HBDI gibt grünes Licht für Microsoft 365 – unter Bedingungen

HBDI sagt: MS 365 ist zulässig

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat mit seinem am 15. November 2025 veröffentlichten Bericht bestätigt, dass Microsoft 365 unter bestimmten Bedingungen datenschutzkonform genutzt werden kann.

Hintergrund der Einschätzung

Nach früherer Kritik der Datenschutzkonferenz (DSK), wonach das Vertragswerk (Data Protection Addendum, DPA) von Microsoft im Jahr 2022 nicht den Anforderungen des Art. 28 DS-GVO genügen habe, hat der HBDI in intensiven Gesprächen mit Microsoft neu bewertet, ob und unter welchen Voraussetzungen ein rechtskonformer Betrieb möglich ist.

Microsoft hat demnach sein Datenschutzkonzept ergänzt: Die sogenannte „EU-Datengrenze“ soll sicherstellen, dass nahezu alle personenbezogenen Daten im Europäischen Wirtschaftsraum bleiben. Das DPA wurde überarbeitet, und mit dem bereitgestellten „M365-Kit“ bekommen Nutzer Hilfsmittel an die Hand, um ihre Dokumentations‑ und Compliancepflichten datenschutzkonform zu erfüllen.

Wichtige Voraussetzungen für Datenschutzkonformität

Die Freigabe gilt – vorbehaltlich folgender Rahmenbedingungen:

  • Verantwortliche (Behörden oder Unternehmen) müssen den überarbeiteten DPA mit Microsoft schließen.
  • Eine datenschutzgerechte Konfiguration und operative Umsetzung sind erforderlich; der Bericht basiert nicht auf einer tiefgehenden technischen Prüfung aller M365‑Dienste, sondern auf rechtlichen und organisatorischen Zusagen.
  • Für öffentliche Stellen in Hessen ergibt sich eine rechtliche und handlungspraktische Orientierung, keine automatische DSGVO‑Konformität für alle Nutzungsszenarien.

Für Datenschutzbeauftragte und IT‑Verantwortliche in Unternehmen oder Behörden bedeutet die Einschätzung des HBDI: Microsoft 365 kann, sofern die Rahmenbedingungen eingehalten werden, ein zulässiges und nutzbares Tool sein. Allerdings ersetzt die Stellungnahme keine eigenständige rechtliche Bewertung und keine konkrete Risikoanalyse.

(Foto: IB Photography – stock.adobe.com)

Letztes Update:01.12.25

  • Vier Expertenporträts und Logo des Data Agenda Podcasts, Folge 94 mit Prof. Dr. Schwartmann, Markus Beckedahl, Lucia Burkhardt und Felix Sahm.

    Folge 94: KI-Reallabore, Kinder und Gesundheit

    Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),

    Mehr erfahren
  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner