die KI-Integration in Microsoft 365 — verarbeitet Ihre Unternehmensdaten, um Zusammenfassungen, Entwürfe und Analysen zu erstellen. Aus Datenschutzsicht ergeben sich dabei zusätzliche Herausforderungen: Copilot greift auf E-Mails, Dokumente, Chats und Kalendereinträge zu. Ohne ein sauberes Berechtigungskonzept kann Copilot auf Informationen zugreifen, die für den jeweiligen Nutzer eigentlich nicht bestimmt sind. Prüfen Sie vor der Aktivierung von Copilot Ihre SharePoint-Berechtigungen, OneDrive-Freigaben und Teams-Zugriffsrechte — und dokumentieren Sie die Datenschutz-Folgenabschätzung für den Copilot-Einsatz separat.

Daten nur auf dokumentierte Weisung des Auftraggebers verarbeiten

Microsoft als Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung des Auftraggebers verarbeiten. Unternehmen sollten sicherstellen, dass Microsoft die personenbezogenen Daten in Microsoft 365 ausschließlich gemäß den vertraglich vereinbarten Zwecken verarbeitet. Der Einsatz von Office 365 erfordert, dass Sie als Verantwortlicher jederzeit nachweisen können, welche Daten an Microsoft übermittelt werden und welche Verarbeitung stattfindet. Die Microsoft Corporation hat sich im DPA dazu verpflichtet — prüfen Sie dennoch regelmäßig, ob die tatsächliche Datenverarbeitung den vertraglichen Vereinbarungen entspricht.

Nächste Schritte

Microsoft 365 ist kein Produkt, das Sie einmal einrichten und dann vergessen können. Mit jeder neuen Funktion, jedem Update und jeder Änderung an den Nutzungsbedingungen ändern sich die datenschutzrechtlichen Anforderungen. Was heute korrekt konfiguriert ist, kann morgen schon nicht mehr ausreichen. Dass ein datenschutzkonformer Einsatz von Microsoft 365 auf Basis der aktuellen DSK-Empfehlungen und des EU-US Data Privacy Framework möglich ist, haben wir in unserer Beratungspraxis vielfach bewiesen — Microsoft 365 kann datenschutzkonform genutzt werden, wenn der DSGVO-konforme Einsatz konsequent umgesetzt wird. Die Einhaltung der DSGVO beim Betrieb von Microsoft 365 erfordert fortlaufende Aufmerksamkeit — ein Einsatz möglich, aber nur mit den richtigen Maßnahmen.

Büro der frag.hugo GmbH — Microsoft 365 DSGVO-Beratung und datenschutzkonformer Einsatz für Hamburger Unternehmen

Handeln Sie jetzt, bevor der HmbBfDI nach Ihrer M365-Dokumentation fragt. Die Aufsichtsbehörde erwartet einen vollständig dokumentierten, datenschutzkonformen Einsatz — Unwissenheit schützt nicht vor Bußgeldern.

Buchen Sie ein kostenloses Erstgespräch – wir prüfen gemeinsam, wie DSGVO-konform Ihre Microsoft-365-Umgebung wirklich ist. Ob der Einsatz von Microsoft 365 in Ihrem Unternehmen den Anforderungen der DSGVO entspricht, klären wir in einem persönlichen Gespräch. Dass Microsoft 365 für Unternehmen sicher und datenschutzrechtlich korrekt betrieben werden kann, beweisen wir täglich in unserer Beratungspraxis.

FAQ

Microsoft 365 datenschutzkonform einsetzen — FAQ

Ja, aber nicht in der Standardkonfiguration. Microsoft 365 kann datenschutzkonform eingesetzt werden, wenn Unternehmen und Behörden gezielte Maßnahmen ergreifen: Telemetriedaten und Diagnosedaten auf das Minimum reduzieren, Connected Experiences deaktivieren, den AVV (Data Processing Agreement) mit der Microsoft Corporation vertraglich korrekt abschließen und die EU Data Boundary aktivieren. Ohne diese Konfiguration findet eine unzulässige Datenverarbeitung statt, die die DSK — die Datenschutzkonferenz — wiederholt als datenschutzrechtlich problematisch eingestuft hat. Dass ein datenschutzkonformer Einsatz von Microsoft Office 365 auf Basis der DSK-Empfehlungen möglich ist, zeigen zahlreiche Praxisbeispiele.

Die EU Data Boundary ist Microsofts Zusage, dass Kundendaten europäischer Unternehmen und Behörden ausschließlich innerhalb der EU gespeichert und die Datenverarbeitung in der EU stattfindet. Seit Januar 2024 gilt dies für die Kerndienste von Microsoft 365, Azure und Dynamics 365. Allerdings gibt es Ausnahmen bei der Verarbeitung – etwa bei Supportanfragen oder bestimmten Sicherheitsdiensten. Die EU Data Boundary stellt einen wichtigen Baustein für den DSGVO-konformen Einsatz dar, ersetzt aber weder die DSFA noch das DPA. Die DSK empfiehlt, die EU Data Boundary in Kombination mit dem EU-US Data Privacy Framework und Standardvertragsklauseln einzusetzen.

