Microsoft 365 DSGVO-konform einrichten: Checkliste für KMU

Inhalt in Kürze

• Microsoft 365 ist weder pauschal „verboten“ noch automatisch konform – entscheidend ist Ihre Tenant-Konfiguration und die Dokumentation der Datenströme.
• Den AVV liefert Microsoft als „Data Protection Addendum“ (DPA) mit den Product Terms. Sie müssen ihn nicht unterschreiben, aber dokumentieren – Stand, Version, Unterauftragsverarbeiter.
• Die EU Data Boundary (Phase 3 abgeschlossen Februar 2025) hält Kunden-, Support- und Diagnosedaten in der EU/EFTA – ersetzt aber keine eigene Drittland-Prüfung.
• Microsoft 365 Copilot macht Berechtigungsfehler sichtbar: Vor dem Rollout brauchen Sie DSFA, sauberes Berechtigungskonzept und eine KI-Richtlinie.

Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 9 Minuten

„Wir nutzen doch nur Microsoft 365 – das ist doch sicher, oder?“ Diesen Satz höre ich in fast jedem Erstgespräch mit Hamburger Geschäftsführern. Die ehrliche Antwort: Microsoft 365 kann datenschutzkonform laufen, tut es im Auslieferungszustand aber selten. Telemetrie auf „Optional“, externe Freigaben offen, kein dokumentierter AVV, Copilot mit Vollzugriff – das sehen wir bei Hamburger Mandanten regelmäßig. Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie Ihren Tenant DSGVO-konform aufsetzen.

Microsoft 365 DSGVO-konform: Was die Aufsichtsbehörden wirklich sagen

Fangen wir nüchtern an, ohne Panikmache. Es kursieren zwei Mythen: „Microsoft 365 ist verboten“ und „Microsoft 365 ist automatisch konform“. Beide sind falsch.

Die Datenschutzkonferenz (DSK) – das Gremium der deutschen Aufsichtsbehörden – hat den damaligen Microsoft-Datenschutznachtrag im November 2022 bewertet. Kernaussage: Verantwortliche könnten auf Basis der geprüften Vertragsversion den Nachweis nicht führen, dass der Einsatz datenschutzkonform erfolgt (datenschutzkonferenz-online.de). Wesentliche Kritikpunkte: intransparente Verarbeitung zu eigenen Zwecken von Microsoft und die Telemetrie-/Diagnosedaten.

Wichtig: Das war eine Bewertung eines bestimmten Vertragsstands – kein Verbot. Microsoft hat noch am selben Tag widersprochen und seither Vertrag und Technik nachgebessert. Die IHK München bringt die heutige Lage auf den Punkt:

„Microsoft 365 kann datenschutzkonform eingesetzt werden, wenn die Datenströme bekannt sind. Es gibt weder einen Freibrief für das Produkt noch ein Verbot.“ — IHK München

Schritt 1: AVV mit Microsoft abschließen und dokumentieren

Jede Verarbeitung personenbezogener Daten durch Microsoft braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Bei Microsoft heißt der AVV Data Protection Addendum (DPA) und ist Bestandteil der Microsoft Product Terms (microsoft.com/trust).

Der Clou: Sie müssen ihn in der Regel nicht separat unterschreiben. Mit Annahme der Lizenzbedingungen gilt das DPA automatisch. Das ist bequem – und genau deshalb wird es oft vergessen zu dokumentieren. Bei einer HmbBfDI-Anfrage müssen Sie nachweisen können, welche Version gilt.

1. DPA herunterladen: Aktuelle Version aus den Microsoft Product Terms ziehen und mit Datum/Versionsstand ablegen.
2. Unterauftragsverarbeiter prüfen: Microsoft veröffentlicht eine Liste der eingesetzten Subprozessoren. Diese gehört zu Ihren AVV-Unterlagen.
3. Im VVT verknüpfen: Den AVV den betroffenen Verarbeitungstätigkeiten (E-Mail, Kalender, Dateiablage, Teams) im Verzeichnis zuordnen.
4. Standardvertragsklauseln (SCC): Für Resttransfers in Drittländer liegen die EU-SCC dem DPA bei – prüfen, dass sie referenziert sind.

Schritt 2: Drittlandtransfer – EU Data Boundary, DPF und ergänzende Maßnahmen

Microsoft ist ein US-Konzern. Damit landet jeder M365-Einsatz beim Thema Drittlandtransfer (Art. 44 ff. DSGVO). Drei Bausteine machen den Transfer beherrschbar:

1. EU Data Boundary. Microsoft hat die „EU-Datengrenze“ im Februar 2025 mit Phase 3 abgeschlossen (Microsoft Trust Center). Seitdem werden Kundendaten, pseudonymisierte personenbezogene Daten und Support-/Diagnosedaten innerhalb der EU/EFTA gespeichert und verarbeitet. Das adressiert genau die Telemetrie-Kritik der DSK.

