Hessische Beauftragte für Datenschutz und Informationssicherheit (HBDI) veröffentlichen Bericht zur datenschutzkonformen Nutzung von Microsoft 365

Der Hessische Beauftragte für Datenschutz und Informationssicherheit (HBDI) hat mit seinem Bericht vom 15. November 2025 erstmals offiziell bestätigt: Microsoft 365 kann – unter bestimmten Bedingungen – datenschutzkonform betrieben werden. Grundlage sind veränderte rechtliche Rahmenbedingungen, Aktualisierungen des Microsoft-DPA sowie Verbesserungen bei Transparenz und Sicherheitsmaßnahmen. Dennoch bleibt der Bericht eine orientierende Einschätzung und ersetzt keine konkrete technische oder organisatorische Umsetzungshilfe. Viele zentrale Anforderungen – etwa Konfigurationsvorgaben, DSFA-Vorlagen, Sicherheitskonzepte, KI-Bewertungen oder Dokumentationsstandards – werden nicht bereitgestellt und verbleiben vollständig in der Verantwortung der Organisationen.

Genau hier setzt Provectus gemeinsam mit PRW Legal Tech an: Mit dem PRW Compliance Set liefern wir die fehlenden Leitlinien, Auditvorlagen, Sicherheitsstandards und KI-spezifischen Bewertungen, die notwendig sind, um Microsoft 365 rechtssicher und prüfbar zu betreiben, in Hessen wie bundesweit. Während der HBDI-Bericht bestätigt, dass M365 datenschutzkonform nutzbar ist, liefern wir, wie es konkret umgesetzt wird. Dieser Bericht markiert damit einen wichtigen Meilenstein, zeigt aber zugleich deutlich den Bedarf an praktikablen Lösungen für eine vollumfängliche M365-Compliance.

Ausgangslage

Cloud-Dienste sind heutzutage Standard – auch für öffentliche Verwaltungen und Unternehmen. Der Einsatz von Microsoft 365 wirft jedoch noch immer für vielen Unternehmen Fragen hinsichtlich des Datenschutzes auf: Werden personenbezogene Daten ordnungsgemäß verarbeitet? Gibt es ausreichende Vorgaben und Garantien?

Im Juli 2025 hat Microsoft das sogenannte „M365-Kit“ veröffentlicht – auch bekannt als das DSGVO-Kit für Microsoft 365. Hierzu haben wir in unserem Blog im Oktober eine Einschätzung unseres Partners PRW Legal Tech bereits Bezug genommen.

Jetzt gibt es noch eine weitere Einschätzung vom HBDI. Mit dem Bericht vom 15. November 2025 stellt dieser nun klar: Ja – unter bestimmten Bedingungen lässt sich Microsoft 365 datenschutzkonform einsetzen.

Hintergrund

Der HBDI begleitete seit Januar 2025 Verhandlungen mit Microsoft Corporation zum Datenschutz von Microsoft 365. Anlass war u. a. eine frühere Einschätzung der Datenschutzkonferenz (DSK) vom November 2022: Demnach erfüllte der damals gültige Datenschutznachtrag (Data Protection Addendum – DPA) von Microsoft vom 15. September 2022 nicht die Anforderungen von Artikel 28 der Datenschutz‑Grundverordnung (DSGVO).

Damit stand insbesondere die Frage im Raum: Wie lässt sich ein Cloud-Dienst wie Microsoft 365 in öffentlichen Stellen oder Wirtschaftsunternehmen in Deutschland rechtssicher nutzen?

Wichtige Änderungen & Bewertung durch den HBDI

Der HBDI stellt in seinem Bericht fest, dass sich mehrere zentrale Rahmenbedingungen geändert haben – und Microsoft nachgebessert hat:

• Rechtliche Rahmenbedingungen: Mit dem EU‑US Data Privacy Framework haben sich Übertragungsmöglichkeiten in Drittstaaten verändert. Microsoft gibt an, nahezu alle personenbezogenen Daten im Europäischen Wirtschaftsraum (EWR) zu verarbeiten.
• Vertragliches Gestaltungsfeld: Microsoft hat den Datenschutznachtrag für öffentliche Stellen weiterentwickelt und zusätzliche Materialien bereitgestellt (z. B. M365-Kit zur Unterstützung der Dokumentation (siehe Blogbeitrag Microsoft M365-Kit im Praxistest).
• Transparenz und technische Maßnahmen: Die Veröffentlichung von Informationen zu Unterauftragnehmern, Lösch- und Rückgabeverfahren sowie Sicherheitsmaßnahmen wurde verbessert.

