HBDI gibt grünes Licht für Microsoft 365 – unter Bedingungen
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat mit seinem am 15. November 2025 veröffentlichten Bericht bestätigt, dass Microsoft 365 unter bestimmten Bedingungen datenschutzkonform genutzt werden kann.
Hintergrund der Einschätzung
Nach früherer Kritik der Datenschutzkonferenz (DSK), wonach das Vertragswerk (Data Protection Addendum, DPA) von Microsoft im Jahr 2022 nicht den Anforderungen des Art. 28 DS-GVO genügen habe, hat der HBDI in intensiven Gesprächen mit Microsoft neu bewertet, ob und unter welchen Voraussetzungen ein rechtskonformer Betrieb möglich ist.
Microsoft hat demnach sein Datenschutzkonzept ergänzt: Die sogenannte „EU-Datengrenze“ soll sicherstellen, dass nahezu alle personenbezogenen Daten im Europäischen Wirtschaftsraum bleiben. Das DPA wurde überarbeitet, und mit dem bereitgestellten „M365-Kit“ bekommen Nutzer Hilfsmittel an die Hand, um ihre Dokumentations‑ und Compliancepflichten datenschutzkonform zu erfüllen.
Wichtige Voraussetzungen für Datenschutzkonformität
Die Freigabe gilt – vorbehaltlich folgender Rahmenbedingungen:
- Verantwortliche (Behörden oder Unternehmen) müssen den überarbeiteten DPA mit Microsoft schließen.
- Eine datenschutzgerechte Konfiguration und operative Umsetzung sind erforderlich; der Bericht basiert nicht auf einer tiefgehenden technischen Prüfung aller M365‑Dienste, sondern auf rechtlichen und organisatorischen Zusagen.
- Für öffentliche Stellen in Hessen ergibt sich eine rechtliche und handlungspraktische Orientierung, keine automatische DSGVO‑Konformität für alle Nutzungsszenarien.
Für Datenschutzbeauftragte und IT‑Verantwortliche in Unternehmen oder Behörden bedeutet die Einschätzung des HBDI: Microsoft 365 kann, sofern die Rahmenbedingungen eingehalten werden, ein zulässiges und nutzbares Tool sein. Allerdings ersetzt die Stellungnahme keine eigenständige rechtliche Bewertung und keine konkrete Risikoanalyse.
(Foto: IB Photography – stock.adobe.com)
Das könnte Sie auch interessieren
-
LLM-gestützte Chatbots in der öffentlichen Verwaltung
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob
Mehr erfahren -
Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen
Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand
Mehr erfahren -
Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde
Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden. Der Vorfall Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag
Mehr erfahren
