ArtikelRahmenThumnail V4 MS365 V1

Microsoft 365 | Datenschutz auf einen Blick

11. August 2022 MS365, Microsoft

Datenschutz in der Cloud ist für Administratoren in Deutschland oft ein Minenfeld. Spätestens seit der Kritik der Datenschutzkonferenz (DSK) und dem Wegfall des „Privacy Shield“ stehen IT-Abteilungen unter Druck. Doch Pauschalkritik hilft im Alltag nicht weiter.

Fakt ist: Microsoft 365 lässt sich nicht „out of the box“ datenschutzkonform betreiben. Es erfordert aktives Customizing. Microsoft liefert die Werkzeuge (Technical & Organizational Measures), aber du als Admin musst sie konfigurieren (Shared Responsibility).

Diese Checkliste führt dich durch die drei entscheidenden Ebenen: Vertragliches, Tenant-Härtung und Compliance-Features.

🆕 Update: Da sich die Cloud ständig wandelt, prüfen wir diesen Guide fortlaufend. Dennoch ist der Blick in die offizielle Microsoft-Dokumentation Pflicht, um bei kritischen Änderungen auf dem neuesten Stand zu bleiben.

📅 Stand | 21.12.2025

MS365 | DatenschutzMicrosoft 365 | Datenschutz Checkliste
MS365 | DatenschutzMicrosoft 365 | Datenschutz Guide
MS365 | AllgemeinVor- und Nachteile im Detail
MS365 | Allgemeinanlegen eines neuen Abos / Tenant
MS365 | Admin CenterEinstellungen der Organisation – Dienste
MS365 | Admin CenterEinstellungen der Organisation – Sicherheit und Datenschutz
MS365 | Admin CenterEinstellungen der Organisation – Organisationsprofil
MS365 | DatenschutzDatenschutz | Microsoft ENTRA ID
MS365 | DatenschutzDatenschutz | Microsoft Teams
MS365 | DatenschutzDatenschutz | Microsoft SharePoint
MS365 | DatenschutzDatenschutz | Microsoft Copilot
MS365 | DatenschutzDatenschutz mit Microsoft Purview
MS365 | Admin CenterPeople Settings / Profilkarte: Admin-Features & Fallstricke

Ebene 1: Die rechtliche Basis

Bevor du Regler im Admin Center schiebst, muss das fundamentale Papierwerk stimmen. Ohne diese Dokumente ist der Betrieb in der EU faktisch untersagt. Hier legst du das Fundament für die „Accountability“ (Rechenschaftspflicht) nach Art. 5 Abs. 2 DSGVO.

1. Auftragsverarbeitungsvertrag (AVV / DPA)

Die Zeiten, in denen man im Admin Center einfach einen Haken bei „Ja, ich will“ gesetzt hat, sind vorbei. Microsoft regelt dies mittlerweile über das zentrale „Data Protection Addendum (DPA)“, das Teil der Volumenlizenzverträge und des Microsoft Customer Agreements (MCA) ist.

  • Der Status Quo: Microsoft aktualisiert dieses Dokument regelmäßig (oft zum Jahresbeginn). Es enthält die EU-Standardvertragsklauseln (SCCs) der EU-Kommission von 2021, die als Rückfallebene dienen, sollte der aktuelle Angemessenheitsbeschluss kippen.
  • To-Do für Admins:
    1. Lade dir das aktuelle „Microsoft Products and Services Data Protection Addendum (DPA)“ herunter. Du findest es auf der offiziellen Microsoft Licensing Documents Seite oder im Microsoft Service Trust Portal.
    2. Lege es zu deinen Datenschutzunterlagen. Es ist der Beweis, dass Microsoft für dich weisungsgebunden arbeitet.
    3. Pro-Tipp: Prüfe im M365 Admin Center unter Einstellungen > Organisationseinstellungen > Organisationsprofil, ob dort spezifische Zusatzvereinbarungen gelistet sind (dies variiert je nach Lizenztyp: Enterprise vs. Business/CSP).