2. EU-US Data Privacy Framework (DPF). Microsoft ist nach dem EU-US Data Privacy Framework selbstzertifiziert (dataprivacyframework.gov, Participant 6474). Für Resttransfers in die USA ist damit ein Angemessenheitsbeschluss die Rechtsgrundlage.

3. Ergänzende Maßnahmen. Verlassen Sie sich nicht allein auf Verträge. Verschlüsselung, EU-Datenresidenz im Tenant und Zugriffsbeschränkungen sind die „ergänzenden Maßnahmen“ aus der Schrems-II-Logik.

Schritt 3: Die Härtungs-Checkliste für Ihren Tenant

Jetzt wird es konkret. Die folgenden Einstellungen verwandeln einen Standard-Tenant in einen, der einer Prüfung standhält. Reihenfolge: erst Identität absichern, dann Datenströme, dann Freigaben.

• MFA / Conditional Access erzwingen. Mehr-Faktor-Authentifizierung für alle Konten, vor allem Admins. Conditional-Access-Regeln blocken Logins aus untypischen Ländern. Details in unserem Leitfaden MFA im Unternehmen einführen.
• Audit-Logging aktivieren. Im Compliance-Portal das einheitliche Überwachungsprotokoll einschalten – ohne Logs kein Nachweis bei einer Datenpanne.
• Telemetrie / Diagnosedaten reduzieren. Diagnosedaten-Stufe auf „Erforderlich“, optionale verbundene Erfahrungen deaktivieren – zentral per Intune oder Gruppenrichtlinie.
• Datenstandort EU prüfen. Im Admin-Center kontrollieren, dass Ihr Tenant der EU-Datenresidenz zugeordnet ist.
• Aufbewahrungsrichtlinien setzen. Retention-Policies für E-Mail, Teams und SharePoint – Speicherbegrenzung nach Art. 5 DSGVO statt „alles für immer“.
• Externe Freigaben einschränken. SharePoint/OneDrive-Sharing auf „bestimmte Personen“ statt „jeder mit Link“ stellen, anonyme Links zeitlich begrenzen.
• Gastzugänge steuern. Gäste in Teams/Azure AD regelmäßig auf „Berechtigt?“ prüfen und automatisch ablaufen lassen.
• DLP-Regeln einrichten. Data Loss Prevention erkennt und blockt den Versand von z. B. Kreditkarten- oder Gesundheitsdaten nach außen.
• Mitarbeiter schulen. Die beste Konfiguration scheitert an einem Klick auf die falsche „Teilen“-Schaltfläche.

Schritt 4: Teams, OneDrive und SharePoint im Detail

Drei Funktionen verdienen Sonderaufmerksamkeit, weil sie im Alltag die meisten Datenschutz-Fragen auslösen.

Teams-Aufzeichnung und -Transkription. Eine Besprechung aufzeichnen heißt: Sie verarbeiten Stimme, Bild und – mit Transkription – wortwörtliche Inhalte. Das ist eine eigene Verarbeitungstätigkeit. Klären Sie vorab die Rechtsgrundlage, informieren Sie alle Teilnehmer und legen Sie eine Löschfrist fest. Heimlich aufzeichnen ist tabu.

OneDrive- und SharePoint-Freigaben. Der Klassiker: Ein Mitarbeiter teilt eine Datei mit „Jeder mit dem Link“, der Link landet weiter, und plötzlich liegt eine Mitarbeiterliste offen im Netz. Stellen Sie die Standardfreigabe organisationsweit auf „Personen in Ihrer Organisation“ und erlauben Sie externe Links nur dort, wo es nötig ist.

Aufbewahrung und Löschung. M365 löscht von sich aus nichts. Ohne Retention- und Lösch-Policies sammeln sich Bewerber-CVs, alte Kundenprojekte und ausgeschiedene Mitarbeiterdaten endlos an. Ein dokumentiertes Löschkonzept ist Pflicht – Vorlage dazu in unserem Artikel Löschkonzept erstellen.

Schritt 5: Microsoft 365 Copilot – Chance und Risiko

Copilot ist der Punkt, an dem 2026 die meisten Fragen aufschlagen. Microsoft selbst weist Compliance-Angebote inklusive DSGVO, ISO 27001 und ISO 42001 aus (Microsoft Learn, Copilot Privacy). Das größte Risiko ist aber nicht technischer, sondern organisatorischer Natur.

Copilot greift auf alles zu, was der Nutzer sehen darf. Sind Berechtigungen über Jahre verwässert – die berüchtigte SharePoint-Site, auf die „eh jeder Zugriff hat“ – legt Copilot diese Daten auf Zuruf offen. Anwälte wie dr-datenschutz.de und e-recht24 betonen genau das: Sie bleiben verantwortlich, weil Copilot Daten in Ihrem Auftrag verarbeitet.

