AVV Auftragsverarbeitung DSGVO
AVV Auftragsverarbeitung – Muster, Inhalt und typische Fehler
AVV nach DSGVO Art. 28 richtig erstellen: Pflichtinhalte, häufige Fehler und Praxistipps für Hamburger KMU – mit Muster-Übersicht.
Weiterlesen Microsoft Teams DSGVO Microsoft 365 AVV KMU
Microsoft Teams DSGVO-konform nutzen – Einstellungen und AVV
Von Nils Oehmichen Datenschutzberater & Geschäftsführer
Microsoft Teams ist aus dem Arbeitsalltag nicht mehr wegzudenken. Rund 320 Millionen Nutzer weltweit arbeiten mit der Plattform. Doch gerade in Deutschland steht Teams regelmäßig in der Kritik: Die Datenschutzkonferenz (DSK) bemängelte fehlende Transparenz bei der Datenverarbeitung, unklare Vertragskonstellationen und den Datentransfer in die USA.
Trotzdem: Microsoft Teams lässt sich DSGVO-konform betreiben. Voraussetzung sind die richtigen Einstellungen, ein sauber abgeschlossener AVV und ein bewusster Umgang mit den Funktionen.
320 Mio.aktive Teams-Nutzer weltweit (2025)
62 %der deutschen Unternehmen nutzen Microsoft 365
0Bußgelder bisher allein wegen M365-Nutzung in DE
Warum steht Microsoft Teams datenschutzrechtlich in der Kritik?
Die DSK hat in ihrem Beschluss von November 2022 festgestellt, dass der Standard-AVV von Microsoft die Anforderungen aus Art. 28 Abs. 3 DSGVO nicht vollständig erfüllt. Die Hauptkritikpunkte:
- Eigene Geschäftszwecke: Microsoft verarbeitet Nutzungsdaten auch für eigene Zwecke — etwa interne Berichte oder die Berechnung von Mitarbeiterprovisionen. Das ist mit der Rolle als reiner Auftragsverarbeiter schwer vereinbar.
- CLOUD Act: Als US-Unternehmen unterliegt Microsoft dem CLOUD Act. US-Behörden können theoretisch Zugriff auf Daten verlangen — unabhängig vom Serverstandort.
- Telemetriedaten: Windows und Microsoft 365 senden standardmäßig umfangreiche Diagnose- und Telemetriedaten an Microsoft.
Allerdings: Seit 2023 hat Microsoft erheblich nachgebessert. Die EU Data Boundary sorgt dafür, dass Daten europäischer Kunden in EU-Rechenzentren verbleiben. Der hessische Datenschutzbeauftragte bestätigte 2025, dass Microsoft 365 datenschutzkonform einsetzbar ist.
AVV mit Microsoft: Was Sie wissen müssen
Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht, wenn Sie Microsoft Teams einsetzen. Die gute Nachricht: Microsoft stellt den AVV automatisch als Teil der Online Service Terms bereit — das sogenannte Data Protection Addendum (DPA).
Sie müssen also keinen separaten Vertrag aushandeln. Aber Sie sollten das DPA kennen und prüfen. Denn die DSK und mehrere Landesdatenschutzbehörden haben 2023 eine Handreichung veröffentlicht, die empfiehlt, zusätzliche Vereinbarungen mit Microsoft zu treffen.
Das sollten Sie beim DPA beachten:
- Prüfen Sie, ob das aktuelle DPA in Ihrem Admin Center hinterlegt ist
- Dokumentieren Sie, dass Sie das DPA zur Kenntnis genommen haben
- Ergänzen Sie gegebenenfalls individuelle Regelungen — etwa zu Löschfristen oder Subunternehmern
- Halten Sie die Dokumentation im Verarbeitungsverzeichnis fest
Welche Teams-Features sind datenschutzrelevant?