2. Verarbeitungsverzeichnis (VVT) pflegen

M365 ist kein „Selbstläufer“. Du musst im Verarbeitungsverzeichnis (Art. 30 DSGVO) genau dokumentieren, welche Daten in der Cloud landen. Ein Eintrag „Wir nutzen Office 365“ ist für Prüfer ein rotes Tuch.

  • Die notwendige Tiefe: Differenziere im VVT technisch sauber zwischen den Datenkategorien:
    • Inhaltsdaten (Customer Content): E-Mails, SharePoint-Dateien, Teams-Chats.
    • Diagnosedaten (Diagnostic Data): Telemetrie, Logs, Systemzustände (hierauf schauen Datenschützer besonders kritisch!).
    • Dienstgenerierte Daten: Lizenzstatus, Nutzer-IDs.
  • Tipp: Microsoft stellt im Trust Center detaillierte Listen bereit, welche Datenfelder (z. B. IP-Adressen, Subject-Lines) verarbeitet werden. Übernimm diese Kategorien in dein VVT, um Transparenz zu zeigen.

3. Transfer Impact Assessment (TIA)

Hier hat sich die Lage im Juli 2023 grundlegend geändert, aber Vorsicht ist weiterhin geboten.

  • Die neue Rechtslage: Seit dem EU-US Data Privacy Framework (TADPF) existiert wieder ein Angemessenheitsbeschluss. Formal dürfen Daten an zertifizierte US-Unternehmen (Microsoft ist gelistet) übermittelt werden, ohne dass komplexe Einzelfallprüfungen nötig sind.
  • Warum trotzdem ein TIA? Datenschutzbeauftragte und Experten raten weiterhin dringend zu einer (zumindest vereinfachten) Risikoabschätzung (TIA), und zwar aus zwei Gründen:
    • Rechtssicherheit (Plan B): Sollte der EuGH das Abkommen wieder kippen (Stichwort „Schrems III“), fällst du automatisch auf die Standardvertragsklauseln (SCCs) zurück. Diese erfordern zwingend ein TIA.
    • Transparenz: Du dokumentierst damit, warum der Einsatz sicher ist (z. B. durch Einsatz von Customer Key Encryption oder der EU Data Boundary, die Daten in Europa hält).
  • To-Do: Erstelle ein kurzes Dokument, das auf den Angemessenheitsbeschluss verweist, aber zusätzlich deine technischen Schutzmaßnahmen (Verschlüsselung, 2FA) auflistet.

Ebene 2: Technische Härtung des Tenants

Hier liegt die eigentliche Arbeit für Administratoren. Microsofts Philosophie lautet „Productivity first“, weshalb Standardeinstellungen oft auf maximale Datenübermittlung ausgelegt sind. Um dem Prinzip „Privacy by Default“ (Art. 25 DSGVO) näherzukommen, müssen wir die „Chattiness“ (Geschwätzigkeit) der Clients massiv einschränken.

4. Datenstandort prüfen (Data Residency)

Es reicht nicht mehr, nur auf den Speicherort der Mailbox zu schauen. Seit 2023/2024 rollt Microsoft die EU Data Boundary (EUDB) aus. Diese garantiert, dass nicht nur die Speicherung („Data at Rest“), sondern auch die Verarbeitung weitgehend innerhalb der EU-Grenzen stattfindet.

  • Der Check: Navigiere im Microsoft 365 Admin Center zu: Einstellungen > Organisationseinstellungen > Organisationsprofil > Datenstandort (Data Location).
    • Soll-Zustand: Hier muss für Exchange, SharePoint, OneDrive und Teams „EUR“ oder „DE“ gelistet sein.
    • Legacy-Tenants: Wenn dein Tenant vor 2020 erstellt wurde, stehen hier möglicherweise noch „United States“ oder „Global“. Prüfe an dieser Stelle, ob du für das (meist kostenlose) Data Residency Legacy Move Program berechtigt bist und beantrage den Umzug der Daten.
  • Wichtig: Die EU Data Boundary gilt automatisch für europäische Tenants. Du musst sicherstellen, dass deine Lizenzverträge in einer EU-Region geschlossen wurden, um davon zu profitieren.