Ja, zwingend. Microsoft stellt ein Data Processing Agreement (DPA) bereit, das als AVV nach Art. 28 DSGVO fungiert und die Datenverarbeitung vertraglich regelt. Dieses müssen Sie über das Microsoft Admin Center aktiv akzeptieren und archivieren. Prüfen Sie die Regelungen zu Unterauftragsverarbeitern, Standardvertragsklauseln für Drittlandtransfers und den technischen und organisatorischen Maßnahmen. Ein nicht abgeschlossener AVV macht die gesamte Nutzung von Office 365 datenschutzrechtlich rechtswidrig — die DSK hat dies in ihrer Bewertung unmissverständlich klargestellt.

Microsoft 365 sendet in der Standardeinstellung umfangreiche Diagnose- und Telemetriedaten an Microsoft-Server — darunter Nutzungsmuster, Absturzberichte und Informationen über verwendete Funktionen. Über Gruppenrichtlinien oder das MS 365 Apps Admin Center können Sie die Diagnosedaten minimieren und die Übermittlung personenbezogener Telemetriedaten über eine entsprechende Infrastruktur unterbinden. Diese Konfigurationsmöglichkeiten müssen zentral für alle Nutzer ausgerollt werden. Die DSK berücksichtigt diese Filterung bei der Übermittlung personenbezogener Daten als wesentlichen Faktor für die Bewertung des DSGVO-konformen Einsatzes. Unternehmen sollten die Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen oder die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients erwägen.

Teams-Aufzeichnungen werden standardmäßig in OneDrive oder SharePoint gespeichert und können Links enthalten, die ohne Authentifizierung zugänglich sind – ein erhebliches Privacy-Risiko. Sie müssen die Freigaberichtlinien so konfigurieren, dass externe Freigaben eingeschränkt sind. Für Teams-Aufzeichnungen benötigen Sie zudem die Einwilligung aller Teilnehmenden und eine klare Aufbewahrungsrichtlinie mit automatischer Löschung nach definierter Frist.

Ja, die DSK empfiehlt dringend eine DSFA für den Einsatz von Microsoft 365 in Unternehmen und Behörden. Die Datenschutz-Folgenabschätzung dokumentiert systematisch, welche Datenverarbeitung durch Office 365 und die cloudbasierten Microsoft 365-Anwendungen stattfindet, welche Risiken für Betroffene bestehen und welche technischen und organisatorischen Maßnahmen Sie ergriffen haben. Dabei muss die DSFA den konkreten Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen berücksichtigen — einschließlich Inhaltsverschlüsselung nach dem Stand der Technik für besonders sensible Daten. Ohne DSFA können Sie den datenschutzkonformen Einsatz gegenüber der Aufsichtsbehörde nicht nachweisen.

Wir prüfen Ihre aktuelle Microsoft-365-Konfiguration systematisch anhand unserer Checkliste mit über 40 datenschutzrelevanten Einstellungen zur Datenverarbeitung. Sie erhalten einen detaillierten Bericht mit konkreten Handlungsempfehlungen für den DSGVO-konformen Einsatz – inklusive DSFA-Vorlage und AVV-Prüfung. Nils Oehmichen berät Sie persönlich, damit die Nutzung von Microsoft 365 in Ihrem Unternehmen vertraglich und technisch abgesichert ist.

Nein, die Nutzung von Microsoft Office 365 ist nicht verboten. Die Datenschutzkonferenz (DSK) — die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder — hat den Einsatz von Office 365 zwar kritisch bewertet, aber nicht generell für unzulässig erklärt. Entscheidend ist, dass Microsoft als Auftragsverarbeiter die Daten nur auf dokumentierte Weisung des Auftraggebers verarbeitet und dass Unternehmen die notwendigen Konfigurationsmöglichkeiten nutzen. Der datenschutzkonformen Einsatz von Microsoft 365 erfordert eine aktive Konfiguration — passives Nutzen der Standardeinstellungen genügt nicht.

Windows 10 Enterprise und Windows 11 senden eigenständig Telemetriedaten und Diagnosedaten an Microsoft — unabhängig von der Microsoft 365 Konfiguration. Das bedeutet: Selbst wenn Sie M365 datenschutzkonform konfiguriert haben, können über das Windows-Betriebssystem weiterhin personenbezogene Daten in die USA übertragen werden. Die DSK empfiehlt, die Diagnosedaten auch in Windows auf die niedrigste Stufe zu setzen und die Übermittlung personenbezogener Telemetriedaten über eine entsprechende Infrastruktur zu unterbinden. Beide Konfigurationen — Windows und Microsoft 365 — müssen separat dokumentiert werden.

