Hessischer Datenschützer: Office 365 kann DSGVO-konform eingesetzt werden

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Ulrich Rossnagel, hat zum 15. November 2025 einen Bericht vorgelegt, dass Microsoft Office 365 in Hessen datenschutzkonform genutzt werden kann. Hier einige Informationen und Gedanken um dieses Thema.

Rückblick auf ein kontroverses Thema

Seit vielen Jahren schwelt bereits der Streit, ob Microsoft Office datenschutzkonform einsetzbar ist. Im Beitrag Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO hatte ich bereits 2018 das Thema aufgegriffen, dass Microsoft systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook sammelt. Heimlich, ohne die Leute zu informieren. Seinerzeit hatte Microsoft Nachbesserungen in Office versprochen.

Aber im Jahr 2022 stellte die Deutsche Datenschutzkonferenz (DSK), da oberste Gremium der deutschen Datenschutzbeauftragten, fest, dass Microsoft Office 365 nicht datenschutzkonform eingesetzt werden kann. Hintergrund war, dass die Datenschützer erfolglose Gespräche mit Microsoft geführt hatten, sich Redmond aber weiterte, klar offen zu legen, welche Daten für welche Zwecke erfasst und verarbeitet werden. Ich hatte den Sachverhalt im Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform aufgegriffen.

HBDI sieht datenschutzkonforme Einsatzmöglichkeiten

Blog-Leser Kai hat mich gestern per Mail darauf hin gewiesen, dass der hessische Datenschutzbeauftragte einen Bericht zum Thema Microsoft 365 veröffentlicht hat (die Details lassen sich im Bericht des HBDI zum Einsatz von M365 vom 15. November 2025, 137 Seiten PDF nachlesen). Demnach kann Microsoft 365 datenschutzkonform eingesetzt werden, sowohl von hessischen Privatunternehmen, als auch vom öffentlichen Bereich.

Der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Roßnagel, erläutert diese Feststellung: "Seit Januar 2025 haben wir mit Microsoft in vielen Diskussionsrunden über den Datenschutz bei Microsoft 365 verhandelt. Wir haben im Interesse der Nutzer konstruktiv untersucht, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 möglich ist. Das positive Ergebnis bietet nun den Unternehmen und Behörden in Hessen grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten."

Entscheidende Bewegung von Microsoft?

Microsoft (MS) bietet M365 als Cloud-Dienst an. Datenschutzrechtlich gesehen ist daher MS laut Datenschützer Auftragsverarbeiter und der nutzende Kunde Verantwortlicher. Den Datenschutz in M365 regelt MS in einem "Datenschutznachtrag" (Data Protection Addendum – DPA).

Im November 2022 stellte die DSK (Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder fest, dass Verantwortliche den Nachweis, M365 datenschutzrechtskonform zu betreiben, auf der Grundlage des DPA vom 15. September 2022 nicht führen können. Als Grund nannte die DSK, dass das DPA in sieben Kritikpunkten den Vorgaben des Art. 28 DS-GVO für Auftragsverarbeiter nicht entspreche.

Diese sieben Kritikpunkte waren der Maßstab für die oben erwähnten Verhandlungen zwischen dem HBDI und Microsoft in 2025. Der HBDI stellt klar, dass er keine technische Untersuchung einzelner M365-Dienste durchgeführt habe. Es ist also eine reine verwaltungstechnisch, juristische Einstufung durch den HBDI, die auf Zusicherungen Microsofts beruhen, was ich an dieser Stelle festhalten will.

Manche Formulierungen sind in meinen Augen auch unfreiwillig komisch. So heißt es, das "Microsoft seine Datenverarbeitung an europäische Anforderungen angepasst hat, z.B. durch die EU-Datengrenze, wodurch Microsoft fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet." Der HBDI hat also den Begriff "ein bisschen schwanger" in eine gänzlich neue Bedeutung gehoben.

Das Ganze passt zur Meldung, dass Bayern massiv in die Microsoft Cloud will. Ein Blog-Leser hatte im Diskussionsbereich auf diesen heise-Artikel verwiesen, nachdem Bayern seine Behörden mit Microsoft 365 ausstatten will. Heise zitiert Kritiker, die mit Lizenzkosten in Milliardenhöhe rechnen und vor dem Verlust digitaler Souveränität warnen. Aber "digitale Souveränität" ist nicht die Baustelle des HBDI.

Aber einen hab ich noch als Kontrast: Schleswig-Holstein hat nach diesem heise-Artikel 80 % seiner Lizenzen gekündigt. Die IT dieses Bundeslands hat zum 2. Oktober rund 44.000 Postfächer mit rund 110 Millionen Kalendereinträgen und E-Mails erfolgreich auf Open-Xchange umgezogen. Ein Großteil der Arbeitsplätze in der Verwaltung wurde auf LibreOffice  und den Thunderbird als Mail-Client umgestellt.

