Freitag, 3. Juli 2026

DatenschutzEinsatz von Office prüfen

[29.03.2022] Ob Microsoft 365 datenschutzkonform eingesetzt werden kann, ist umstritten. Jede Kommune muss dies höchst individuell abklären. Dafür muss sie sowohl die rechtlichen Aspekte als auch technische und organisatorische Maßnahmen in den Blick nehmen.

Die Frage, ob die Anwendung Microsoft 365 (MS 365) datenschutzkonform eingesetzt werden kann, beschäftigt IT-Abteilungen und Juristen gleichermaßen – und das schon eine ganze Weile. Auch die Datenschutzkonferenz DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat sich in ihrer 100. Sitzung vor gut einem Jahr damit befasst. Sie kam, wenn auch sehr knapp, zu dem Ergebnis, dass ein datenschutzgerechter Einsatz von MS 365 nicht möglich ist. Das hat für Verunsicherung gesorgt. Seitdem ist viel passiert.
Angesichts des knappen Abstimmungsergebnisses und der Tatsache, dass Microsoft zum Zeitpunkt der DSK-Sitzung die Vertragsunterlagen bereits überarbeitet hatte, gaben die Datenschutzaufsichtsbehörden der Länder Baden-Württemberg, Bayern, Hessen und Saarland eine gesonderte Pressemeldung heraus. Darin teilten sie mit, dass die Bewertung der DSK eine relevante Arbeitsgrundlage, nicht aber eine endgültige Entscheidung sei. Eine Arbeitsgruppe unter Federführung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht trat außerdem in einen konstruktiven Dialog mit Microsoft. Das Ziel: Microsoft Office 365 nachhaltig datenschutzrechtlich zu verbessern und an die Maßstäbe der Rechtsprechung des Europäischen Gerichtshofs bei Datentransfers in Drittländer anzupassen.

Trotz Nachbesserungen umstritten

Microsoft überarbeitete in der Folge mehrfach die relevanten Vertragsunterlagen, die Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Online-Dienste (Data Processing Addendum, DPA). Auch das Produkt Microsoft 365 – früher als Microsoft Office 365 bezeichnet – wurde nachgebessert. Nach wie vor handelt es sich dabei um ein cloudbasiertes Microsoft-Office-Produkt, das in vielen verschiedenen Ausprägungen erhältlich ist und je nach Plan, wie Microsoft seine diversen Lizenz-Pakete nennt, unterschied­liche Bestandteile umfasst.
Für die von der europäischen Datenschutz-Grundverordnung (DSGVO) gesicherten personenbezogenen Daten kommt es vor allem auf den Ort der Datenspeicherung an. Liegt dieser innerhalb der EU, entfaltet die DSGVO grundsätzlich ihre Schutzwirkung für diese Daten. Microsoft hat daher im Rahmen seiner Initiative „EU Data Boundary for the Microsoft Cloud“ eigene neue Rechenzentren in der EU, unter anderem in Berlin und Frankfurt, eröffnet. Der Konzern ist außerdem dazu übergegangen, EU-Daten in der Regel auch innerhalb der EU zu speichern oder diese bis Ende 2022 dorthin zu migrieren. Jedoch gibt es Ausnahmen, die nach Angaben von Microsoft in der Informationssicherheit begründet sind. Um welche Ausnahmen es sich handelt, wurde nicht näher benannt. Obendrein ist Microsoft als US-amerikanisches Unternehmen aufgrund des so genannten CLOUD Acts (Clarifying Lawful Overseas Use of Data Act) zur Herausgabe von Daten an US-Behörden verpflichtet. Das kann auch Daten betreffen, die innerhalb der EU gespeichert werden. Somit bleibt MS 365 trotz der Nachbesserungen datenschutzrechtlich umstritten.

