Hessischer Datenschutzbeauftragter: Microsoft 365 lässt sich datenschutzkonform nutzen
Nach Einschätzung des hessischen Landesdatenschutzbeauftragten Alexander Roßnagel kann das cloudbasierte Office-Paket Microsoft 365 (M365) datenschutzkonform genutzt werden. Das gehe aus einem 135-seitigen Bericht hervor, den die Behörde am 15. November 2025 veröffentlichte(öffnet im neuen Fenster) . "Das positive Ergebnis bietet nun den Unternehmen und Behörden in Hessen grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten" , sagte Roßnagel.
Hintergrund des Gutachtens ist die Feststellung der deutschen Datenschutzkonferenz (DSK) vom November 2022, wonach das Office-Paket Microsoft 365 nicht datenschutzkonform genutzt werden kann . Es sei nach wie vor ungeklärt, welche Daten erhoben, übertragen und für eigene Zwecke verarbeitet würden, hieß es damals.
Dabei vertrat die DSK laut Roßnagel die Auffassung, dass die Datenschutzvereinbarung von Microsoft in sieben Punkten nicht den Vorgaben für Auftragsverarbeiter entspricht, wie sie in Artikel 28 der DSGVO festgelegt sind. Über diese Kritikpunkte sei seit Januar 2025 "in vielen Diskussionsrunden" mit Microsoft verhandelt worden, sagte Roßnagel.
"Grundsatzfragen des Datenschutzes zufriedenstellend gelöst"
In den Gesprächen sei man gemeinsam zu Lösungen gekommen, wie man M365 datenschutzkonform nutzen könne. Technisch untersucht habe seine Behörde die einzelnen Dienste von Microsoft nicht. "Dazu sind wir personell überhaupt nicht in der Lage, aber wir haben die Grundsatzfragen des Datenschutzes zufriedenstellend gelöst" , sagte Roßnagel nach Angaben der Nachrichtenagentur dpa.
Wichtig sei, dass die Nutzer Microsoft entsprechend konfigurierten, ergänzte der Landesdatenschutzbeauftragte. Dabei hälfen die Empfehlungen im Gutachten (PDF)(öffnet im neuen Fenster) seiner Behörde.
Microsoft passt Datenverarbeitung an
Mit Blick auf die kritisierte Datenübertragung in die USA sei – auch aufgrund europarechtlicher Änderungen – nichts mehr zu beanstanden. Microsoft habe seine Datenverarbeitung an europäische Vorgaben angepasst, sagte Roßnagel.
Das US-Unternehmen habe seine Organisation zudem so verändert, dass die Daten bis auf ganz wenige, begründete Ausnahmen in Europa verarbeitet würden. Bei der Verarbeitung personenbezogener Daten für eigene Geschäftstätigkeiten habe das Unternehmen deutlich machen können, dass es lediglich um aggregierte und dadurch anonymisierte Protokolldaten gehe.