Zwi­schen Cloud und Kon­trol­le – Daten­schutz und digi­ta­le Sou­ve­rä­ni­tät bei Micro­soft 365

„Ein daten­schutz­kon­for­mer Ein­satz von Micro­soft 365 bleibt wei­ter­hin mög­lich. Weder die poli­ti­schen Ent­wick­lun­gen in den USA noch die aktu­el­len Debat­ten um digi­ta­le Sou­ve­rä­ni­tät ändern die­se recht­li­che Bewer­tung. Der Ange­mes­sen­heits­be­schluss für die USA ist wei­ter in Kraft und legi­ti­miert Dritt­land­über­mitt­lun­gen in die USA, sofern die Emp­fän­ger nach dem DPF zer­ti­fi­ziert sind. Das abs­trak­te Risi­ko, basie­rend auf der Unter­stel­lung, euro­päi­sche Toch­ter­ge­sell­schaf­ten ame­ri­ka­ni­scher Unter­neh­men wür­den euro­päi­sches Recht bre­chen, ver­mag kei­ne pau­scha­le Unzu­ver­läs­sig­keit von Auf­trags­ver­ar­bei­tern zu begrün­den, die deren Ein­satz rechts­wid­rig machen wür­de. Auch den in der Ver­gan­gen­heit geäu­ßer­ten Kri­tik­punk­ten deut­scher Daten­schutz­auf­sichts­be­hör­den am Micro­soft DPA las­sen sich, nicht zuletzt auch im Hin­blick auf Ver­bes­se­run­gen am DPA von Micro­soft, über­zeu­gen­de recht­li­che Argu­men­te entgegensetzen.

Unter­neh­men und ande­re Stel­len, die Micro­soft 365 ein­set­zen, soll­ten sich daher weni­ger um das „Ob“ als um das „Wie“ eines daten­schutz­kon­for­men Ein­sat­zes von Micro­soft 365 Gedan­ken machen. Sofern der Ein­satz von Micro­soft 365 vor­aus­sicht­lich mit einem hohen Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen ver­bun­den ist, ist gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durch­zu­füh­ren. Ziel einer DSFA ist es, die Risi­ken, die sich aus bestimm­ten Ver­ar­bei­tungs­tä­tig­kei­ten erge­ben, sys­te­ma­tisch zu iden­ti­fi­zie­ren, zu bewer­ten und geeig­ne­te Abhil­fe­maß­nah­men zu ermit­teln, um die Risi­ken auf ein akzep­ta­bles Maß zu redu­zie­ren. Ob eine DSFA im kon­kre­ten Fall erfor­der­lich ist, hängt von der Art, dem Umfang, den Umstän­den und den Zwe­cken der jewei­li­gen Daten­ver­ar­bei­tung ab. Eine Ver­pflich­tung besteht nicht bei jeder Nut­zung von Micro­soft 365. Auf­grund der Kom­ple­xi­tät des Diens­tes, der Viel­zahl mög­li­cher Ver­ar­bei­tungs­vor­gän­ge, der regel­mä­ßig umfang­rei­chen Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sowie der poten­zi­el­len Ein­bin­dung schutz­be­dürf­ti­ger Per­so­nen­grup­pen kann jedoch in vie­len Fäl­len ein hohes Risi­ko im Sin­ne von Art. 35 Abs. 1 DSGVO nicht aus­ge­schlos­sen wer­den. Neben der DSFA bestehen wei­te­re daten­schutz­recht­li­che Anfor­de­run­gen, die unab­hän­gig vom Risi­ko­ni­veau zu erfül­len sind. Ins­be­son­de­re sind den betrof­fe­nen Per­so­nen die gesetz­lich vor­ge­schrie­be­nen Infor­ma­tio­nen gemäß Art. 13 und 14 DSGVO in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form bereit­zu­stel­len. Dar­über hin­aus sind – je nach kon­kre­tem Anwen­dungs­fall – wei­te­re Dokumentations- und Nach­weis­pflich­ten zu beach­ten, etwa im Rah­men des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 DSGVO) sowie der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (Art. 32 DSGVO). Soweit die­se Vor­ga­ben ein­ge­hal­ten wer­den, kann Micro­soft 365 daten­schutz­kon­form ein­ge­setzt werden.“

Ste­fan Hes­sel, Chris­ti­na Ziegler-Kiefer und Moritz Schnei­der in der Kom­mu­ni­ka­ti­on & Recht Aus­ga­be Dezem­ber 2025.

Den voll­stän­di­gen Arti­kel fin­den Sie hier.