Arbeiten mit Microsoft 365

Wie aber lässt sich die Lösung möglichst datenschutzkonform betreiben? Die Antwort stützt sich auf zwei Säulen: eine rechtliche Prüfung sowie die Überprüfung Technischer und Organisatorischer Maßnahmen (TOM). Im Rahmen der rechtlichen Prüfung sollte sich zeigen, ob alle im individuellen Fall gültigen Vertragsbestandteile einen DSGVO-konformen Betrieb ermöglichen. Die TOM wiede­rum sollten speziell bei MS 365 einige wichtige datenschutzfreundliche Systemkonfigurationen beinhalten.
Für die rechtliche Prüfung muss zunächst die individuelle Vertragssituation geklärt werden. Hier kommt es in erster Linie auf die jeweilige Lizenz, den Zeitpunkt des Vertragsabschlusses und die sonstigen Vertragsbestandteile an. Erst nach der rechtlichen Prüfung lässt sich sagen, welche Konditionen im jeweiligen Fall tatsächlich gelten, ob sie ausreichend sind oder vertraglich nachjustiert werden müssen. Zu klären ist des Weiteren, ob eine Datenschutzfolgenabschätzung (DSFA) erforderlich ist. Bei MS 365 im kommunalen Umfeld dürfte dies häufig der Fall sein. Die DSFA gilt es dann individuell durchzuführen. Auch das Erstellen von Informationsblättern zur Gewährleistung der Betroffenenrechte sind in den Blick zu nehmen. Sollen die Analyse-Tools von MS 365 verwendet werden, ist außerdem der Personalrat zu konsultieren, da sie zu Leistungs- und Verhaltenskontrollen der Mitarbeitenden führen können. In der Regel muss dann eine Dienstvereinbarung geschlossen werden, die die Zulässigkeit der Analyse-Tools regelt und für die Beschäftigten transparent macht.

Individuell überprüfen

Die Überprüfung der Technischen und Organisatorischen Maßnahmen ist immer auf der vorgelagerten rechtlichen Prüfung aufzubauen, da die Lizenz entscheidend ist für die gültigen Vertragsbestandteile. Auch hängt von der Lizenz ab, welche Konfigurationsmöglichkeiten es überhaupt gibt. Bestimmte TOM können nur mit einer bestimmten Lizenz umgesetzt werden. Die Faustregel lautet: Je teurer die Lizenz, desto mehr Einstellungsmöglichkeiten gibt es und desto mehr Datenschutz lässt sich realisieren.
Ein wichtiger Grundbaustein der TOM ist ein sicheres und praktikab­les Rollen- und Berechtigungskonzept für MS 365. Je nach Nutzerrolle werden die Berechtigungen für bestimmte Systemkomponenten erteilt und somit der Zugriff auf die gespeicherten Daten geregelt. Beim Rollen- und Berechtigungskonzept fängt somit nicht nur die Informationssicherheit an. An dieser Stelle beginnt immer auch die praktische Umsetzung von Datenschutz.
Ob der Einsatz von MS 365 datenschutzkonform möglich ist, muss jede Kommune höchst individuell prüfen. In Abhängigkeit von der jeweils gültigen Lizenz, der individuellen Datenschutz-Folgenabschätzung sowie der umgesetzten Technischen und Organisatorischen Maßnahmen kann eine mehr oder weniger aufwendige Anpassung erforderlich sein. In jedem Fall sollte ein ausgewiesener Experte die Überprüfung durchführen. Dieser muss nicht nur die nötigen Kenntnisse der relevanten rechtlichen Belange mitbringen, sondern auch umfangreiches Know-how bezüglich der lizenztechnischen Details und der administrativen Einstellungsmöglichkeiten von MS 365 vorweisen.

Martin Decker ist für die GKDS Gesellschaft für Kommunalen Datenschutz mbH tätig sowie Datenschutz- und Informationssicherheitsbeauftragter der Bayerischen Verwaltungsschule (BVS).




Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
Illustration zum Thema Cybersicherheit: Im Vordergrund sitzt eine dunkel gekleidete Person mit tief ins Gesicht gezogener Kapuze vor einem Laptop. Im Hintergrund sind schemenhafte Silhouetten von Menschen zu sehen, die miteinander sprechen oder arbeiten. Überlagerte digitale Elemente und eine angedeutete Stadtlandschaft in Blau- und Grautönen vermitteln den Eindruck einer vernetzten digitalen Welt und symbolisieren die Bedrohung durch Cyberangriffe auf Organisationen und Verwaltungen.
bericht

Komm.ONE: Cyber-Sicherheit wird zur Daueraufgabe

[29.06.2026] Der IT-Dienstleister Komm.ONE warnt beim Cybersicherheitstag 2026 vor zunehmender Professionalisierung der Angreifer. Prävention, Zusammenarbeit und Künstliche Intelligenz gewinnen an Bedeutung. mehr...

