Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat in einem Bericht vom 15. November 2025 bestätigt, dass Microsoft 365 unter bestimmten Voraussetzungen datenschutzkonform eingesetzt werden kann. Damit nimmt der HBDI nach früherer Kritik an den Microsoft-Vertragsunterlagen eine neu bewertete Position ein.
Ausgangspunkt war die Beanstandung der Datenschutzkonferenz (DSK) aus dem Jahr 2022, wonach das damalige Data Protection Addendum (DPA) nicht den Anforderungen des Art. 28 DSGVO entsprach. Inzwischen hat Microsoft sein Datenschutzkonzept nachgebessert: Das DPA wurde überarbeitet, die sogenannte „EU-Datengrenze“ soll die Verarbeitung personenbezogener Daten weitgehend auf den Europäischen Wirtschaftsraum beschränken, und ergänzende Dokumentationshilfen wie das M365-Kit unterstützen Verantwortliche bei der Erfüllung ihrer Datenschutz- und Nachweispflichten. Die Einschätzung des HBDI gilt jedoch nur unter klaren Rahmenbedingungen. Verantwortliche müssen das aktualisierte DPA abschließen und für eine datenschutzgerechte Konfiguration sowie eine rechtskonforme Nutzung sorgen. Zudem basiert der Bericht auf rechtlichen und organisatorischen Zusagen und nicht auf einer umfassenden technischen Prüfung aller M365-Dienste.
Für Unternehmen und Behörden bedeutet dies: Microsoft 365 kann bei Einhaltung der genannten Voraussetzungen zulässig eingesetzt werden. Eine pauschale DSGVO-Konformität für alle Nutzungsszenarien folgt daraus jedoch nicht. Eine eigenständige rechtliche Bewertung und eine konkrete Risikoanalyse bleiben weiterhin erforderlich.
Lesen Sie mehr unter:
https://ogy.de/2kob
