Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Ulrich Rossnagel, hat zum 15. November 2025 einen Bericht vorgelegt, dass Microsoft Office 365 in Hessen datenschutzkonform genutzt werden kann. Hier einige Informationen und Gedanken um dieses Thema.
Rückblick auf ein kontroverses Thema
Seit vielen Jahren schwelt bereits der Streit, ob Microsoft Office datenschutzkonform einsetzbar ist. Im Beitrag Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO hatte ich bereits 2018 das Thema aufgegriffen, dass Microsoft systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook sammelt. Heimlich, ohne die Leute zu informieren. Seinerzeit hatte Microsoft Nachbesserungen in Office versprochen.
Aber im Jahr 2022 stellte die Deutsche Datenschutzkonferenz (DSK), da oberste Gremium der deutschen Datenschutzbeauftragten, fest, dass Microsoft Office 365 nicht datenschutzkonform eingesetzt werden kann. Hintergrund war, dass die Datenschützer erfolglose Gespräche mit Microsoft geführt hatten, sich Redmond aber weiterte, klar offen zu legen, welche Daten für welche Zwecke erfasst und verarbeitet werden. Ich hatte den Sachverhalt im Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform aufgegriffen.
HBDI sieht datenschutzkonforme Einsatzmöglichkeiten
Blog-Leser Kai hat mich gestern per Mail darauf hin gewiesen, dass der hessische Datenschutzbeauftragte einen Bericht zum Thema Microsoft 365 veröffentlicht hat (die Details lassen sich im Bericht des HBDI zum Einsatz von M365 vom 15. November 2025, 137 Seiten PDF nachlesen). Demnach kann Microsoft 365 datenschutzkonform eingesetzt werden, sowohl von hessischen Privatunternehmen, als auch vom öffentlichen Bereich.
Der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Roßnagel, erläutert diese Feststellung: "Seit Januar 2025 haben wir mit Microsoft in vielen Diskussionsrunden über den Datenschutz bei Microsoft 365 verhandelt. Wir haben im Interesse der Nutzer konstruktiv untersucht, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 möglich ist. Das positive Ergebnis bietet nun den Unternehmen und Behörden in Hessen grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten."
Entscheidende Bewegung von Microsoft?
Microsoft (MS) bietet M365 als Cloud-Dienst an. Datenschutzrechtlich gesehen ist daher MS laut Datenschützer Auftragsverarbeiter und der nutzende Kunde Verantwortlicher. Den Datenschutz in M365 regelt MS in einem "Datenschutznachtrag" (Data Protection Addendum – DPA).
Im November 2022 stellte die DSK (Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder fest, dass Verantwortliche den Nachweis, M365 datenschutzrechtskonform zu betreiben, auf der Grundlage des DPA vom 15. September 2022 nicht führen können. Als Grund nannte die DSK, dass das DPA in sieben Kritikpunkten den Vorgaben des Art. 28 DS-GVO für Auftragsverarbeiter nicht entspreche.
Diese sieben Kritikpunkte waren der Maßstab für die oben erwähnten Verhandlungen zwischen dem HBDI und Microsoft in 2025. Der HBDI stellt klar, dass er keine technische Untersuchung einzelner M365-Dienste durchgeführt habe. Es ist also eine reine verwaltungstechnisch, juristische Einstufung durch den HBDI, die auf Zusicherungen Microsofts beruhen, was ich an dieser Stelle festhalten will.
Manche Formulierungen sind in meinen Augen auch unfreiwillig komisch. So heißt es, das "Microsoft seine Datenverarbeitung an europäische Anforderungen angepasst hat, z.B. durch die EU-Datengrenze, wodurch Microsoft fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet." Der HBDI hat also den Begriff "ein bisschen schwanger" in eine gänzlich neue Bedeutung gehoben.
Das Ganze passt zur Meldung, dass Bayern massiv in die Microsoft Cloud will. Ein Blog-Leser hatte im Diskussionsbereich auf diesen heise-Artikel verwiesen, nachdem Bayern seine Behörden mit Microsoft 365 ausstatten will. Heise zitiert Kritiker, die mit Lizenzkosten in Milliardenhöhe rechnen und vor dem Verlust digitaler Souveränität warnen. Aber "digitale Souveränität" ist nicht die Baustelle des HBDI.