Bild in Blautönen: Junger Mann in Office-Umgebung stützt Kopf in Hand, un ihn herum eingeblendet Icons für Dokumente und Daten und Vernetzung

CSBW: Neues Handbuch für IT-Notfälle

[23.06.2026] Für Verwaltungen bestehen jederzeit Risiken für Sicherheitsvorfälle und Datenschutzverletzungen – mit möglichen schweren Folgen. Die Cybersicherheitsagentur Baden-Württemberg unterstützt Land und Kommunen mit neuen Angeboten, ein belastbares Informationssicherheits-Managementsystem aufzubauen. mehr...

Etwas düster wirkende Bühne mit der obligaten Großprojektion, davor Personen in förmlicher Business-Kleidung in Gruppenfopto-Aufstellung

BSI/NExT: Drei Projekte für mehr Sicherheit

[22.06.2026] Den InfoSec Impact Award von BSI und NExT erhielten drei herausragende IT-Sicherheitslösungen aus dem Public Sector, die sich mit Software-Lieferketten, Cyber-Trainings und interkommunaler Zusammenarbeit befassen. Die Projekte werden als Best Practices veröffentlicht und der Fachöffentlichkeit vorgestellt. mehr...

Im Homeoffice für Cyber-Sicherheit sensibilisieren.

Schleswig-Holstein: Maßnahmenpaket für Cyber-Sicherheit

[01.06.2026] Schleswig-Holstein baut die Cyber-Sicherheit für Land und Kommunen aus. Zum Schutzschirm gehören unter anderem ein erweitertes Schwachstellenmanagement, mobile IT für Krisenlagen und Vor-Ort-Supportteams. Digitale souveräne Arbeitsplätze und IT-Infrastruktur sichern Behörden weiter ab. mehr...

Blick in einen Vortragssaal auf der SaarSecurity Roadshow

eGo-Saar: Erfolgreiche SaarSecurity Roadshow

[27.05.2026] In einer gemeinsamen Veranstaltungsreihe haben der Zweckverband eGo-Saar und das saarländische Wirtschaftsministerium über NIS2, IT-Notfallmanagement und digitale Resilienz informiert. Bei den Kommunen stieß die SaarSecurity Roadshow 2026 auf großes Interesse. 
 mehr...

G-DAta_leitzgen_bölting_porträt
interview

Cyber-Sicherheit: Kommunen sind leichte Beute

[12.05.2026] Wie Städte und Kreise ihre IT trotz Fachkräftemangel wirksam vor Cyber-Kriminellen schützen können, erläutern im Interview Kira Groß-Bölting und Jan Leitzgen vom Computer Security Incident Response Team (CSIRT) des Unternehmens G DATA Advanced Analytics. mehr...

BSI: Frühwarnsystem für Cyber-Sicherheitsvorfälle

[30.03.2026] Angesichts der angespannten Cyber-Sicherheitslage stärkt das BSI die Reaktionsfähigkeit gegen IT-Sicherheitsvorfälle. Mit den öffentlichen IT-Dienstleistern von Ländern und Kommunen soll der Einsatz von Datensensorik ausgebaut werden – als Grundlage für Echtzeitanalysen und erster Schritt Richtung Cyberdome. mehr...

Markus Bauer (Landrat Salzlandkreis), Hendrik Nitz (Chief Governance Officer GISA GmbH), Dirk Helbig (Stabsstellenleiter und CDO / CIO Salzlandkreis)
(Quelle: GISA GmbH)

Salzlandkreis: IT digital resilient machen

[04.03.2026] Um die digitale Resilienz seiner Verwaltung nachhaltig zu erhöhen, setzt der Salzlandkreis auf eine umfassende Sicherheitsinitiative. Unterstützt wird die Kommune dabei von dem Unternehmen GISA. mehr...