Das spart dem Bundesland Millionen – und die Migration von Windows auf Linux wurde auch angegangen. Im Norden gehen die Uhren anders als in Bayern, denn in München hat man das LiMux-Projekt ja auch aufgegeben und kehrte in die Fänge Microsofts zurück. Bayern kann es einfach nicht.

Ich gehöre ja noch zur älteren Generation, die schon mal Fernsehen der öffentlich rechtlichen Anstalten einschaltet. Da kommt denn immer der Spruch "Das Beste im Norden …" – ich ich meine "ist unsere Digitalisierung der Behörden mit Open Source". Aber da muss ich mich wohl verhört haben.

Rechtliche Bewertungen geändert

In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben. Der HBDI, Dr. Roßnagel, macht dies, laut seiner Presseerklärung, an folgenden Punkten fest:

• Zum einen hätten sich rechtliche Vorgaben, wie z.B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks, verändert.
• Zum anderen habe MS seine Datenverarbeitung an europäische Anforderungen angepasst wie z.B. durch die EU-Datengrenze, durch die MS fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet.
• Drittens habe MS Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert.
• Viertens konnte der HBDI erreichen, dass MS das Data Protection Addendum, kurz DPA, (für öffentliche Stellen) fortentwickelt hat.
• Schließlich stelle MS zusätzliche Informationen bereit wie z.B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt.

Das positive Ergebnis, was der hessische Datenschutzbeauftragte Dr. Roßnagel sieht, beruht laut seiner Aussage auch auf der Erwartung, dass Microsoft und die Verantwortlichen (in Behörden oder Unternehmen) zusammenwirken, damit die Verantwortlichen M365 datenschutzrechtskonform nutzen können.

Daher endet der Bericht mit Handlungsempfehlungen für die verantwortlichen öffentlichen und nicht-öffentlichen Stellen in Hessen. Auf ihrer Grundlage können verantwortliche Stellen einzelne Bestandteile von M365 einer vertiefenden, datenschutzrechtlichen Betrachtung für den konkreten Einsatz unterziehen und im Erfolgsfall datenschutzkonform einsetzen.

Verantwortung auf Nutzer abgewälzt

Der Leser, der selbst an einer Hochschule Microsoft 365 einsetzen soll, schriebe mir, dass gerade auch hessische Behörden, wie Ministerien, Polizei und Hochschulen lange auf diesen Bericht gewartet haben. Er glaubt, dass die Institutionen nun Microsoft 365 einführen können. Man habe es nun einfacher mit den eigenen Datenschutzbeauftragten im Haus, die bisher allzu gerne auf die ausstehende Stellungnahme des Landes verwiesen hat.

Unter dem Strich hat der hessische Datenschutzbeauftragte aber die Verantwortung klar auf die Nutzer abgewälzt. Diese können theoretisch einen datenschutzkonformen Betrieb sicherstellen, indem z. B. keine persönlichen Daten in Microsoft 365 verarbeitet werden. Wie das Ganze aber praktisch umgesetzt werden könnte, speziell, da Microsoft sein Office 365 monatlich mit Updates versieht und überall Copilot drauf klatscht, bleibt für mich schleierhaft.

So bleibt das Konjunktiv "kann DSGVO-konform eingesetzt werden", wenn der Anwender das sicherstellt. Das ist in meine Augen aber eine juristische Formulierung, die auf Zusicherungen fußt, die bei Licht betrachtet, das Papier nicht wert sind, auf dem sie stehen. Ich hatte im Beitrag Souveräne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern auf das Eingeständnis eines Microsoft Managers in Frankreich verwiesen, der bestätigte, dass Microsoft einen US-Zugriff auf die Daten europäischer Nutzer schlicht nicht verhindern kann. Auch bei heise, die das Thema hier aufgreifen, sieht man eine "Entscheidung am grünen Tisch" ohne jegliche Prüfung. Die Diskussion im Kommentarbereit zeigt denn auch die Skepsis vieler Leute, die sich mit der Thematik in Betrieben und Behörden auseinander setzen müssen.

Wie das alles am Ende des Tages ausschaut, wird man abwarten müssen. Ich stelle mal eine Information, die ich schon länger habe, mit hier im Artikel ein. Gegen den Angemessenheitsbeschluss der EU-Kommission, der die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Framework regelt, hatte der französische Abgeordnete Latombe vor dem Europäischen Gerichtshof geklagt, aber das wurde abgewiesen. heise berichtete Ende Oktober 2025, dass Latombe nun Rechtsmittel beim Europäischen Gerichtshof (EuGH) einlegen wird. Kippt der EuGH den Angemessenheitsbeschluss, stehen die MS 365-Nutzer nackt da.