Aber einen hab ich noch als Kontrast: Schleswig-Holstein hat nach diesem heise-Artikel 80 % seiner Lizenzen gekündigt. Die IT dieses Bundeslands hat zum 2. Oktober rund 44.000 Postfächer mit rund 110 Millionen Kalendereinträgen und E-Mails erfolgreich auf Open-Xchange umgezogen. Ein Großteil der Arbeitsplätze in der Verwaltung wurde auf LibreOffice und den Thunderbird als Mail-Client umgestellt.
Das spart dem Bundesland Millionen – und die Migration von Windows auf Linux wurde auch angegangen. Im Norden gehen die Uhren anders als in Bayern, denn in München hat man das LiMux-Projekt ja auch aufgegeben und kehrte in die Fänge Microsofts zurück. Bayern kann es einfach nicht.
Ich gehöre ja noch zur älteren Generation, die schon mal Fernsehen der öffentlich rechtlichen Anstalten einschaltet. Da kommt denn immer der Spruch "Das Beste im Norden …" – ich ich meine "ist unsere Digitalisierung der Behörden mit Open Source". Aber da muss ich mich wohl verhört haben.
Rechtliche Bewertungen geändert
In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben. Der HBDI, Dr. Roßnagel, macht dies, laut seiner Presseerklärung, an folgenden Punkten fest:
- Zum einen hätten sich rechtliche Vorgaben, wie z.B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks, verändert.
- Zum anderen habe MS seine Datenverarbeitung an europäische Anforderungen angepasst wie z.B. durch die EU-Datengrenze, durch die MS fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet.
- Drittens habe MS Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert.
- Viertens konnte der HBDI erreichen, dass MS das Data Protection Addendum, kurz DPA, (für öffentliche Stellen) fortentwickelt hat.
- Schließlich stelle MS zusätzliche Informationen bereit wie z.B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt.
Das positive Ergebnis, was der hessische Datenschutzbeauftragte Dr. Roßnagel sieht, beruht laut seiner Aussage auch auf der Erwartung, dass Microsoft und die Verantwortlichen (in Behörden oder Unternehmen) zusammenwirken, damit die Verantwortlichen M365 datenschutzrechtskonform nutzen können.
Daher endet der Bericht mit Handlungsempfehlungen für die verantwortlichen öffentlichen und nicht-öffentlichen Stellen in Hessen. Auf ihrer Grundlage können verantwortliche Stellen einzelne Bestandteile von M365 einer vertiefenden, datenschutzrechtlichen Betrachtung für den konkreten Einsatz unterziehen und im Erfolgsfall datenschutzkonform einsetzen.
Verantwortung auf Nutzer abgewälzt
Der Leser, der selbst an einer Hochschule Microsoft 365 einsetzen soll, schriebe mir, dass gerade auch hessische Behörden, wie Ministerien, Polizei und Hochschulen lange auf diesen Bericht gewartet haben. Er glaubt, dass die Institutionen nun Microsoft 365 einführen können. Man habe es nun einfacher mit den eigenen Datenschutzbeauftragten im Haus, die bisher allzu gerne auf die ausstehende Stellungnahme des Landes verwiesen hat.
Unter dem Strich hat der hessische Datenschutzbeauftragte aber die Verantwortung klar auf die Nutzer abgewälzt. Diese können theoretisch einen datenschutzkonformen Betrieb sicherstellen, indem z. B. keine persönlichen Daten in Microsoft 365 verarbeitet werden. Wie das Ganze aber praktisch umgesetzt werden könnte, speziell, da Microsoft sein Office 365 monatlich mit Updates versieht und überall Copilot drauf klatscht, bleibt für mich schleierhaft.
