Lösung gefunden? Datenschutzkonformität von Microsoft 365 (zumindest) auf EU-Ebene geklärt

Die Nutzung von Microsoft 365 darf als datenschutzrechtlicher Dauerbrenner bezeichnet werden. Im Jahr 2024 urteilte der Europäische Datenschutzbeauftragte (EDSB), dass die EU-Kommission bei der Nutzung von Microsoft 365 gegen Vorgaben der DSGVO verstoße. Dies sorgte für Aufsehen. Die Problematik an sich erwächst aus der Verwendung cloudbasierter Software im Geschäftsumfeld, die Verbindungen zu Drittländern aufweist.

Daher darf die jüngste Abschlussbewertung des EDSB (vom 28. Juli 2025) aus datenschutzrechtlicher Sicht mit Aufmerksamkeit zur Kenntnis genommen, jedoch nicht als „Lösung“ für Unternehmen und Organisationen missverstanden werden.

Um das wichtige Fazit, das b-pi sec im Folgenden näher betrachtet, vorwegzunehmen: Die Europäische Kommission hat die Nutzung von Microsoft 365 in Einklang mit Datenschutzvorschriften für EU-Organe und -Einrichtungen gebracht. Das Verfahren wurde eingestellt.

Der EDSB, Wojciech Wiewiórowski, resümiert: „Dank unserer gründlichen Untersuchung und der Folgemaßnahmen der Kommission haben wir gemeinsam zu einer deutlichen Verbesserung der Datenschutzkonformität bei der Nutzung von Microsoft 365 durch die Kommission beigetragen.“ Die Bemühungen von Microsoft, die Anforderungen der Kommission aufgrund der Entscheidung des EDSB vom März 2024 zu erfüllen, seien deutlich erkennbar und zeugten von einer konstruktiven Zusammenarbeit zwischen dem EDSB und dem Tech-Giganten.
Der EDSB forderte andere EU-Einrichtungen, die die Nutzung von Microsoft-365-Diensten in Erwägung ziehen oder diese bereits nutzen, auf, ähnliche Bewertungen durchzuführen und vergleichbare TOMs wie die der EU-Kommission zu ergreifen.

Welche Auswirkungen hat die EDSB-Entscheidung?
Organisationen und Unternehmen sollten aufgrund der Entscheidung des EDSB nicht automatisch und nicht ausnahmslos auf einen datenschutzkonformen Einsatz von Microsoft 365 schließen. Die vorliegende Entscheidung bezieht sich nämlich ausschließlich auf die Vorgaben aus der Verordnung (EU) 2018/1725 – den Datenschutzrahmen für die Organe, Einrichtungen und sonstigen Stellen der EU (nicht auf die DSGVO!). Gleichwohl darf die Entscheidung als Vorbild und Grundlage einer eigenen Prüfung dienen.

Ausblick und Einschätzung von b-pi sec:
Es gilt daher weiterhin, die Bewertung durch die jeweils zuständige Aufsichtsbehörde abzuwarten. „Unabhängig vom Angemessenheitsbeschluss obliegt es jedem Verantwortlichen, die technischen und organisatorischen Maßnahmen zu treffen, die im Interesse der Datensparsamkeit eine Übermittlung personenbezogener Daten in ein Drittland reduzieren“, urteilen Aufsichtsbehörden. Die von den deutschen Aufsichtsbehörden empfohlenen Maßnahmen bleiben daher weiterhin gültig. Organisationen und Unternehmen, die Microsoft oder andere Cloud-Anbieter einsetzen wollen, sollten daher weiterhin besondere Sorgfalt bei der datenschutzrechtlichen Prüfung anwenden.