Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat am 15.11.2025 einen umfangreichen Bericht veröffentlicht, laut dem der Einsatz von Microsoft 365 in Hessen datenschutzkonform möglich ist. Zu diesem Ergebnis ist der HBDI nach intensiven Verhandlungen mit dem cloudbasierten Produktivitätsdienstes gekommen. Für Unternehmen bedeutet dies Rechtssicherheit, vorausgesetzt dass die im Bericht formulierten Rahmenbedingungen konsequent umgesetzt werden.
Ausgangslage des Berichts
Ausgangspunkt der aktuellen Bewertung sind die Änderungen der letzten drei Jahre. Das frühere Data Protection Addendum (DPA) von Microsoft war 2022 von der Datenschutzkonferenz (DSK) als unzureichend bewertet worden. Auch noch im April wurden Datenschutzbedenken hinsichtlich des neuen Outlooks und noch im Sommer bezüglich der Übertragung von Daten in die USA geäußert. Verantwortliche konnten damit nicht rechtssicher belegen, dass Microsoft die Anforderungen an Auftragsverarbeiter nach Art. 28 Datenschutzgrundverordnung (DSGVO) erfüllt.
Genau an diesen Punkten setzte der HBDI, Alexander Roßnagel, an und erklärt in seiner Pressemitteilung, dass man seit Anfang Januar 2025 in zahlreichen Diskussionsrunden mit Microsoft konstruktiv verhandelt habe, um den Einsatz von Microsoft 365 datenschutzkonform zu gestalten. Konkret habe man sich an den sieben Kritikpunkten orientiert, die die DSK vor drei Jahren herausgearbeitet habe. Eine technische Prüfung habe der HBDI nicht vorgenommen.
Veränderte Rahmenbedingungen
Der hieraus entstandene Bericht zeigt nun, dass sich mehrere entscheidende Faktoren verschoben haben. Zum einen habe sich der transatlantische Rechtsrahmen mit der Verabschiedung des EU-US Data Privacy Frameworks, dass kürzlich vom Gericht der Europäischen Union bestätigt wurde, verändert. Außerdem habe Microsoft seine technische Infrastruktur deutlich stärker auf europäische Anforderungen ausgerichtet und die Veränderungen detailliert gegenüber dem HBDI erklärt. Gleichzeitig seien im Rahmen der Gespräche das DPA gegenüber öffentlichen Stellen überarbeitet und erweitert worden. Zuletzt stelle Microsoft für Verantwortliche Hilfstools wie das M365-Kit zur Verfügung, die bei der datenschutzrechtlichen Dokumentation unterstützen. Für Unternehmen entsteht damit erstmals ein konsistentes Gesamtbild, das sowohl rechtlich als auch praktisch belastbar erscheint.
Aufarbeitung der Kritik der DSK
Transparenz über Art und Zweck der Datenverarbeitung
Eine zentraler Kritikpunkte der DSK war die mangelnde Transparenz. Der HBDI bestätigt nun, dass Microsoft seine Informationsmaterialien überarbeitet und die Dokumentation im DPA konkretisiert habe. Unternehmen könnten damit die erforderlichen Angaben in ihren Verarbeitungsverzeichnissen vollständig abbilden.
Datenverarbeitungen zu eigenen Zwecken von Microsoft
Lange Zeit sei außerdem unklar gewesen, in welchem Umfang Microsoft Nutzerdaten für eigene Zwecke verarbeitet habe. Microsoft habe nun erklärt, dass ausschließlich Log- und Diagnosedaten in anonymisierter und aggregierter Form, laut dem HBDI aufgrund berechtigter Interessen, verarbeitet würden. Inhaltsdaten der Nutzer seien nicht betroffen.
Verarbeitung auf dokumentierte Weisung
Ein weiterer Konfliktpunkt betraf Offenlegungen gegenüber Dritten, insbesondere US-Behörden. Nach der Überarbeitung des DPA verpflichte sich Microsoft nun, personenbezogene Daten ausschließlich aufgrund dokumentierter Weisung der Verantwortlichen zu verarbeiten. Offenlegungen würden den Vorgaben der DSGVO unterliegen.
Sicherheitsanforderungen der DSGVO
Im Übrigen habe Microsoft versichert, die technischen und organisatorischen Maßnahmen vollständig einzuhalten.
Lösch- und Rückgabeprozesse
Auch die bis 2022 kritisierte Löschpraxis sei nachgebessert worden. Verantwortliche könnten Daten nun selbstständig löschen oder dies nach dem ordnungsgemäßen Löschprozess tun.
Transparenz bei Unterauftragnehmern
Microsoft informiere inzwischen zudem über Änderungen von Unterauftragnehmern frühzeitig und detailliert über das Service Trust Portal. Dieses ermögliche es Kunden, die Informationen zur Kenntnis zu nehmen.
Datenübermittlungen in Drittstaaten
Der HBDI erklärt zuletzt, dass mittlerweile ein Großteil der Daten im Europäischen Wirtschaftsraum verarbeitet wird. Der übrige Teil an Datenübermittlungen in Drittstaaten sei von Angemessenheitsbeschlüssen und Standardvertragsklauseln gedeckt.
Fazit
Mit dem nun veröffentlichen Bericht schafft der HBDI eine pragmatische Grundlage zum Einsatz von Microsoft 365 für Unternehmen und Behörden. Das Programm kann hiernach in Hessen betrieben werden, sofern Verantwortliche die notwendigen Schritte zur Umsetzung der Vorgaben konsequent erledigen. Der Bericht zeigt zugleich, dass Datenschutz auch in komplexen Cloud-Umgebungen erreichbar ist, wenn Anbieter und Verantwortliche zusammenarbeiten. Zur rechtskonformen Implementierung in einem Unternehmen, empfiehlt sich die Unterstützung durch einen Externen Datenschutzbeauftragten.