So bleibt das Konjunktiv "kann DSGVO-konform eingesetzt werden", wenn der Anwender das sicherstellt. Das ist in meine Augen aber eine juristische Formulierung, die auf Zusicherungen fußt, die bei Licht betrachtet, das Papier nicht wert sind, auf dem sie stehen. Ich hatte im Beitrag Souveräne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern auf das Eingeständnis eines Microsoft Managers in Frankreich verwiesen, der bestätigte, dass Microsoft einen US-Zugriff auf die Daten europäischer Nutzer schlicht nicht verhindern kann. Auch bei heise, die das Thema hier aufgreifen, sieht man eine "Entscheidung am grünen Tisch" ohne jegliche Prüfung. Die Diskussion im Kommentarbereit zeigt denn auch die Skepsis vieler Leute, die sich mit der Thematik in Betrieben und Behörden auseinander setzen müssen.
Wie das alles am Ende des Tages ausschaut, wird man abwarten müssen. Ich stelle mal eine Information, die ich schon länger habe, mit hier im Artikel ein. Gegen den Angemessenheitsbeschluss der EU-Kommission, der die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Framework regelt, hatte der französische Abgeordnete Latombe vor dem Europäischen Gerichtshof geklagt, aber das wurde abgewiesen. heise berichtete Ende Oktober 2025, dass Latombe nun Rechtsmittel beim Europäischen Gerichtshof (EuGH) einlegen wird. Kippt der EuGH den Angemessenheitsbeschluss, stehen die MS 365-Nutzer nackt da.
Ähnliche Artikel:
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-Württembergs Schulen ersetzt worden sein
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten
Office3 65 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
DSGVO-Info über Privatsphäreneinstellungen in Office 365 Plus
Noyb reicht gegen Microsoft 365 Education DSGVO-Beschwerden ein
MVP: 2013 – 2016
Das Microsoft alle personenbezogenen Daten im EWR verarbeitet ist doch nur Vernebelungstaktik.
Der US Cloud Act sichert den US-Diensten den Zugriff auf alle Server zu, die von US-Unternehmen betrieben oder genutzt werden.
Der Cloud Act schreibt explizit, das es dabei keine Rolle spielt, wo auf der Welt diese Server stehen.
D.H. konkret, das Server von US-Firmen, die im EWR stehen, genauso unter den Cloud Act fallen wie Server, die in den USA stehen.
Die einzige Lösung sehe ich in OnPrem und entsprechener Konfiguration der Firmenfirewall, durch die die Datenübermittlung von Office blockiert wird.
Die Desktopfirewall von Windows reicht da nicht, denn Microsoft hat da absichtlich diverse Löcher drin, die sich nicht schließen lassen, um sicherzustellen, das bestimmter Datenübermittlungen nicht blockiert werden können.
Und was das EU-US DPF angeht:
Das ist doch nur Papier, dessen Einhaltung nicht kontrolliert werden kann.
Datenzugriffe von US-Diensten auf Grundlage des Cloud Acts müssen geheim bleiben. Es darf nicht einmal darüber informiert werden, das überhaupt Datenzugriffe stattgefunden haben.
Demnächst dann: "Hessen setzt Office 365 nicht DSGVO-konform ein."
Deshalb heisst es "Cloud" weil Microsoft die Daten klaut! ;-)
Oder amerikanisch: Big Microsoft is watching you!
Und in Ossi Deutsch: Guck und Horch!
Wer sich also auf Microsoft´s Versprechen einlässt, riskiert nach wie vor, dass sensible Daten in die U.S.A. wandern und dort von wem ausgewertet werden? Trump? NSA? Und von wem noch?
Früher mal hatte man einen Server, der hat lokal alle Daten gespeichert und regelmäßig gesichert. Aber heutzutage muss ja alles in die "Cloud" und Gott weiß wo dann diese Daten landen. Einziger Vorteil: man spart sich die lokale IT und einen teuren lokalen Server. Microsoft und die Schnüffeldienste wird´s freuen!