1. Berechtigungen aufräumen: Vor dem Rollout Zugriffsrechte auf SharePoint/Teams bereinigen (Least Privilege).
2. DSFA durchführen: Eine Datenschutzfolgenabschätzung ist bei Copilot praktisch immer angeraten.
3. KI-Richtlinie erlassen: Welche Daten dürfen in Copilot? Wer prüft die Ergebnisse? Vorlage-Logik in unserem Artikel zu ChatGPT & EU AI Act – inklusive Bezug zum EU AI Act.
4. Pilotieren statt flächendeckend: Mit einer kleinen, kontrollierten Gruppe starten und Erfahrungen sammeln.

Aus der Praxis

Datenschutz bei M365 scheitert selten an der Technik – meist an der Annahme, ein bekannter Absender sei automatisch sicher.

„Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.“

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Genau solche Fälle zeigen: MFA, Conditional Access und geschulte Mitarbeiter sind keine Kür. Ein kompromittiertes M365-Konto öffnet Angreifern Postfach, Dateiablage und Teams gleichzeitig. Wie Sie im Ernstfall reagieren, lesen Sie in Ransomware-Angriff: Sofortmaßnahmen und Datenpanne – die 72-Stunden-Frist.

Fazit / Ihr nächster Schritt

Microsoft 365 ist DSGVO-konform betreibbar – aber nur, wenn Sie den Tenant härten, den AVV dokumentieren, die Drittland-Lage sauber begründen und Copilot bewusst einführen. Die gute Nachricht: Das ist Routine, wenn man es einmal strukturiert angeht. Die schlechte: Im Auslieferungszustand passiert nichts davon von allein.

Mehr zu unserer Betreuung von Cloud- und SaaS-Umgebungen finden Sie auf der Seite Datenschutz für IT & SaaS oder direkt auf unserer Startseite mit Angebotsrechner.

Häufige Fragen (FAQ)

Ist Microsoft 365 überhaupt DSGVO-konform?

Es gibt weder einen Freibrief noch ein Verbot. Die Datenschutzkonferenz (DSK) bewertete den Datenschutznachtrag 2022 kritisch, weil der Nachweis der Konformität schwer zu führen sei. Die IHK München fasst die heutige Lage zusammen: Microsoft 365 kann datenschutzkonform eingesetzt werden, wenn die Datenströme bekannt sind und der Tenant richtig konfiguriert ist. Verantwortlich für die Konfiguration bleiben Sie als Unternehmen.

Brauche ich einen AVV mit Microsoft?

Ja. Microsoft stellt den Auftragsverarbeitungsvertrag als „Data Protection Addendum“ (DPA) bereit, das Teil der Microsoft Product Terms ist. Sie müssen ihn nicht separat unterzeichnen – mit Annahme der Lizenzbedingungen gilt er. Dokumentieren Sie aber, welche DPA-Version (Datum) für Ihren Tenant gilt, und legen Sie sie zu Ihren Auftragsverarbeitungs-Unterlagen.

Was ist die EU Data Boundary und reicht sie aus?

Die EU Data Boundary ist Microsofts Zusage, Kunden- und personenbezogene Daten innerhalb der EU/EFTA zu speichern und zu verarbeiten. Microsoft hat sie im Februar 2025 mit Phase 3 abgeschlossen – seitdem bleiben auch Support- und Diagnosedaten in der EU. Sie ersetzt aber keine eigene datenschutzrechtliche Prüfung: Einzelne Supportfälle können weiterhin Drittlandbezug haben.

Darf ich Microsoft 365 Copilot DSGVO-konform nutzen?

Grundsätzlich ja, mit Vorbereitung. Copilot greift auf alle Daten zu, auf die der jeweilige Nutzer Zugriff hat – falsch gesetzte Berechtigungen werden so sichtbar. Vor dem Rollout brauchen Sie ein gültiges DPA, eine Datenschutzfolgenabschätzung, ein aufgeräumtes Berechtigungskonzept und eine KI-Richtlinie für Mitarbeiter.

Wie reduziere ich die Telemetrie- und Diagnosedaten?

Über die Diagnosedaten-Stufe (möglichst „Erforderlich“ statt „Optional“) und das Deaktivieren der optionalen verbundenen Erfahrungen in den Microsoft-365-Apps. Das lässt sich zentral per Gruppenrichtlinie oder Intune-Policy ausrollen, statt es jedem Mitarbeiter einzeln zu überlassen.

Was kostet die datenschutzkonforme Einrichtung mit einem externen DSB?

Bei frag.hugo ist die M365-Härtung Teil der laufenden DSB-Betreuung – ab 79 € netto/Monat (Tarif Lite). Im Premium-Tarif (499 €) synchronisiert unser M365-Auto-Sync Ihren Tenant automatisch ins Verzeichnis der Verarbeitungstätigkeiten. Einmalige Projektkosten fallen so nicht an.

Recherche-Stand: verifiziert am 06.06.2026 über datenschutzkonferenz-online.de (DSK-Festlegung 11/2022), Microsoft Trust Center / Microsoft Learn (EU Data Boundary, Copilot Privacy, DPA), dataprivacyframework.gov (Participant 6474) und IHK München.