Auslegungssache 156: Datenschutz-Dauerbrenner Microsoft 365

In Episode 156 des c’t-Datenschutz-Podcasts Auslegungssache widmen sich Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich einem Thema, das die Datenschutzwelt umtreibt wie kaum ein anderes: Microsoft 365. Zu Gast ist Kai Korte, Geschäftsführer der lexICT GmbH, Rechtsanwalt für IT- und Datenschutzrecht in Hannover und Lehrbeauftragter an der Hochschule Hannover.

Zunächst beleuchten die drei eine auffällige aktuelle Entwicklung: Die Zahl der Datenschutzbeschwerden hat sich bei einigen Aufsichtsbehörden nahezu verdoppelt, wie aus den neuen Tätigkeitsberichten hervorgeht. Baden-Württemberg verzeichnete 2025 einen Anstieg von rund 4000 im Jahr 2024 auf über 7600, Hamburg von 2600 auf 4200. Mehrere Behörden führen das auch auf KI-generierte Beschwerden zurück. Betroffene lassen sich offenbar per Chatbot fertige Texte erstellen und schicken diese an die Aufsicht. Die Behörden warnen, dass sie an ihre Kapazitätsgrenzen stoßen.

Ebenfalls Thema ist ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) zum Auskunftsrecht. Im Fall „Brillen Rottler“ entschied das Gericht, dass bereits ein erster Auskunftsantrag als rechtsmissbräuchlich eingestuft werden kann. Ein Mann hatte sich zum Newsletter eines Optikers angemeldet und nur 13 Tage später ein umfassendes Auskunftsersuchen gestellt. Der EuGH setzt allerdings hohe Hürden: Der Verantwortliche muss objektiv nachweisen, dass der Antragsteller gar nicht die Ziele des Datenschutzrechts verfolgt, und er muss zusätzlich eine missbräuchliche Absicht belegen. Korte warnt davor, das Urteil vorschnell zu verallgemeinern, es bleibe ein Ausnahmefall.

Minenfeld Microsoft 365

Dann steigen die drei ins Hauptthema ein: Microsoft 365. Bleich macht zunächst deutlich, wie komplex das Produktuniversum ist. Hinter dem Namen verbergen sich zahlreiche Einzelprodukte – von Office-Anwendungen bis zu Teams und SharePoint. Die Preise reichen von knapp 11 Euro pro Nutzer und Monat für kleinere Unternehmen bis über 55 Euro im großen Enterprise-Paket. Viele Sicherheitsfunktionen sind nur in den teuren Varianten enthalten und Microsoft verschiebt regelmäßig Features zwischen den Paketen.

Datenschutzrechtlich bleibt Microsoft 365 ein Minenfeld. Zwar nimmt der US-Konzern am Transatlantic Data Privacy Framework teil, was den Datentransfer in die USA formal absichert. Korte weist aber darauf hin, dass der Cloud Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden weiterhin problematisch sind. Microsoft sichert vertraglich zu, Daten europäuscher Unternehmen innerhalb der EU zu speichern -– die sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind weiterhin möglich und ein Microsoft-Chefjustiziar räumte öffentlich ein, dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte.

Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie- und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten, Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was damit geschieht, bleibt weitgehend intransparent. Der hessische Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht, der den Einsatz von Microsoft 365 in öffentlichen Stellen unter bestimmten Bedingungen für möglich erklärt. Allerdings hat er sich dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne die Datenflüsse technisch zu überprüfen.

Pragmatisch betrachtet: Einsatz ist möglich

Bleich verweist zudem auf Microsofts Zusatzprodukte Sentinel und Purview, mit denen Unternehmen das Verhalten ihrer Mitarbeiter analysieren können – bis hin zur KI-gestützten Erkennung potenzieller Whistleblower oder Datendiebe (hören Sie speziell hierzu die Episode 123 der Auslegungssache). Korte räumt ein, dass Purview ein mächtiges Sicherheitswerkzeug sei, warnt aber vor dem schmalen Grat zwischen legitimer Sicherheitsüberwachung und unzulässigem Profiling von Beschäftigten.

Ob Unternehmen vor dem Einsatz von Microsoft 365 eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet Korte differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei kleineren Unternehmen ohne besondere Datenkategorien sei das nicht zwingend erforderlich. Sinnvoll sei es aber allemal, sich einen Überblick über die verarbeiteten Daten zu verschaffen. Pragmatisch betrachtet könne man Microsoft 365 nutzen, solange man die Risiken kenne und die Konfiguration im Griff habe.

Am Ende bleibt die Frage nach Alternativen. Bleich weist auf Nextcloud-basierte Lösungen hin und kommt zu einem ernüchternden Ergebnis: Für die alltägliche Arbeit in größeren Unternehmen reichen diese Produkte nicht an Microsoft 365 heran. Eine neue Initiative namens „Euro-Office“ von Ionos und Nextcloud soll im Sommer starten, doch ob sie den Rückstand aufholen kann, bleibt abzuwarten.

Korte ergänzt, dass auch das OpenDesk-Projekt für die öffentliche Verwaltung ein Schritt in Richtung digitale Souveränität sei. Die drei sind sich einig: Europäische Alternativen sind dringend nötig, aber noch nicht konkurrenzfähig. Die Abhängigkeit von Microsoft bleibt vorerst bestehen – und damit bleiben auch die datenschutzrechtlichen Bauchschmerzen.

Episode 156:

Hier geht es zu allen bisherigen Folgen:

(hob)