Och menno, "lokale Daten" lassen sich doch aber nicht monetarisieren – also zumind. jedenfalls nicht von anderen! 😉
die Monetarisierung von Daten stellt bei Klauts eher das geringste Problem dar. Der Zugriff von Diensten das größere. Zumindest mal für exponierte Persönlichkeiten. "Wollen wir doch mal schauen, was wir von dem finden…" Und plötzlich Rücktritt. In welchen Klauts sichert eigentlich die Bundeswehr ihre Daten…?
Wie soll eine DSGVO-Konforme Nutzung überhaut möglich sein, wenn sich Copilot trotz Ausschalten selbständig wieder aktiviert?
Wie soll ein kleiner Handwerksbetrieb denn sicherstellen, dass Office DSGVO-Gerecht läuft? Die Mitarbeiter haben neben dem Lesen der zahlreichen Anleitungen und Vorschriften und Updatebeschreibungen von Windows und Office so ganz nebenbei auch einen Handwerksbetrieb am Laufen zu halten!
Das verstehen viele nicht, das es primär um den Erhalt des Betriebes geht und die anstehenden Aufträge abgearbeitet werden müssen. Wenn hier MS365 eingesetzt wird, dann ist das so.
Betr. "Der HBDI stellt klar, dass er keine technische Untersuchung einzelner M365-Dienste durchgeführt habe. ":
Er hat sich gewaschen, ohne sich nass zu machen.
Datenschutzbeauftragte aktueller Prägung und ihr Apparat sind Auswüchse nutzloser, um sich selbst kreisender Bürokratie. Sie sollten aufgelöst werden. Jeder frei werdende Steuercent ist in der Sanierung von Schulhaustoiletten sinnvoller angelegt.
Dem Rechtsgut informationeller Selbstbestimmung muss der selbe Rang wie dem Recht auf Unversehrtheit von Leib und Leben eingeräumt werden. Das bedeutet insb. auch eine Datenschutzaufsicht, die im Vergleich zur staatlichen Gewerbeaufsicht, Gesundheitsaufsicht, Strassenverkehrsaufsicht budgetär, vollzugsrechtlich, personell und technisch ebenbürtig ausgestattet ist und nicht bloss symbolischen Charakter hat.
Schon im Terminus Datenschutzbeauftragter klingt die Kastratennatur der Institution an, analog Behindertenbeauftragter, Gleichstellungsbeauftragter.
Hat man je von Gesundheitsbebauftragten, Strassenverkehrsbeauftragten, Kernkraftbeauftragten gehört? Eben!
Dr. Rossnagel: 6, setzen, durchgefallen!
Ich frage mich ernsthaft, wie weit das Niveau auch bei Akademikern gesunken ist, dass die "Wissenschaftler" sich so von MS vereiern lassen…. Und gab es da nicht das amerikanische Gesetz, dass mind. die Geheimdienste/Regierung jederzeit Zugriff verlangen können, auch im Ausland?
Dass die Bayern das nicht kapieren, ist schon klar, denn wo ist die Zentrale von MS? Natürlich in München! Und wo wurde das LiMux-Projekt gestoppt und kurz nachher die neue Zentrale gebaut? Natürlich in München! Ein Schelm, wer da Zusammenhänge erkennt… Das es auch anders geht, zeigt ja gerade Schleswig-Holstein.
Da bleibt man wirklich sprachlos zurück. Vor allem, was die Vorgehensweise betrifft, die zur Bewertung führt. Auf welch niedrigem Niveau kann man noch operieren?
Besser ist es dann, im Büro weiter zu schlafen und einfach nichts zu diesem Thema zu sagen, das ist ungeheuerlich.
Das ist noch schlimmer als das BSI, dass auch im Jahre 2025 noch Empfehlungen zur W10 1607 Konfiguration herausgibt, für neuere Versionen oder gar W11 überhaupt nichts in der Pipeline hat und die Absicherung der Server gar komplett außen vor lässt.
Wozu werden die von Steuergeldern bezahlt? Es ist und bleibt eine Schande.
