Die Diskussion um Microsoft 365 und Datenschutz beschäftigt seit Jahren Behörden und Unternehmen in Europa. Vor allem die Frage, ob die Nutzung der Cloud-Dienste mit den Anforderungen der DSGVO vereinbar ist, stand lange im Raum. Nun hat der Europäische Datenschutzbeauftragte (EDSB) bestätigt: Die EU-Kommission setzt Microsoft 365 inzwischen im Einklang mit den geltenden Datenschutzvorschriften für EU-Organe und -Einrichtungen ein.
Rückblick: Datenschutzverstöße bei Microsoft 365
Im Jahr 2024 hatte der EDSB festgestellt, dass die Nutzung von Microsoft 365 durch die EU-Kommission nicht datenschutzkonform war und gegen europäische Vorgaben verstieß. Die Kommission musste deshalb umfassende Maßnahmen ergreifen, um die Dienste von Microsoft rechtssicher einsetzen zu können.
Im Juli 2025 folgte die Entwarnung: Die beanstandeten Punkte wurden nach Einschätzung des EDSB behoben. Damit gilt Microsoft 365 in diesem speziellen Fall als datenschutzkonform – zumindest im Rahmen der für EU-Organe gültigen Verordnung (EU) 2018/1725.
Umgesetzte Maßnahmen für Datenschutzkonformität
Um die Nutzung von Microsoft 365 DSGVO-konform zu gestalten, wurden mehrere Änderungen umgesetzt:
-
Zweckbindung und Datenverarbeitung: Die EU-Kommission hat die Arten personenbezogener Daten sowie deren Verarbeitungszwecke klar festgelegt. Microsoft und Subunternehmer dürfen Daten nur nach dokumentierten Vorgaben und für eindeutig definierte Zwecke verarbeiten.
-
Datenübermittlungen in Drittländer: Transfers außerhalb des EWR sind nur noch in Ländern erlaubt, für die ein Angemessenheitsbeschluss vorliegt oder wenn zwingende öffentliche Interessen bestehen.
-
Transparenz und Informationspflichten: Neue Vertragsklauseln sorgen dafür, dass die Kommission über Anfragen zur Datenoffenlegung informiert wird – außer EU-Recht oder gleichwertige Vorschriften eines Drittlandes schreiben anderes vor.
Diese Schritte haben dazu geführt, dass der EDSB sein Verfahren eingestellt und die Datenschutzkonformität von Microsoft 365 im Umfeld der EU-Kommission bestätigt hat.
Was bedeutet das für Unternehmen?
Wichtig ist: Die Entscheidung des EDSB betrifft die Verordnung für EU-Organe – nicht direkt die DSGVO. Dennoch zeigt sie, dass eine datenschutzgerechte Nutzung von Microsoft 365 möglich ist, wenn klare Vorgaben, technische Maßnahmen und transparente Prozesse umgesetzt werden.
Für Unternehmen gilt weiterhin, sich an den Empfehlungen der nationalen Datenschutzaufsichtsbehörden zu orientieren. Besonders in Deutschland betonen die Behörden, dass Verantwortliche selbst prüfen müssen, wie Datenübermittlungen reduziert und technische sowie organisatorische Maßnahmen umgesetzt werden können.
Fazit: Microsoft 365 Datenschutz bleibt ein zentrales Thema
Die Einschätzung des EDSB ist ein positives Signal für alle, die Microsoft 365 nutzen. Sie zeigt, dass durch klare Verträge, Transparenz und wirksame Kontrollmechanismen eine datenschutzkonforme Nutzung möglich ist. Dennoch bleiben Fragen offen – insbesondere in Bezug auf Risiken für europäische Daten bei Cloud-Diensten.
Unternehmen sollten die weitere Entwicklung aufmerksam verfolgen und ihre eigene Microsoft 365 Datenschutz-Strategie regelmäßig prüfen und anpassen.