Microsoft 365: Hessen gibt grünes Licht für deutschen Datenschutz

WIESBADEN – Das Ende der Cloud-Blockade? Nach jahrelangem Tauziehen zwischen deutschen Datenschützern und Microsoft bahnt sich eine Wende an. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat Microsoft 365 neu bewertet – mit überraschend positivem Ergebnis. Doch wer jetzt aufatmet, sollte genauer hinsehen: Die Freigabe kommt mit strengen Auflagen.

Die Botschaft ist klar: Microsoft 365 ist nutzbar, aber nur unter präzisen Bedingungen. „Das positive Ergebnis bietet Unternehmen und Behörden in Hessen grundlegende Rechts- und Betriebssicherheit”, erklärt Prof. Dr. Alexander Roßnagel, der Hessische Datenschutzbeauftragte. Was auf den ersten Blick wie eine Entwarnung klingt, entpuppt sich bei näherer Betrachtung als anspruchsvolles Compliance-Programm.

Die Neubewertung, die im Januar 2025 begann und Mitte November abgeschlossen wurde, beendet einen Konflikt, der seit 2022 schwelt. Damals hatte die Datenschutzkonferenz (DSK) sieben gravierende Mängel identifiziert, die M365 für deutsche Organisationen zum Risiko machten. Microsoft hat nun nachgebessert – umfassend und systematisch.

Viele Unternehmen unterschätzen, wie lückenhaft ein Verarbeitungsverzeichnis oft ist – und welche Folgen das bei Prüfungen haben kann. Gerade das vom HBDI geforderte M365-Kit verlangt eine prüfungssichere Dokumentation nach Art. 30 DSGVO. Ein kostenloses Excel-Muster zeigt Ihnen exakt, welche Felder erforderlich sind, liefert Kommentarspalten für DPA- und Subprocessor-Details und eine Schritt-für-Schritt-Anleitung zur schnellen Umsetzung. Verarbeitungsverzeichnis nach Art.30 jetzt herunterladen

Der Durchbruch basiert auf Microsofts Reaktion auf die „DSK 7″ – jene sieben Compliance-Probleme, die den Cloud-Dienst bisher rechtlich heikel machten. Laut dem 137-seitigen HBDI-Bericht vom 15. November hat Microsoft sowohl seinen Datenverarbeitungsvertrag (Data Protection Addendum, DPA) als auch die technische Architektur grundlegend überarbeitet.

Die wichtigsten Änderungen im Überblick:

EU-Datengrenze: Microsoft hat seine Dienste technisch so umgebaut, dass nahezu alle Verarbeitungen personenbezogener Daten europäischer Kunden innerhalb des Europäischen Wirtschaftsraums (EWR) erfolgen. Das Risiko von Datentransfers in die USA sinkt damit erheblich.

Transparenz bei Unterauftragsverarbeitern: Der neue DPA enthält eine sechsmonatige Vorankündigungsfrist bei Änderungen von Unterauftragsverarbeitern. Organisationen können nun rechtzeitig widersprechen – eine deutliche Verbesserung gegenüber früheren Regelungen.

Zweckbindung: Microsoft verpflichtet sich vertraglich, Daten ausschließlich auf dokumentierte Kundenanweisungen hin zu verarbeiten. Die Nutzung von Kundeninhalten für eigenes KI-Training oder Business Intelligence ohne Zustimmung ist explizit ausgeschlossen.

„Wir haben konstruktiv geprüft, unter welchen Bedingungen eine praktische und datenschutzkonforme Nutzung von M365 möglich ist”, so Roßnagel. Der Fokus verschiebt sich vom theoretischen Verbot zum praktischen Risikomanagement.

Das M365-Kit: Neue Dokumentationspflicht

Für IT-Verantwortliche und Compliance-Beauftragte bringt diese Woche die nächste Herausforderung: das M365-Kit. Dieses vom HBDI verhandelte Dokumentationspaket soll Organisationen helfen, ihre Rechenschaftspflichten nach Artikel 5 Absatz 2 der DSGVO zu erfüllen.

Rechtsexperten warnten am gestrigen Mittwoch in Fachbriefings: Die HBDI-Freigabe ist bedingt. Sie stellt keine „Zertifizierung” des Produkts dar, sondern genehmigt ein spezifisches Konfigurations- und Governance-Modell. Organisationen müssen:

1. Den aktualisierten DPA (Version September 2025) übernehmen
2. Die im M365-Kit definierten Telemetrie- und Diagnose-Konfigurationen umsetzen
3. Ein detailliertes „Verarbeitungsverzeichnis” führen, das auf Microsofts neue Transparenzdokumentation verweist

Die Analyse der Fachkanzlei Dr. Datenschutz vom 3. Dezember betont: Die Beweislast bleibt beim Verantwortlichen. „Es ist kein Freifahrtschein”, warnt die Einschätzung. Standard-Einstellungen in M365-Tenants seien ohne die vom HBDI geforderten Anpassungen wahrscheinlich weiterhin nicht konform.

Signalwirkung über Hessen hinaus

Die Auswirkungen dieser Entscheidung reichen weit über Hessen hinaus. Marktbeobachter erwarten, dass andere Landesdatenschutzbeauftragte unter Druck geraten, sich den HBDI-Erkenntnissen anzuschließen – um eine Fragmentierung der Regulierungslandschaft zu vermeiden.

Der Blick richtet sich nun auf die Datenschutzkonferenz (DSK). Mit der „Hessischen Lösung”, die seit dieser Woche öffentlich vorliegt und durch unabhängige Rechtsanalysen validiert wurde, dürfte die DSK ihre negative Stellungnahme von 2022 überdenken müssen. Bis ein bundesweiter Konsens erreicht ist, dient das HBDI-Rahmenwerk als fortschrittlichster verfügbarer Compliance-Standard in Deutschland.

Für Unternehmen ist der nächste Schritt klar: bestehende Microsoft-Verträge gegen den neuen DPA vom September 2025 prüfen und mit der technischen Lückenanalyse anhand des M365-Kits beginnen. Die Frage lautet nicht mehr, ob Microsoft 365 in Deutschland rechtskonform nutzbar ist – sondern wie sorgfältig Organisationen die erforderlichen Schutzmaßnahmen umsetzen.

Was bedeutet das konkret für deutsche Behörden und Unternehmen außerhalb Hessens? Rechtlich bewegen sie sich weiterhin in einer Grauzone. Doch die Hessische Blaupause liefert erstmals einen praktikablen Weg durch den Datenschutz-Dschungel. Wer diesen Weg nicht geht, trägt künftig erhöhtes Haftungsrisiko.

Hinweis: Dieser Artikel informiert über datenschutzrechtliche Entwicklungen und stellt keine Rechtsberatung dar. Organisationen sollten ihre spezifischen Compliance-Maßnahmen mit ihrem Datenschutzbeauftragten abstimmen.

PS: Das M365-Kit verlangt ein detailliertes, prüfungssicheres Verarbeitungsverzeichnis, das Microsofts neue Transparenzdokumentation referenziert. Wenn Sie jetzt systematisch dokumentieren möchten, bietet der kostenlose Excel-Download konkrete Beispiele für typische M365-Verarbeitungen, Vorlagen für Subprocessor‑Einträge und eine kommentierte Anleitung zur sofortigen Umsetzung. Ideal für Datenschutzbeauftragte, die schnell prüfungsfähige Unterlagen erstellen wollen. Jetzt kostenlose Verzeichnis-Vorlage sichern