Datenschutz: Microsoft 365 bleibt Minenfeld

Im c’t-Datenschutz-Podcast nehmen sich die Hosts mit Rechtsanwalt Kai Korte die aktuellen datenschutzrechtlichen Baustellen von Microsoft 365 vor. Laut dem Experten bleibt der US-amerikanische Dienst datenschutzrechtlich ein Minenfeld.

Zwar nehme der US-Konzern am Transatlantic Data Privacy Framework teil, was den Datentransfer in die USA formal absichere. Rechtsanwalt Kai Korte weist aber darauf hin, dass der Cloud Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden weiterhin problematisch sind. Microsoft sichert vertraglich zu, Daten europäischer Unternehmen innerhalb der EU zu speichern – die sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind weiterhin möglich und ein Microsoft-Chefjustiziar räumte öffentlich ein, dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte.

Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie- und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten, Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was damit geschieht, bleibt weitgehend intransparent. Der hessische Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht, der den Einsatz von Microsoft 365 in öffentlichen Stellen unter bestimmten Bedingungen für möglich erklärt. Allerdings hat er sich dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne die Datenflüsse technisch zu überprüfen.

Ob Unternehmen vor dem Einsatz von Microsoft 365 eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet Korte differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei kleineren Unternehmen ohne besondere Datenkategorien sei das nicht zwingend erforderlich. Sinnvoll sei es aber allemal, sich einen Überblick über die verarbeiteten Daten zu verschaffen. Pragmatisch betrachtet könne man Microsoft 365 nutzen, solange man die Risiken kenne und die Konfiguration im Griff habe.

Quelle: heise.de