Ja, Microsoft Office 365 kann DSGVO-konform genutzt werden — allerdings nicht in der Standardkonfiguration. Die DSK hat klargestellt, dass ein datenschutzkonformer Einsatz von Microsoft Office 365 unter bestimmten Voraussetzungen möglich ist: Das Data Processing Agreement muss vertraglich abgeschlossen sein, Telemetriedaten müssen auf das Minimum reduziert werden, die EU Data Boundary muss aktiviert sein und eine DSFA muss vorliegen. Die Verarbeitung personenbezogener Daten durch die Microsoft Corporation darf nur auf dokumentierte Weisung des Verantwortlichen erfolgen. Microsoft 365 für Unternehmen und Behörden erfordert eine aktive Konfiguration — passives Nutzen der Standardeinstellungen genügt den Privacy-Anforderungen nicht.

Die DSK (Datenschutzkonferenz) — die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder — hat den Einsatz von Microsoft 365 in ihrer Arbeitsgruppe umfassend bewertet. Die DSK hat die Datenverarbeitung durch MS 365 wiederholt als problematisch eingestuft und konkrete Empfehlungen für den DSGVO-konformen Einsatz formuliert. Dazu gehören die Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten, die vertraglich geregelte Verarbeitung über das DPA und die Filterung bei der Übermittlung personenbezogener Telemetriedaten. Die DSK-Bewertung ist zwar kein Verbot, aber Unternehmen und Behörden müssen die Empfehlungen ernst nehmen — der HmbBfDI orientiert sich an den DSK-Empfehlungen bei Prüfungen.

Die Kosten für eine Microsoft-365-DSGVO-Beratung hängen vom Umfang Ihrer M365-Umgebung ab. Ein initiales Tenant-Audit mit Bericht und Handlungsempfehlungen beginnt bei einem überschaubaren Festpreis. Im Rahmen einer laufenden Betreuung als externer Datenschutzbeauftragter ist die M365-Konfigurationsprüfung inklusive. Wir arbeiten mit einer transparenten Preisstruktur: Einzelstunden für ad-hoc-Fragen zur Datenverarbeitung oder Stundenpakete für umfassende Projekte wie DSFA, AVV-Prüfung und die vollständige datenschutzkonforme Konfiguration von Office 365. Kontaktieren Sie uns für ein individuelles Angebot — das Erstgespräch ist kostenlos.

DSK

kritische Bewertung von M365

40+

datenschutzrelevante Settings

0 €

Bußgelder bei unseren Mandanten

Die Datenschutzkonferenz hat Microsoft 365 wiederholt kritisch bewertet. Der HmbBfDI erwartet Nachweise, welche Maßnahmen Sie ergriffen haben. ‚Wir nutzen halt Microsoft' reicht nicht.

Jetzt absichern — Erstgespräch buchen
Vor Ort in Hamburg

Informations­sicherheit & Datenschutz in Hamburg

Hamburg ist einer der wichtigsten Wirtschaftsstandorte Deutschlands. Ob Logistik, Maritime Wirtschaft, Medien, E-Commerce oder Finanzdienstleister — jede Branche hat eigene Datenschutzanforderungen.

Als Unternehmen mit Sitz in Hamburg kennen wir den lokalen Markt und die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI). Wir wissen, wie die Behörde arbeitet und worauf sie bei Prüfungen achtet.

Unser Büro in der Spaldingstraße 64-68, 20097 Hamburg steht Ihnen für persönliche Vor-Ort-Termine offen.

Kontakt

frag.hugo Informationssicherheit GmbH
Spaldingstr. 64-68
20097 Hamburg
040 57308220-0
[email protected]
Erstgespräch buchen
Weitere Leistungen

Passend dazu

DSB
Empfohlen

Externer Datenschutzbeauftragter

M365-Konfiguration inklusive — laufende Betreuung.

Mehr erfahren
AVV
Art. 28

Auftragsverarbeitungsvertrag

AVV für Microsoft und alle weiteren Dienstleister.

Mehr erfahren
IT-Sicherheit
Technik

IT-Sicherheitsberatung

M365 Security-Konfiguration und Phishing-Schutz.

Mehr erfahren
Nils Oehmichen und Jens Hagel — Ihre Ansprechpartner bei frag.hugo

Nils Oehmichen & Jens Hagel — Ihre Ansprechpartner

Jetzt Erstgespräch vereinbaren

Oder: Lassen Sie Ihre Website kostenlos prüfen — in 60 Sekunden wissen Sie, wo Sie stehen.

Unverbindlich, persönlich, ohne versteckte Kosten.

Erstgespräch buchen Website kostenlos prüfen