5. Diagnosedaten und Telemetrie minimieren

Dies ist der Hauptkritikpunkt der Datenschutzkonferenz (DSK). Office-Anwendungen senden Telemetriedaten (Systemzustand, Absturzberichte, Feature-Nutzung) an Microsoft.

  • Die Herausforderung: Microsoft hat die Bezeichnungen geändert. Was früher „Basic“ war, heißt heute meist „Erforderlich“ (Required).
  • To-Do (Intune / GPO / Cloud Policy): Konfiguriere die Richtlinie: Konfigurieren der Ebene von an Microsoft gesendeten Clientsoftware-Diagnosedaten.
    • Empfohlener Wert:„Erforderlich“ (Required).
      • Erklärung: Dies sendet nur Daten, die technisch notwendig sind, um Office sicher und aktuell zu halten (z. B. „Word stürzt beim Öffnen ab“). Es werden keine Dokumentinhalte oder Nutzernamen übertragen.
    • Vermeide: „Optional“ (sendet detaillierte Nutzungsanalysen).
    • Spezialfall „Weder noch“ (Neither): Diese Einstellung unterbindet jegliche Telemetrie, ist aber in der Praxis kaum nutzbar, da sie teilweise Updates und Support-Funktionen behindert. „Erforderlich“ gilt als akzeptabler Kompromiss („Best Practice“).

6. „Verbundene Erfahrungen“ steuern

Hier wird es juristisch komplex: Bei vielen dieser Features (z. B. Übersetzer, 3D-Karten, Smart Lookup) agiert Microsoft nicht mehr als Auftragsverarbeiter, sondern als eigener Verantwortlicher (Controller). Die Daten verlassen also den streng geschützten Tenant-Bereich.

  • Die Unterscheidung:
    1. Erfahrungen, die Inhalte analysieren: PowerPoint Designer, Editor, Übersetzer. (Hohes Datenschutzrisiko, da Textinhalte an Microsoft-Server gesendet werden).
    2. Erfahrungen, die Online-Inhalte herunterladen: Vorlagen, Schriftarten, 3D-Modelle. (Geringeres Risiko).
  • Entscheidungshilfe:
    • Für Hochsicherheitsbereiche (HR, Forschung, KRITIS): Deaktiviere die inhaltsanalysierenden Dienste per Richtlinie (Verbundene Erfahrungen, die Ihre Inhalte analysieren).
    • Konsequenz: Nutzer beschweren sich oft, da beliebte „Komfort-Features“ (wie der Design-Assistent in PPT) verschwinden. Hier ist eine Abwägung zwischen Produktivität und Datensparsamkeit nötig.
  • Pro-Tipp: Wenn du diese Dienste zulässt, informiere die Nutzer in der Datenschutzerklärung explizit darüber, dass bei Nutzung des „Übersetzers“ Daten an Microsoft gesendet werden.

Ebene 3: Sicherheit als Datenschutz (TOMs)

Artikel 32 der DSGVO fordert „geeignete technische und organisatorische Maßnahmen“ (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für Microsoft 365 bedeutet das: Standard-Einstellungen reichen nicht. Ein ungehärteter Tenant ist anfällig für Ransomware und Datenabfluss – und damit ein potenzieller Datenschutzverstoß.

7. Identitätsschutz (MFA)

Zugriffskontrolle ist der wichtigste Hebel. Eine Kompromittierung (Identity Theft) gilt als meldepflichtiger Data Breach (binnen 72h).