Meeting im Büro, Person am Kopfende des Tisches sieht sehr angespannt aus, die anderen sind unscharf (Bewegungsunschärfe)

CSBW: IT-Notfallübung für Krisenstäbe in Kommunen

[02.03.2026] Die Cybersicherheitsagentur Baden-Württemberg (CSBW) bietet Kommunen IT-Notfallübungen an. Unter realistischen Bedingungen werden Krisenstab, Krisenkommunikation und IT-Notfallhandbuch geübt, anschließend erhalten die Teilnehmenden einen individuellen Maßnahmenplan. Termine für 2026 sind ab sofort buchbar. mehr...

Kommunen benötigen einen Notfallplan für Cyber-Attacken.

Hessen: Neue Angebote für kommunale Cyber-Sicherheit

[18.02.2026] Angesichts wachsender Cyber-Angriffe erweitert Hessen sein Unterstützungsangebot für Kommunen: Neu sind eine Notfallhilfe bei IT-Ausfällen sowie Trainings zur Sensibilisierung von Beschäftigten. Innenminister Roman Poseck ruft Städte und Gemeinden auf, die kostenfreien Angebote zu nutzen. mehr...

Symbolische Darstellung eines digitalen Schutzschildes gegen Cyberattacken.

Berlin: 12. Kommunaler IT-Sicherheitskongress

[04.02.2026] Die kommunalen Spitzenverbände laden am 27. und 28. April zum 12. Kommunalen IT-Sicherheitskongress (KITS) in einem hybriden Format ein. Die Themen reichen vom Grundschutz++ über Erfolgsmodelle für die kommunale Zusammenarbeit bis hin zu Open Source und Künstlicher Intelligenz (KI). Die Veranstaltung ist kostenfrei. mehr...

Alt-Text: Vier Männer in dunklen Anzügen stehen vor einer blauen Wand. Zwei Männer halten ein Zertifikat in die Kamera.

BSI/SIT: Zertifizierte Sicherheit

[27.01.2026] Der kommunale IT-Dienstleister Südwestfalen-IT (SIT) hat vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz erhalten. Zertifiziert wurden unter anderem Rechenzentrumsbetrieb und Verwaltungs-PKI. mehr...

Silhouette einer gesichtslosen Person mit Kapuzenpulli die auf einer Tastatur tippt, im Bildvordergrund ist ein abstrakt dargestelltes Schutzschild zu sehen.

Heidelberg: Hacker-Angriffe abgewehrt

[23.01.2026] Heidelberg verzeichnet seit Wochen wiederholte DDOS-Attacken auf die Website der Stadt. Dank kontinuierlich angepasster Sicherheitsmaßnahmen konnten die Angriffe allesamt abgewehrt werden. Durch die Maßnahmen war lediglich die Website hin und wieder für wenige Minuten nicht erreichbar. mehr...

Mann im weißen Hemd sitzt vor mehreren Monitoren und zeigt auf einen davon.
bericht

Kreis Breisgau-Hochschwarzwald: Managed Security für sensible Daten

[22.01.2026] Das Landratsamt Breisgau-Hochschwarzwald verwaltet sensible Bürger- und Sozialdaten – IT-Sicherheit hat hohe Priorität. Die Behörde nutzt eine Managed-Extended-Detection-and-Response-Lösung des Bochumer Sicherheitsspezialisten G Data. Ein Praxisbericht zeigt, welche Anforderungen es gab und wie Zusammenarbeit und Roll-out verliefen. mehr...

Vektorgrafik die unter anderem ein Schutzschild mit Verriegelungsschloss zeigt.

Kommunale IT-Sicherheit Bayern: 1.000. Siegel geht an Bodenwöhr

[19.01.2026] Bayern hat zum mittlerweile 1.000. Mal das Siegel Kommunale IT-Sicherheit verliehen. Erhalten hat es die Gemeinde Bodenwöhr. Die Kommune wird das Thema IT-Sicherheit weiterhin im Blick behalten und laufend nachbessern. mehr...