Jetzt anfragen!
Grafik zeigt, dass Microsoft‑365‑Daten im EWR bleiben und nicht mehr in die USA übertragen werden.
02
26

M365‑Datenschutz: Neues EU‑Kapitel für Unternehmen

Gute Nachrichten für alle, die Microsoft 365 im Unternehmen einsetzen – und dabei Wert auf Datenschutz legen: Die EU‑Kommission und Microsoft haben sich im September 2025 auf ein neues Regelwerk geeinigt. Nach vielen Diskussionen, Prüfungen und einigen vertragsakrobatischen Wendungen steht nun fest: Microsoft 365 kann weiterhin rechtssicher im Europäischen Wirtschaftsraum genutzt werden.


Doch was bedeutet das konkret für Datenschutzbeauftragte, IT‑Sicherheitsverantwortliche und KMU? Und warum bleibt die deutsche DSK‑Handreichung weiterhin relevant, obwohl es Fortschritte gibt? Dieser Beitrag gibt Orientierung.

Microsoft 365 im EWR: Daten bleiben endlich „zuhause“

Die wichtigste Nachricht: Microsoft speichert Kundendaten künftig beinah ausschließlich im Europäischen Wirtschaftsraum (EWR) – samt Norwegen, Island und Liechtenstein. Keine ungewollten Datenreisen mehr nach Übersee, keine Grauzonen bei US‑Behördenanfragen. Es gibt Ausnahmen, bei denen Daten doch in Drittstaaten verarbeitet werden dürfen, etwa im Rahmen globaler Cybersicherheitsbedrohungen, Strafverfolgungen usw.

Damit erfüllt Microsoft lange geforderte Datenschutzstandards, die insbesondere für deutsche Unternehmen entscheidend sind.

Mehr Hintergründe zum europäischen Kurs von Microsoft finden Sie hier: Microsofts starkes Bekenntnis zu Europa.

Bild eines vernetzten Haushalts (Smart-TV, E-Bike, Kühlschrank) mit Datenströmen

Das DPA – das Datenschutz-Basiswerk von Microsoft

Das Data Protection Addendum (DPA) ist weit mehr als ein Auftragsverarbeitungsvertrag. Es ist das zentrale Regelwerk für alle Microsoft‑Dienste – und gilt automatisch für alle Kunden, sobald es akzeptiert wurde.

Was steckt im neuen DPA? Die wichtigsten Punkte:

1. Verarbeitung nur auf dokumentierte Anweisung
Microsoft darf Inhaltsdaten von Anwendern nicht eigenmächtig für Analyse, Produktverbesserungen oder Werbezwecke nutzen. Jede Verarbeitung braucht deine ausdrückliche Zustimmung. Pseudonymisierte Meta-Daten dürfen von Microsoft weiterhin erhoben werden (u.a. für Diagnosezwecke).

2. EU Data Boundary – Daten bleiben im EWR
Die „EU Data Boundary“ sorgt dafür, dass Serverstandorte ausschließlich im EWR liegen. Ein großer Schritt für Compliance und Informationssicherheit.

3. Behördenanfragen werden aktiv angefochten (Appendix D)
Kommt eine Anfrage einer Nicht‑EU‑Behörde zur Herausgabe oder Deaktivierung von Daten, muss Microsoft juristisch dagegen vorgehen – ein starkes Signal für Datenschutzsouveränität.

Was ändert sich für Microsoft‑365‑Kunden?

Kurz gesagt: Für den laufenden Betrieb bleibt alles beim Alten – und gleichzeitig wird vieles sicherer.

  • Der bestehende DPA bleibt das zentrale Fundament für alle Microsoft‑Online-Dienste.
  • Egal ob Teams, Outlook oder Cloud‑Services: Alle Datenflüsse unterliegen dem DPA.
  • Unternehmen können weiterhin mit Microsoft 365 arbeiten.

Praxis-Tipp:
Ladet euch den aktuellen DPA herunter und legt ihn sauber in eure Compliance‑Dokumentation ab. Das macht beim nächsten Audit einen guten Eindruck – und vielleicht gibt’s sogar imaginär ein Fleißsternchen. 😉

Wichtiger Zusatz: Die DSK‑Handreichung bleibt weiterhin gültig

Trotz aller Fortschritte gilt in Deutschland noch immer die Handreichung der Datenschutzkonferenz (DSK) zu Microsoft 365 – und das bis auf Weiteres.

Das bedeutet:

  • Bei Datenschutzfolgenabschätzungen (DSFA) muss die DSK‑Handreichung weiterhin berücksichtigt werden.
  • Verantwortliche müssen prüfen, inwiefern die Aussagen der DSK zur M365‑Nutzung auf die neue EU‑Einigung übertragbar sind.
  • Trotz EU-Einigung steht eine Aktualisierung durch die DSK noch aus.

Die Handreichung der DSK gilt zwar noch, ist aber stark veraltet, sie wurde seit 2023 nicht mehr aktualisiert. Viele damaligen Kritikpunkte wurden inzwischen von Microsoft behoben. Dies bestätigt u.A. der HBDI (Hessische Beauftragte für Datenschutz und Informationsfreiheit). 

2025 hat der HBDI einen umfangreichen Bericht zur Bewertung von Microsoft 365 veröffentlicht. Dieser kam – im Gegensatz zur DSK – zu dem Ergebnis, dass ein datenschutzkonformer Einsatz von M365 grundsätzlich möglich ist, wenn bestimmte Voraussetzungen erfüllt werden.

Fazit: Ein klarer Fortschritt – aber Deutschland hinkt noch hinterher

Trotz der positiven Entwicklungen auf EU‑Ebene und den klaren Verbesserungen durch Microsoft gilt in Deutschland weiterhin die Handreichung der Datenschutzkonferenz (DSK) zu Microsoft 365 – und das bis auf Weiteres.

Damit bleibt sie ein zentrales Dokument, das Unternehmen in ihren Datenschutzprozessen nicht ignorieren dürfen.

👉 Hier geht’s zur aktuellen DSK‑Handreichung:

Unser Ziel ist es, Ihnen den Umgang mit Microsoft‑365‑Datenschutz so einfach wie möglich zu machen. Wir unterstützen Sie dabei, die Anforderungen der EU‑Regelungen und der deutschen DSK‑Handreichung sicher zu erfüllen – damit Sie sich auf Ihr Kerngeschäft konzentrieren können. Mit passgenauen Lösungen, praxisnaher Beratung und unserer langjährigen Erfahrung begleiten wir Sie zuverlässig durch alle Compliance‑Schritte.

Lust auf …
Einfach digital
arbeiten?

Für Ihre Fragen und Anliegen rund um Informationssicherheit & Datenschutz steht Ihnen gerne unsere Expertin Jennifer Baumann zur Verfügung.

Jennifer Baumann
Consultant Datenschutz & Informationssicherheit
(0821) 207 111 – 16
cloudheroes@fly-tech.de

Jetzt Termin für persönliches Gespräch auswählen.

Wenn Sie mehr über unsere Datenschutzdienstleistungen erfahren möchten, dann wählen Sie doch hier einen Termin für ein kostenloses Erstgespräch.

Bildnachweis: Headerfoto von canva / KI generiert

Anmeldung zum Newsletter