Nicht jede Teams-Funktion ist gleich kritisch. Diese Tabelle zeigt, worauf Sie achten müssen:
| Feature | Datenschutz-Risiko | Handlungsbedarf |
|---|---|---|
| Chat & Nachrichten | Mittel | Aufbewahrungsrichtlinien konfigurieren |
| Videokonferenzen | Mittel | Aufzeichnungen nur mit Einwilligung |
| Transkription & Untertitel | Hoch | Standardmäßig deaktivieren |
| Microsoft Copilot in Teams | Hoch | KI-Verarbeitung prüfen und steuern |
| Anwesenheitsstatus | Niedrig | Mitarbeitende informieren |
| Apps & Integrationen | Hoch | Drittanbieter-Apps einschränken |
| Gastbeitritte (extern) | Mittel | Gastzugang nur bei Bedarf aktivieren |
| Aktivitätsberichte | Hoch | Nur für Admins, Zweckbindung beachten |
Checkliste: DSGVO-Einstellungen im Teams Admin Center
Diese Einstellungen sollten Sie im Microsoft Teams Admin Center und Microsoft 365 Admin Center vornehmen:
Telemetrie und Diagnosedaten
- Diagnosedaten auf “Erforderlich” (minimale Stufe) setzen
- Connected Experiences für optionale Inhaltsanalyse deaktivieren
- Windows-Telemetrie auf “Sicherheit” oder “Erforderlich” begrenzen
Aufzeichnungen und KI
- Automatische Transkription deaktivieren
- Meeting-Aufzeichnungen nur mit expliziter Zustimmung erlauben
- Copilot-Funktionen prüfen und ggf. einschränken
Benutzerverwaltung und Zugriff
- Multi-Faktor-Authentifizierung (MFA) für alle Nutzer aktivieren
- Externe Freigabe auf bestimmte Domains beschränken
- Gastzugriff nur bei geschäftlicher Notwendigkeit freigeben
Datenspeicherung
- Aufbewahrungsrichtlinien für Chats und Dateien definieren
- Speicherort auf EU-Rechenzentren beschränken (EU Data Boundary)
- Löschfristen festlegen und automatisieren
Apps und Integrationen
- Drittanbieter-Apps im Teams Store einschränken
- Nur freigegebene Apps whitelisten
- Für jede App mit Datenzugriff einen separaten AVV prüfen
EU Data Boundary aktivieren
Seit Januar 2025 bietet Microsoft die EU Data Boundary für alle M365-Dienste an. Damit bleiben Kundendaten, Diagnosedaten und servicegenerierte Daten in EU-Rechenzentren. Aktivieren Sie diese Option im Microsoft 365 Admin Center unter "Organisationseinstellungen". Das beseitigt den DSK-Kritikpunkt zum Drittlandtransfer.
Technisch-organisatorische Maßnahmen dokumentieren
Neben den Einstellungen in Teams müssen Sie Ihre Schutzmaßnahmen im Datenschutzkonzept dokumentieren. Das betrifft:
- Zugriffskonzept: Wer darf welche Teams-Bereiche und Kanäle nutzen?
- Berechtigungskonzept: Admin-Rollen klar trennen (Global Admin vs. Teams Admin)
- Protokollierung: Audit-Logs aktivieren und regelmäßig auswerten
- Schulungen: Mitarbeitende zum datenschutzkonformen Umgang mit Teams schulen
- Datenschutzerklärung: Mitarbeitende und externe Teilnehmende über die Datenverarbeitung in Teams informieren
Diese Dokumentation gehört ins Verarbeitungsverzeichnis und ist bei einer Prüfung durch die Aufsichtsbehörde das Erste, was angefordert wird.
Was bei einer Datenpanne in Microsoft 365 zu tun ist
Trotz aller Maßnahmen kann es zu einer Datenpanne kommen — etwa durch kompromittierte Zugangsdaten oder falsch konfigurierte Freigaben. Dann gilt:
- Sofort reagieren: Betroffene Konten sperren, Passwörter zurücksetzen
- Dokumentieren: Vorfall lückenlos erfassen
- 72-Stunden-Frist: Meldung an die Aufsichtsbehörde, wenn personenbezogene Daten betroffen sind
- Betroffene informieren: Bei hohem Risiko für die Rechte der Betroffenen
Ein externer Datenschutzbeauftragter kann bei der Bewertung und Meldung unterstützen.
