Der Hessische Beauftragte für Datenschutz und Informationsfreiheit veröffentlichte im November 2025 einen umfassenden Bericht zum Einsatz von Microsoft 365. Drei Jahre nach der deutlichen Kritik der Datenschutzkonferenz untersucht der Bericht, ob eine datenschutzkonforme Nutzung heute möglich ist. Die Antwort lautet nach Bewertung des HBDI ja, wenn bestimmte Voraussetzungen erfüllt werden.
Die Datenschutzkonferenz stellte 2022 fest, dass mit der damaligen Vertragslage kein datenschutzkonformer Einsatz von Microsoft 365 nachweisbar sei. In den Jahren 2024 und 2025 fanden deshalb intensive Gespräche zwischen Microsoft und dem HBDI statt. Grundlage waren das überarbeitete Data Protection Addendum, zusätzliche technische Informationen und ergänzende Dokumente wie das M365-Kit oder die Interpretationshilfe zu Artikel 28 DSGVO.
Microsoft stellt nun ausführlichere Informationen bereit, die Verantwortlichen helfen, Art und Umfang der Datenverarbeitung zu dokumentieren. Dazu gehören eine Interpretationshilfe und das M365-Kit, das Muster für Verarbeitungstätigkeiten und Schwellwertanalysen enthält.
Microsoft erläutert nun transparent, dass ausschließlich Logdaten und Diagnosedaten sowie keine Inhaltsdaten für interne Zwecke genutzt werden. Diese Daten werden anonymisiert und aggregiert, sodass kein Personenbezug bleibt. Der HBDI bewertet diesen Prozess als datenschutzrechtlich vertretbar.
Microsoft verpflichtet sich im DPA für Hessen, personenbezogene Daten ausschließlich nach dokumentierten Weisungen der Kunden zu verarbeiten. Rechtsgrundlagen für mögliche Offenlegungen orientieren sich an den Vorgaben der Europäischen Union. Dadurch wird die Kontrolle der Verantwortlichen gestärkt.
Microsoft bestätigt, dass alle Maßnahmen dem Stand der Technik nach Artikel 32 DSGVO entsprechen. Kunden erhalten Zugriff auf detaillierte Sicherheitsinformationen im Service Trust Portal.
Kunden können personenbezogene Daten jederzeit löschen. Zusätzlich existieren automatisierte Löschabläufe nach Ende der Vertragsbeziehung. Diese Verfahren erfüllen nach Einschätzung des HBDI die Anforderungen der DSGVO.
Microsoft informiert Kunden frühzeitig über neue Unterauftragnehmer. Die Vorankündigung beträgt in der Regel sechs Monate und ermöglicht eine rechtzeitige Prüfung durch die Verantwortlichen.
Die Übermittlung von Daten in die USA ist seit dem EU US Data Privacy Framework zulässig. Zusätzlich hat Microsoft seine Systeme so gestaltet, dass der überwiegende Teil der Verarbeitung im europäischen Wirtschaftsraum stattfindet. Für weitere Länder gelten Standardvertragsklauseln.
Der HBDI kommt zu dem Ergebnis, dass Microsoft 365 datenschutzkonform genutzt werden kann. Voraussetzung ist jedoch, dass Microsoft seine Zusagen einhält und die verantwortlichen Stellen ihre eigenen Pflichten erfüllen. Dazu gehören Dokumentation, Konfiguration, Kontrolle der Dienstleister und ein sorgfältiges Löschkonzept. Der Bericht liefert damit eine verlässliche Grundlage für einen rechtssicheren Einsatz von Microsoft 365 in Hessen.