Wundert mich irgendwie nicht. Ich hatte, da der hessische Datenschutzbeauftragte für die DB zuständig ist, vor etwa 2 Jahren dorthin geschrieben, als die physische BahnCard abgekündigt wurde und es nach Zwang zum DB Navigator aussah (was einem Google- oder Apple-Zwang gleichkommt). Ich bekam nie eine Antwort, was mir bei einer Behörde schon merkwürdig war.
Wortmeldungen auf Mastodon zeigten mir dann aber: kein Einzelfall. Man müsse, wenn man dorthin schreibe, sich genau auf bestimmte gesetzliche Regelungen berufen (welche, habe ich inzwischen wieder vergessen), um damit eine Reaktion einzufordern. Also Erzwingung einer Antwort überhaupt durch Benennung der Rechtsgrundlagen.
Komische Behörde dort. Da war Ulrich Kelber in seiner Berliner Behörde schon anders drauf…
Damit hat er doch sogar recht: wer alles OnPrem fährt und in der Firewall alle Verbindungen zu MS kappt und auf solchen Scheiß wie KI verzichtet, kann ein Microsoft Windows und Office konform betreiben und es ist Sache des Users… ich sehe da keinen Widerspruch… Ich muss auch meine persönlichen Daten nicht überall verteilen!
Wer halt Cloud-KI und all den anderen Buzzword-Scheiß braucht, hat seine Datenhoheit doch schon lange selbst aufgegeben, warum sollte da dann der Staat also ein Aufhebens drum machen?
DU bist verantwortlich, nicht andere! Es liegt alleine in deiner Hand! Datenschutz fängt bei dir an.
Ich nutze Windows & Office sowohl privat (Offline-Konto) als auch geschäftlich (OnPrem) und mehr als die Lizenzierungsdaten hat MS da nicht, weil alles andere geblockt wird! (K)ünstliche (I)nkomepetenz nutze ich nicht. Cloud existiert als OwnCloud auf eigenen Systemen. Es geht, wenn man will. Wer natürlich Buzzword-getrieben ist und seinen Kopf nur dazu hat, damit es bei Regen nicht in den Hals schifft, hat verloren.
Vermissen oder Nachteile habe ich keine.
Geschäftspartner haben auch nur die notwendigen Daten: Name Anschrift Konto, alles keine Geheimnisse…
Um Microsoft 365 benutzen zu können, muss man mit einem Microsoft-Online-Konto eingeloggt sein.
Das ist ein wesentlicher Unterschied zu früheren Office-Versionen.
Wenn man mit der Firewall alles sperrt, dann funktioniert das Microsoft-Konto nicht mehr.
Mit so einem Microsoft-Konto kann man jede Firewall tunneln.
Außerdem gibt es das neueste Office nur noch als Abo und deswegen muss man regelmäßig seine Lizenz online überprüfen lassen, sonst wird es nach spätestens 180 Tagen deaktiviert.
Und warum ist das so? Weil die Leute es nutzen… Sowohl Windows wie auch Office gibt es noch rein OnPrem… selbst Schuld wer den "Always On" Shice nutzt. Also mein MS Office 2024 hat jetzt nix gegenüber MS Office 365 was ich vermissen würde und mein Win10 funktioniert mit Offline Konto auch einwandfrei. Hält so auch noch bis mind. 2032. Wie es danach aussieht wird man sehen. Office lässt sich leicht ersetzen Windows naja…
In der Firma bist du als Angestellter natürlich auf das Handeln des Cheffes angewiesen, wenn der jedem Hype nachhechelt wie ne läufige Hündin hast du da Pech… kann dir da aber ja egal sein: da hast du ja kaum bis keine eigene Daten drinn!
Also sind wir wieder bei der Eigenverantwortung… MS kann den ganzen Scheiß nur machen weil es genug dumb user gibt, die sich keine Gedanken über ihre Sicherheit & Privatsphäre machen… man muss nicht jedem Shice hinterherlaufen. Setzt halt voraus das man selbst denkt.