Nils Kamradt, Geschäftsführer frag.hugo: “Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen.”
Zusammenfassung: Microsoft Teams DSGVO-konform einsetzen
Das Wichtigste auf einen Blick:
- Microsoft Teams ist DSGVO-konform nutzbar -- aber nicht mit Standardeinstellungen.
- Der AVV (DPA) ist in den Online Service Terms enthalten. Prüfen und dokumentieren Sie ihn.
- Deaktivieren Sie Telemetrie, automatische Transkription und unnötige Drittanbieter-Apps.
- Aktivieren Sie die EU Data Boundary und MFA.
- Dokumentieren Sie alle Maßnahmen im Verarbeitungsverzeichnis und in Ihren TOM.
- Bei Unsicherheit: Lassen Sie Ihre M365-Konfiguration von einem Datenschutzexperten prüfen.
Microsoft 365 datenschutzkonform?
Wir prüfen Ihre M365-Konfiguration und stellen sicher, dass alles DSGVO-konform läuft.
M365-Check anfragen →Microsoft Teams DSGVO-konform nutzen — in Hamburg
Vom Startup in der HafenCity bis zum Handelsunternehmen in der Speicherstadt: Microsoft Teams ist in Hamburger Büros allgegenwärtig. Doch gerade bei Unternehmen mit Kundenkontakt in der Finanz- und Gesundheitsbranche reichen die Standardeinstellungen nicht aus. Wir konfigurieren M365 für Hamburger Unternehmen DSGVO-konform — inklusive AVV-Prüfung und TOM-Dokumentation. Mehr dazu bei unserer Datenschutzberatung in Hamburg.
Häufige Fragen (FAQ)
Ist Microsoft Teams DSGVO-konform einsetzbar?
Ja, aber nur mit den richtigen Einstellungen. Sie benötigen einen gültigen Auftragsverarbeitungsvertrag (AVV) mit Microsoft, müssen optionale Diagnosedaten deaktivieren und die Datenresidenz auf die EU beschränken.
Brauche ich einen AVV mit Microsoft für Teams?
Ja. Microsoft ist Auftragsverarbeiter nach Art. 28 DSGVO. Der AVV ist im Microsoft Products and Services Data Protection Addendum (DPA) enthalten und muss im Microsoft 365 Admin Center akzeptiert werden.
Welche Teams-Funktionen sind datenschutzrechtlich kritisch?
Besonders relevant sind: Aufzeichnung von Meetings, Anwesenheitsberichte, Activity Reports im Admin Center und die Integration von Drittanbieter-Apps. Jede dieser Funktionen erfordert eine eigene datenschutzrechtliche Bewertung.
Darf ich Teams-Meetings ohne Einwilligung aufzeichnen?
Nein. Alle Teilnehmer müssen vor der Aufzeichnung informiert werden und aktiv zustimmen. Teams zeigt zwar einen Hinweis an, aber Sie sollten zusätzlich im Meeting mündlich darauf hinweisen und den Zweck nennen.
Wo werden die Daten bei Microsoft Teams gespeichert?
Für Kunden mit Rechnungsadresse in der EU speichert Microsoft die Kerndaten in europäischen Rechenzentren. Prüfen Sie im Admin Center unter Organisationsprofil, ob Ihre Datenresidenz auf die EU eingestellt ist.
Inhaltsverzeichnis
Weiterlesen
Ähnliche Artikel
Google Workspace DSGVO Cloud
Google Workspace DSGVO – Was KMU bei der Nutzung beachten müssen
Google Workspace DSGVO-konform nutzen: AVV aktivieren, Einstellungen anpassen und Datenschutz-Checkliste für Hamburger KMU – Stand 2026.
Weiterlesen
Datenschutz Handwerk KMU
Datenschutz Handwerksbetrieb – Welche Pflichten gelten für kleine Firmen?
Datenschutz im Handwerk: Welche DSGVO-Pflichten für Hamburger Handwerksbetriebe gelten – und was Sie sich sparen können. Mit Checkliste.
Weiterlesen Über den Autor
Nils Oehmichen
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Nächster Schritt
Haben Sie Fragen?
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