Die sieben Kritikpunkte der DSK und wie sie adressiert wurden

Der HBDI listet die ursprünglichen Kritikpunkte der DSK auf und erläutert, wie Microsoft diesen begegnet ist:

1. Unklare Angaben zu Art, Zweck und Kategorien der Datenverarbeitung – Microsoft hat Informationsmaterialien erstellt und den DPA überarbeitet, so dass Verantwortliche die Verarbeitung besser in ihr Verzeichnis einbinden können.
2. Unzureichend konkretisierte Rechte für Datenverarbeitung durch Microsoft – Microsoft erklärte, dass nur Log- und Diagnosedaten, nicht jedoch Inhaltsdaten, in anonymisierter/aggregierter Form für eigene Zwecke verarbeitet werden.
3. Umfangreiche Befugnisse zur Verarbeitung und Offenlegung in Drittstaaten – Der DPA verpflichtet Microsoft nun zur Verarbeitung nur auf dokumentierte Weisung des Kunden und Unterwerfung unter DSGVO-Regeln.
4. Fehlende Verpflichtung zu technisch-organisatorischen Sicherheitsmaßnahmen – Microsoft verpflichtet sich, die Vorgaben der DSGVO einzuhalten.
5. Unklare Rückgabe- und Löschverpflichtungen – Microsoft bietet Löschprozesse an und ermöglicht Kunden, Daten selbst oder über Microsoft löschen zu lassen.
6. Unzureichende Information über geplante Änderungen bei Unterauftragnehmern – Über sein Service Trust Portal informiert Microsoft sechs bzw. einen Monat im Voraus über jeden Unterauftragnehmer.
7. Unzulässige Datenübermittlung in Drittstaaten (z. B. USA) – Microsoft verarbeitet inzwischen Daten „fast vollständig im EWR“. Verbleibende Übermittlungen in Drittstaaten sind durch Angemessenheitsbeschlüsse bzw. Standardvertragsklauseln gedeckt.

Bedeutung für Unternehmen und Behörden

Die zentrale Aussage des HBDI ist eindeutig: Microsoft 365 kann datenschutzkonform eingesetzt werden, vorausgesetzt, Verantwortliche (Unternehmen wie Behörden) berücksichtigen und erfüllen die angepassten Rahmenbedingungen.

Der Bericht des HBDI schafft wichtige Klarheit, ersetzt jedoch keine technische Anleitung für eine vollständig compliance-fähige M365-Umgebung. Das ist weder Aufgabe von Microsoft noch der Aufsichtsbehörde. Die Verantwortung für die datenschutzkonforme Umsetzung bleibt klar bei den Verantwortlichen selbst.

Verantwortung für datenschutzkonformen Betrieb bleibt bei den Organisationen

Dass ein datenschutzkonformer Betrieb von Microsoft 365 möglich ist, postulieren wir bei Provectus seit langem und haben dies bereits in zahlreichen Projekten erfolgreich umgesetzt, insbesondere im hochregulierten Sozialdatenumfeld.
Entscheidend bleibt jedoch die richtige technische und organisatorische Umsetzung, unabhängig davon, ob in Hessen oder in anderen Bundesländern.

Gemeinsam mit unserem Partner PRW Legal Tech bieten wir eine Lösung, die genau diese Umsetzung ermöglicht, rechtskonform, technisch fundiert und auditfähig. Während der HBDI-Bericht aufzeigt, was erforderlich ist, liefert unsere Lösung, wie es konkret umzusetzen ist.

Im Folgenden zeigen wir auf, welche Fragen der HBDI offenlässt – und wie unsere M365-Compliance-Lösung diese Lücken schließt.

Wo der HBDI-Bericht Lücken lässt – und wie wir sie schließen

1. Fehlende technische Umsetzungsanleitungen

Was fehlt im Bericht des HBDI:

• Keine Konfigurationsvorgaben für Microsoft 365
• Keine technischen Baselines oder Best Practices
• Keine konkreten Sicherheitseinstellungen

Was wir liefern:
Vollständige, auditfähige Konfigurationsleitfäden und technische Baselines für alle relevanten M365-Komponenten.

2. Keine Vorlagen für Datenschutzfolgeabschätzungen (DSFA)

Was fehlt im HBDI-Bericht:

• DSFA bleibt Pflicht der Verantwortlichen – aber ohne bereitgestellte Vorlage
• Keine Risikomatrizen, Muster oder Technikeinschätzungen

Was wir liefern:
Vorgefertigte DSFA-Bausteine für alle M365-Dienste – strukturiert, nachvollziehbar und individuell anpassbar.

