{"id":318222,"date":"2025-11-15T12:00:38","date_gmt":"2025-11-15T11:00:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=318222"},"modified":"2025-11-16T01:58:56","modified_gmt":"2025-11-16T00:58:56","slug":"hessischer-datenschuetzer-office-365-kann-dsgvo-konform-eingesetzt-werden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/11\/15\/hessischer-datenschuetzer-office-365-kann-dsgvo-konform-eingesetzt-werden\/","title":{"rendered":"Hessischer Datensch\u00fctzer: Office 365 kann DSGVO-konform eingesetzt werden"},"content":{"rendered":"

Der Hessische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit (HBDI), Ulrich Rossnagel, hat zum 15. November 2025 einen Bericht vorgelegt, dass Microsoft Office 365 in Hessen datenschutzkonform genutzt werden kann. Hier einige Informationen und Gedanken um dieses Thema.<\/p>\n

<\/p>\n

R\u00fcckblick auf ein kontroverses Thema<\/h2>\n

\"\"Seit vielen Jahren schwelt bereits der Streit, ob Microsoft Office datenschutzkonform einsetzbar ist. Im Beitrag Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO<\/a> hatte ich bereits 2018 das Thema aufgegriffen, dass Microsoft systematisch und in gro\u00dfem Umfang Daten \u00fcber die individuelle Nutzung von Word, Excel, PowerPoint und Outlook sammelt. Heimlich, ohne die Leute zu informieren. Seinerzeit hatte Microsoft Nachbesserungen in Office versprochen.<\/p>\n

Aber im Jahr 2022 stellte die Deutsche Datenschutzkonferenz (DSK), da oberste Gremium der deutschen Datenschutzbeauftragten, fest, dass Microsoft Office 365 nicht datenschutzkonform eingesetzt werden kann. Hintergrund war, dass die Datensch\u00fctzer erfolglose Gespr\u00e4che mit Microsoft gef\u00fchrt hatten, sich Redmond aber weiterte, klar offen zu legen, welche Daten f\u00fcr welche Zwecke erfasst und verarbeitet werden. Ich hatte den Sachverhalt im Beitrag\u00a0Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a> aufgegriffen.<\/p>\n

HBDI sieht datenschutzkonforme Einsatzm\u00f6glichkeiten<\/h2>\n

Blog-Leser Kai hat mich gestern per Mail darauf hin gewiesen, dass\u00a0der hessische Datenschutzbeauftragte einen Bericht zum Thema Microsoft 365 ver\u00f6ffentlicht hat (die Details lassen sich im Bericht des HBDI zum Einsatz von M365<\/span><\/a> vom 15. November 2025, 137 Seiten PDF nachlesen). Demnach kann Microsoft 365 datenschutzkonform eingesetzt werden, sowohl von hessischen Privatunternehmen, als auch vom \u00f6ffentlichen Bereich.<\/p>\n

Der hessische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Ro\u00dfnagel, erl\u00e4utert<\/a> diese Feststellung: \"Seit Januar 2025 haben wir mit Microsoft in vielen Diskussionsrunden \u00fcber den Datenschutz bei Microsoft 365 verhandelt. Wir haben im Interesse der Nutzer konstruktiv untersucht, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 m\u00f6glich ist. Das positive Ergebnis bietet nun den Unternehmen und Beh\u00f6rden in Hessen grundlegende Rechts- und Handlungssicherheit f\u00fcr den datenschutzkonformen Einsatz von M365-Produkten.\"<\/p>\n

Entscheidende Bewegung von Microsoft?<\/h3>\n

Microsoft (MS) bietet M365 als Cloud-Dienst an. Datenschutzrechtlich gesehen ist daher MS laut Datensch\u00fctzer Auftragsverarbeiter und der nutzende Kunde Verantwortlicher. Den Datenschutz in M365 regelt MS in einem \"Datenschutznachtrag\" (Data Protection Addendum \u2013 DPA).<\/p>\n