  • Die Strategie: Aktiviere Multi-Faktor-Authentifizierung (MFA) für 100% der Nutzer (inkl. Admins!).
    • Option A (Basis/KMU): Nutze die „Sicherheitsstandards“ (Security Defaults) in Entra ID. Diese erzwingen MFA (Microsoft Authenticator App) für alle und blockieren unsichere Anmeldungen. Nachteil: „Alles oder Nichts“-Prinzip, kaum Ausnahmen möglich.
    • Option B (Enterprise/Business Premium): Nutze Conditional Access (Bedingter Zugriff). Damit kannst du granular steuern (z. B. „MFA nur außerhalb des Firmennetzes“ oder „MFA für alle, außer Notfall-Admins“). Voraussetzung: Entra ID P1 Lizenz.
  • Wichtig: Blockiere „Legacy Authentication“ (POP3, IMAP, SMTP). Diese Protokolle umgehen MFA oft und sind das Einfallstor Nr. 1 für Password-Spraying-Attacken.

8. Löschkonzepte (Retention Policies)

„Daten horten“ widerspricht dem Grundsatz der Speicherbegrenzung (Art. 5 DSGVO). Viele Admins verwechseln „Backup“ mit „Retention“.

  • Die Lösung: Nutze Microsoft Purview Data Lifecycle Management (ehemals Information Governance).
  • To-Do: Erstelle Aufbewahrungsrichtlinien (Retention Policies) im Purview Portal.
    • Szenario Löschen: „Lösche Chats in Teams automatisch nach 2 Jahren“ (Datensparsamkeit).
    • Szenario Aufbewahren: „Halte E-Mails der Buchhaltung für 10 Jahre fest (GoBD), auch wenn der Nutzer sie löscht“.
  • Der Vorteil: Automatisierung verhindert menschliche Fehler und stellt sicher, dass Altdaten fristgerecht vernichtet werden (Recht auf Vergessenwerden).

9. Externes Sharing begrenzen

Verhindere, dass interne Daten über anonyme Links („Jeder mit dem Link“) im Internet landen.

  • SharePoint / OneDrive Admin Center:
    • Setze die globale Freigabestufe auf „Neue und vorhandene Gäste“.
    • Deaktiviere „Jeder“ (Anyone-Links) oder setze zwingend ein Ablaufdatum (z. B. 30 Tage) und Kennwörter für solche Links.
    • Setze den Standard-Link-Typ auf „Nur Personen in Ihrer Organisation“, um versehentliche Freigaben zu minimieren.
  • Gäste-Management:
    • Gäste (Guest Users) verbleiben oft ewig im System. Nutze Access Reviews (Zugriffsüberprüfungen) in Entra ID, um Gruppenbesitzer regelmäßig zu fragen: „Braucht Gast XY noch Zugriff?“.
    • Hinweis: Für automatisierte Access Reviews wird eine Entra ID P2 Lizenz benötigt. Alternativ: Manuelle halbjährliche Prüfung per PowerShell-Script.

10. Auditierung & Logging (Nachweispflicht)

Ohne Logs kannst du im Ernstfall nicht feststellen, welche Daten abgeflossen sind (Art. 33/34 DSGVO).

  • Unified Audit Log: Stelle sicher, dass die Überwachung (Audit Log Search) im Purview Compliance Portal aktiviert ist.
  • Aufbewahrungsdauer:
    • Standard (E3/Business): Logs werden 180 Tage gespeichert.
    • Premium (E5): Logs werden 1 Jahr (bis zu 10 Jahre) gespeichert.
  • To-Do: Prüfe regelmäßig stichprobenartig die Logs auf Anomalien (z. B. Massen-Download von Dateien oder Logins aus ungewöhnlichen Ländern).

⚖️ Der Elefant im Raum: Ist M365 nun DSGVO-konform?

Die Antwort lautet: Es ist kompliziert, aber machbar. Eine pauschale Aussage („Alles verboten“ oder „Alles erlaubt“) ist fachlich falsch. Die Bewertung ist dynamisch und hängt davon ab, ob du die Hausaufgaben (siehe Härtungs-Maßnahmen oben) gemacht hast.

2020–2022: Die Phase der harten Kritik

Die Datenschutzkonferenz (DSK) sorgte 2020 für Aufsehen mit der Aussage, dass M365 „kein datenschutzgerechter Einsatz möglich“ sei. Im November 2022 konkretisierte die DSK dies in einer „Festlegung“: Die Standardkonfiguration sei mangelhaft, da unklar bleibe, welche Daten Microsoft zu eigenen Zwecken verarbeitet.