3. Keine rechtsverbindlichen Mustertexte (VVT, TOMs, Policies)

Was fehlt im Bericht:

• Keine Formulierungshilfen für VVT, Datenschutzhinweise oder Richtlinien
• Microsofts M365-Kit ist nicht rechtsverbindlich

Was wir liefern:
Vollständige rechtssichere Dokumente:

• Datenschutztexte
• TOMs gemäß Art. 32 DSGVO
• Betriebs- und Governance-Richtlinien

4. Copilot wird kaum berücksichtigt

Was fehlt im Bericht:

• Keine Hinweise zu Prompt Logging
• Keine Bewertung spezifischer KI-Risiken
• Keine Vorgaben zu Transparenz, Datenverarbeitung und KI-Sicherheit

Was wir liefern:
KI-bezogene DSFA, Risikobewertungen, Prozesse und Governance-Vorgaben, speziell für Copilot und andere KI-Funktionen.

5. Keine technischen Sicherheitskonzepte

Was fehlt im HBDI-Bericht:
Der Bericht verweist weitgehend auf Microsoft, ohne eigene technische Prüfung. Es fehlen Vorgaben u. a. zu:

• Data Loss Prevention (DLP)
• Conditional Access
• Purview (Datenklassifizierung & Governance)
• Verschlüsselungs-, Backup- und Schlüsselkonzepte
• Endpoint Security

Was wir liefern:
Vollständige Sicherheitsstandards, Konzepte und Umsetzungsvorlagen.

6. Kein Datenschutz-Lifecycle-Konzept

Was fehlt im Bericht:

• Nur abstrakte Hinweise zu Löschung und Aufbewahrung
• Keine Umsetzungsmodelle in M365
• Keine Retention-Policy-Konzepte

Was wir liefern:
Fertige Aufbewahrungs- und Löschkonzepte, abgestimmt auf M365-Mechanismen.

7. Keine Risikoargumentation für die Entscheiderebene

Was fehlt im Bericht:

• Juristisch komplex formuliert
• Keine Orientierung für Management-Entscheidungen
• Keine strukturierten Risiko- und Haftungsdarstellungen

Was wir liefern:
Verständliche Entscheidervorlagen, Risikoargumentationen und Maßnahmenempfehlungen für Führungskräfte.

8. Geltung primär für Hessen – Anforderungen bundesweit unterschiedlich

Was fehlt im Bericht:

• Keine bindende Wirkung für andere Landesaufsichten
• Unterschiedliche Anforderungen in anderen Bundesländern möglich

Was wir liefern:
Bundesweit harmonisierte Compliance-Standards und einheitliche M365-Umsetzungsmodelle.

9. Der HBDI-Bericht ist statisch – M365 entwickelt sich ständig weiter

Was fehlt im Bericht:

• Keine Berücksichtigung des schnellen Feature-Wandels
• Neue Sicherheitsfunktionen laufend
• Bericht bildet nur den Status quo ab

Was wir liefern:
Laufende Aktualisierungen und åeinen Evergreen-Service, der neue Microsoft-Änderungen bewertet und konkrete Handlungsempfehlungen bereitstellt.

Fazit

Der Bericht des HBDI markiert einen wichtigen Meilenstein: Der Einsatz von Microsoft 365 in Hessen ist nicht grundsätzlich datenschutzrechtlich ausgeschlossen – er ist möglich und rechtssicher machbar. Voraussetzung ist jedoch, dass die vertraglichen, technischen und organisatorischen Voraussetzungen eingehalten werden.

Damit unterstreicht der HBDI unsere Sicht auf den datenschutzkonformen Einsatz von Microsoft 365: Es ist möglich, wenn man die richtigen Maßnahmen trifft!

Für Verantwortliche stellt sich aus unserer Sicht längst nicht mehr die Frage, ob ein datenschutzkonformer Einsatz möglich ist, sondern vielmehr, wie er konkret und sicher umgesetzt werden kann. Der von Microsoft weiterentwickelte DPA, die bereitgestellten Informationsmaterialien sowie die vom HBDI veröffentlichten Handlungsempfehlungen bilden inzwischen ein zunehmend tragfähiges Fundament. Allerdings stellen die Aufsichtsbehörden keine prüfbaren Vorgaben für Konfiguration, Risikoanalysen oder Dokumentationspflichten bereit. Der HBDI-Bericht sorgt in vielen Bereichen für mehr Orientierung, ersetzt jedoch keine vollständige Compliance – und das ist weder Aufgabe von Microsoft noch des HBDI. Die letztendliche Verantwortung bleibt weiterhin bei den Verantwortlichen selbst.

Genau hier setzen wir an. Provectus unterstützt seit vielen Jahren gemeinsam mit unserem Partner PRW Legal Tech insbesondere stark regulierte Unternehmen und begleitet sie erfolgreich auf ihrem datenschutzkonformen Weg in die Cloud.

Quelle: datenschutz.hessen.de

Sie wollen wissen, wie sie M365 datenschutzkonform betreiben. Wir beraten Sie gerne.