Im November 2022 stellte die DSK (Konferenz der Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder fest, dass Verantwortliche den Nachweis, M365 datenschutzrechtskonform zu betreiben, auf der Grundlage des DPA vom 15. September 2022 nicht f\u00fchren k\u00f6nnen. Als Grund nannte die DSK, dass das DPA in sieben Kritikpunkten den Vorgaben des Art. 28 DS-GVO f\u00fcr Auftragsverarbeiter nicht entspreche.<\/p>\n

Diese sieben Kritikpunkte waren der Ma\u00dfstab f\u00fcr die oben erw\u00e4hnten Verhandlungen zwischen dem HBDI und Microsoft in 2025. Der HBDI stellt klar, dass er keine technische Untersuchung einzelner M365-Dienste durchgef\u00fchrt habe. Es ist also eine reine verwaltungstechnisch, juristische Einstufung durch den HBDI, die auf Zusicherungen Microsofts beruhen, was ich an dieser Stelle festhalten will.<\/p>\n

Manche Formulierungen sind in meinen Augen auch unfreiwillig komisch. So hei\u00dft es, das \"Microsoft seine Datenverarbeitung an europ\u00e4ische Anforderungen angepasst hat, z.B. durch die EU-Datengrenze, wodurch Microsoft fast alle personenbezogenen Daten im Europ\u00e4ischen Wirtschaftsraum verarbeitet.\" Der HBDI hat also den Begriff \"ein bisschen schwanger\" in eine g\u00e4nzlich neue Bedeutung gehoben.<\/p>\n

Das Ganze passt zur Meldung, dass Bayern massiv in die Microsoft Cloud will. Ein Blog-Leser hatte im Diskussionsbereich auf diesen heise-Artikel<\/a> verwiesen, nachdem\u00a0Bayern seine Beh\u00f6rden mit Microsoft 365 ausstatten will. Heise zitiert Kritiker, die mit Lizenzkosten in Milliardenh\u00f6he rechnen und vor dem Verlust digitaler Souver\u00e4nit\u00e4t warnen. Aber \"digitale Souver\u00e4nit\u00e4t\" ist nicht die Baustelle des HBDI.<\/p>\n

Aber einen hab ich noch als Kontrast: Schleswig-Holstein hat nach diesem heise-Artikel<\/a> 80 % seiner Lizenzen gek\u00fcndigt. Die IT dieses Bundeslands hat zum 2. Oktober rund 44.000 Postf\u00e4cher mit rund 110 Millionen Kalendereintr\u00e4gen und E-Mails erfolgreich auf Open-Xchange umgezogen. Ein Gro\u00dfteil der Arbeitspl\u00e4tze in der Verwaltung wurde auf LibreOffice\u00a0 und den Thunderbird als Mail-Client umgestellt.<\/p>\n

Das spart dem Bundesland Millionen – und die Migration von Windows auf Linux wurde auch angegangen. Im Norden gehen die Uhren anders als in Bayern, denn in M\u00fcnchen hat man das LiMux-Projekt ja auch aufgegeben und kehrte in die F\u00e4nge Microsofts zur\u00fcck. Bayern kann es einfach nicht.<\/p>\n

Ich geh\u00f6re ja noch zur \u00e4lteren Generation, die schon mal Fernsehen der \u00f6ffentlich rechtlichen Anstalten einschaltet. Da kommt denn immer der Spruch \"Das Beste im Norden …\" – ich ich meine \"ist unsere Digitalisierung der Beh\u00f6rden mit Open Source\". Aber da muss ich mich wohl verh\u00f6rt haben.<\/p><\/blockquote>\n

Rechtliche Bewertungen ge\u00e4ndert<\/h3>\n

In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen ge\u00e4ndert haben. Der HBDI, Dr. Ro\u00dfnagel, macht dies, laut seiner Presseerkl\u00e4rung<\/a>, an folgenden Punkten fest:<\/p>\n