  • Admin-Takeaway: Wer M365 „Out of the Box“ ohne Anpassungen nutzt, handelt fahrlässig und entgegen der Empfehlungen der Aufsichtsbehörden.

2023–2025: Entspannung durch neue Rechtsrahmen

Die Lage hat sich rechtlich und technisch deutlich stabilisiert:

  1. EU-US Data Privacy Framework (Juli 2023): Durch den neuen Angemessenheitsbeschluss der EU-Kommission sind Datentransfers in die USA wieder legal möglich, sofern das US-Unternehmen zertifiziert ist (was bei Microsoft der Fall ist). Dies entschärft das „Schrems II“-Problem massiv.
  2. Abschluss der EU Data Boundary (Februar 2025): Microsoft hat Phase 3 der „EU-Datengrenze“ abgeschlossen. Das bedeutet: Nicht nur die Speicherung („Data at Rest“), sondern auch die Verarbeitung von personenbezogenen Daten und sogar Support-Logs erfolgt nun weitestgehend innerhalb der EU/EFTA. Dies reduziert den Datenabfluss in die USA auf ein technisches Minimum.

Der Warnschuss: EDPS vs. EU-Kommission (2024)

Dass das Thema noch nicht „abgehakt“ ist, zeigte der Europäische Datenschutzbeauftragte (EDPS). Im März 2024 stellte er fest, dass die EU-Kommission (!) M365 zeitweise nicht konform eingesetzt hatte.

  • Der Grund: Fehlende Klarheit über Datenflüsse und unzureichende vertragliche Regelungen.
  • Die Lösung: Die Kommission musste nachbessern. Im Juli 2025 wurden die Verfahren eingestellt, da die Mängel behoben wurden.
  • Was das für dich bedeutet: Selbst EU-Behörden nutzen M365, aber nur unter strengen Auflagen. Es ist der Beweis, dass der Einsatz möglich, aber anstrengend ist.

Fazit: Vom „Minenfeld“ zum kalkulierbaren Risiko

Die Frage „Ist Microsoft 365 DSGVO-konform?“ lässt sich heute deutlich differenzierter beantworten als noch zu Zeiten des „Schrems II“-Urteils. Die rechtliche Grauzone ist durch das EU-US Data Privacy Framework (2023) und die technische Umsetzung der EU Data Boundary deutlich kleiner geworden.

Dennoch gilt für Administratoren: Vertrauen ist gut, Konfiguration ist Pflicht. Microsoft liefert mit M365 eine mächtige Plattform, die im Standard („Out of the Box“) jedoch auf Komfort und Datenaustausch optimiert ist, nicht auf Datensparsamkeit. Ein ungehärteter Tenant ist daher nicht nur ein Sicherheitsrisiko, sondern auch ein Compliance-Verstoß.

Deine Strategie für den rechtssicheren Betrieb:

  1. Technik vor Recht: Bevor du dich in juristischen Details verlierst, schaffe technische Fakten. Begrenze die Telemetrie auf „Required“, erzwinge MFA und prüfe den Datenstandort. Sicherheit (TOMs) ist der stärkste Datenschutz.
  2. Dokumentation als Versicherung: Ohne unterschriebenen AVV und ein gepflegtes Verarbeitungsverzeichnis (VVT) nützt die beste Technik nichts. Dokumentiere deine „Best Effort“-Maßnahmen, um im Fall einer Prüfung Rechenschaft ablegen zu können.
  3. Prozess statt Projekt: Datenschutz in der Cloud ist nie „fertig“. Neue Features (wie AI/Copilot) erfordern neue Bewertungen. Bleib wachsam und prüfe regelmäßig deine Einstellungen.

Wer diese Punkte beachtet, verlässt den Bereich der Fahrlässigkeit und betreibt Microsoft 365 nach aktuellem Stand der Technik verantwortungsvoll und sicher.

This post is also available in: Deutsch

Ähnliche Artikel