Dass die "Verantwortung auf Nutzer abgewälzt" wird und der HBDI nur "kann DSGVO-konform eingesetzt werden" bestätigt, hat überhaupt nichts mit Microsoft 365 zu tun. Auch Nextcloud auf meinem eigenen Server ist nicht DSGVO-konform, wenn ich dort personenbezogene Daten hochlade und einen öffentlichen Freigabelink dafür im Fediverse poste.
richtig, aber nextcloud versucht nicht von sich aus die Daten abzuziehen!
Da ist Datenabgang dann "Eigene Dummheit"… was bei KI Cloud und MS anders ist, die sind hinter deinen Daten her wie Fliegen hinter Scheiße.
Wohl auch ein Grund warum viele Verantwortliche das bevorzugen, können sie doch die Schuld auf Andere schieben! Tja ist die Cloud, ist KI da kann man nix machen… doch man kann!
Das sind aber schon zwei wenn's, die ich aktiv als Nutzer tun muss, oder?
Natürlich. Der Punkt sollte nur sein: Es ist kein Malus, wenn der HBDI davon spricht, dass die Software DSGVO-konform eingesetzt werden "kann".
Mehr geht einfach nicht. Er kann nicht sagen, der Einsatz einer solchen Software ist garantiert immer DSGVO-konform, weil es immer auch darauf ankommt, was der Nutzer damit anstellt – siehe das Beispiel mit Freigabelink posten.
Ist halt wieder Mal eine Pressemitteilung einer Datenschutz Behörde. Wertlos für jeden.
Denn es ist kein Bescheid. Und sogar schon in der Überschrift wird relativiert mit "kann". Im Text dann noch mehr relativiert.. Niemand kann sich also weder positiv noch negativ darauf berufen.
Ordnet sich damit in die ewige Liste der sinnlosen Pressemitteilungen ein.
Klar dafür ist noch immer der positive Angemessenheits Beschluss der EU zum Datenexport in die USA.
Schön wäre zumindest wenn die Mitteilung eine sinnvolle Erklärung liefern würde "wie" man "kann".
War zu erwarten.
Microsofts Ruf hängt daran die einschlägigen Gesetze und Vorgaben einzuhalten.
Das man mit Datenschutz und Co zusammenarbeitet und Lösungen findet, war also abzusehen.
Wir haben ja in Deutschland nicht mal die strengsten Vorgaben.
Je nach Thema sind z.B. UK oder Australien teils schärfer.
Auch da passen die Services. Man schaue nur auf NHS.
Stand der Technik in der DSGVO ist gegeben… das wir in Deutschland eher nicht dafür aufgestellt sind?!?
Microsoft und Gesetze und Vorgaben in der EU einhalten?
Das wäre ja ein ganz neuer Zug von Microsoft!
Beispielsweise steht in den Lizenzbedingungen immer noch drin, das Volumenlizenzen nicht entbündelt werden dürfen. Dürfen sie aber lt. Grundsatzurteil des BGHs.
Oder das OEM-Lizenzen von der Hardware entbündelt werden dürfen. Auch das ist lt. BGH in Deutschland legal.
In die Lizenzbedingungen von Microsoft hat diese Rechtssprechung keinen Einzug gehalten.
Und den Zugriff von US-Diensten im Rahmen des Cloud Acts kann Microsoft nicht verhindern, denn sonst bekommen die in den USA ganz schnell mächtig Ärger. Das hat Microsoft in Frankreich auch offen zugegeben.
Selbst wenn Microsoft wollte: Microsoft kann sich auf Grund von US-Gesetzen gar nicht an die DSGVO halten und auch alle anderen US-Unternehmen nicht. Alle Abkommen von US-Unternehmen mit EU-Behörden und Firmen bzgl. Einhaltung der DSGVO sind also nicht das Papier wert, auf dem sie stehen.
Und ebenso ist das EU-US DPF ist das Papier nicht wert, auf dem es steht.
Denn lt. Cloud Act darf nicht über einen Datenzugriff der US-Behörden informiert werden. Das unterliegt strengster Geheimhaltung.
Ob sich die US-Behörden also an den EU-US DPF halten oder nicht wird man nie erfahren.
Da sitzt offenbar jemand nicht zufällig auf seinem Platz.