HBDI gibt grünes Licht für Microsoft 365 – unter Bedingungen
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat mit seinem am 15. November 2025 veröffentlichten Bericht bestätigt, dass Microsoft 365 unter bestimmten Bedingungen datenschutzkonform genutzt werden kann.
Hintergrund der Einschätzung
Nach früherer Kritik der Datenschutzkonferenz (DSK), wonach das Vertragswerk (Data Protection Addendum, DPA) von Microsoft im Jahr 2022 nicht den Anforderungen des Art. 28 DS-GVO genügen habe, hat der HBDI in intensiven Gesprächen mit Microsoft neu bewertet, ob und unter welchen Voraussetzungen ein rechtskonformer Betrieb möglich ist.
Microsoft hat demnach sein Datenschutzkonzept ergänzt: Die sogenannte „EU-Datengrenze“ soll sicherstellen, dass nahezu alle personenbezogenen Daten im Europäischen Wirtschaftsraum bleiben. Das DPA wurde überarbeitet, und mit dem bereitgestellten „M365-Kit“ bekommen Nutzer Hilfsmittel an die Hand, um ihre Dokumentations‑ und Compliancepflichten datenschutzkonform zu erfüllen.
Wichtige Voraussetzungen für Datenschutzkonformität
Die Freigabe gilt – vorbehaltlich folgender Rahmenbedingungen:
- Verantwortliche (Behörden oder Unternehmen) müssen den überarbeiteten DPA mit Microsoft schließen.
- Eine datenschutzgerechte Konfiguration und operative Umsetzung sind erforderlich; der Bericht basiert nicht auf einer tiefgehenden technischen Prüfung aller M365‑Dienste, sondern auf rechtlichen und organisatorischen Zusagen.
- Für öffentliche Stellen in Hessen ergibt sich eine rechtliche und handlungspraktische Orientierung, keine automatische DSGVO‑Konformität für alle Nutzungsszenarien.
Für Datenschutzbeauftragte und IT‑Verantwortliche in Unternehmen oder Behörden bedeutet die Einschätzung des HBDI: Microsoft 365 kann, sofern die Rahmenbedingungen eingehalten werden, ein zulässiges und nutzbares Tool sein. Allerdings ersetzt die Stellungnahme keine eigenständige rechtliche Bewertung und keine konkrete Risikoanalyse.
(Foto: IB Photography – stock.adobe.com)
Das könnte Sie auch interessieren
-
Leitfaden zur Interessenabwägung nach DS-GVO
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat am seinen ausführlichen Fragenkatalog zur Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DS-GVO bereitgestellt. Dieses praxisorientierte Dokument dient Verantwortlichen in Behörden, Unternehmen und Organisationen als strukturierter Leitfaden für die Legitimate Interests Assessment (LIA), also die systematische Prüfung und Dokumentation, ob eine Verarbeitung personenbezogener Daten auf
Mehr erfahren -
Gutachten: Datenschutz‑Defizite bei PayPal
Ein aktuelles Gutachten des Netzwerks Datenschutzexpertise kritisiert die DS-GVO‑Praxis von PayPal. Demnach erhebt und verarbeitet der Zahlungsdienstleister weit über die reine Zahlungsabwicklung hinausgehende Daten – darunter Transaktions-, Identifikations-, Geräte- und abgeleitete Profildaten – auch für Werbe- und Marketingzwecke. Sensible Daten werden teilweise ohne hinreichende Schutzmaßnahmen verarbeitet. Zentrale Schwachstellen betreffen Transparenz und Einwilligung: Nutzer werden unzureichend
Mehr erfahren -
BSI‑Analyse: Sicherheitslage bei Passwortmanagern
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer IT‑Sicherheitsanalyse auf dem digitalen Verbrauchermarkt die Sicherheitsaspekte gängiger Passwortmanager untersucht. Der Bericht basiert auf einer Bewertung von zehn verbreiteten Produkten verschiedener Typen (inkl. browserbasierter Lösungen, Apps und Open‑Source‑Varianten). Ziel ist es, Chancen und Risiken dieser zentralen Tools zur Passwortverwaltung praxisnah aufzuzeigen. Wesentliche Befunde
Mehr erfahren
