CWS
CyberWerkSuite
← Zurück zum Blog
Microsoft 365DSGVODSKHBDIEDPSEU Data BoundaryDPFCloud Compliance

Microsoft 365 Dilemma: Ist Microsoft 365 wirklich DSGVO-konform?

Eine aktuelle Bestandsaufnahme zur DSGVO-Konformität von Microsoft 365: DSK-Festlegung 2022, EDPS-Verfahren gegen die EU-Kommission und der HBDI-Bericht 2025 — was sich rechtlich geändert hat und was Verantwortliche heute prüfen müssen.

DS
Dr. Sait Yalazay, PhD / LLM / MBA
CISO — DPO — Author | CISM — CIPP — AAISM — LA 27001, 27701, 22301, 42001
Architekt automatisierter Compliance-Systeme für NIS2, DSGVO, ISMS, BCM, DORA, Tisax, AI Act & NATO Cyber Security Framework

Veröffentlicht am 15. Mai 2026

**KERNTHESE **Die zentrale Frage lautet nicht mehr, ob Microsoft 365 abstrakt erlaubt oder verboten ist, sondern unter welchen vertraglichen, technischen und organisatorischen Bedingungen sein Einsatz heute noch vertretbar ist. Diese Bedingungen haben sich seit 2022 erheblich verändert.

Im März 2024 stellte der Europäische Datenschutzbeauftragte fest, dass eine der mächtigsten Institutionen der Welt mit dem Einsatz von Microsoft 365 gegen Datenschutzrecht verstoßen hatte.1 Was den Befund politisch brisant machte, war nicht das Ergebnis an sich — es war die betroffene Institution. Nicht ein Mittelständler mit überforderter IT-Abteilung, sondern die Europäische Kommission. Was folgte, war ein mehr als einjähriger Prozess aus Anordnungen, Klagen und Verhandlungen, der im Juli 2025 mit einem Abschlussbeschluss endete: Der EDPS befand die ergriffenen Maßnahmen als ausreichend und schloss das Durchsetzungsverfahren ab.2 Die Konsequenz daraus trifft nicht Microsoft. Sie trifft jeden, der das Produkt einsetzt.

Kein anderes Softwarepaket ist so tief in den deutschen Arbeitsalltag eingebettet wie Microsoft 365. Unternehmen, Behörden, Schulen, Hochschulen — die Plattform läuft überall. Seit November 2022 aber steht eine Festlegung der deutschen Datenschutzkonferenz (DSK) im Raum, die den Nachweis eines datenschutzkonformen Betriebs auf Grundlage der damaligen Vertragsunterlagen für nicht führbar erklärt.3 Wie ist diese Spannung aufzulösen?

Drei Schauplätze, drei sehr unterschiedliche Verläufe. In Baden-Württemberg scheiterte ein ernsthafter Versuch. In Brüssel geriet die EU-Kommission selbst in ein Verfahren. Und in Hessen kam eine Behörde zu einem Befund, den zuvor niemand gewagt hatte. Wer verstehen will, warum die Antwort auf die Frage nach der Datenschutzkonformität von M365 so unbefriedigend vage bleibt, muss sich alle drei ansehen.

Fünf Jahre im Überblick: Die wichtigsten Weichenstellungen

Was in den vergangenen fünf Jahren passiert ist, lässt sich nicht auf eine Linie bringen. Es gab Rückschläge, Kursänderungen und unerwartete Entwicklungen — auf behördlicher wie auf Herstellerseite.

2020DSK-Erstbewertung (Sept.): M365 nicht datenschutzkonform4 BayLDA, BW, Hessen, Saarland: DSK-Bewertung ‘zu undifferenziert’56
2022DSK-Festlegung (Nov.): Nachweis der Konformität nicht führbar789 LfDI BW (Apr.): Schulen sollen auf Alternativen umsteigen1011
2023Microsoft EU Data Boundary Phase 1 gestartet (Jan.)12 EU-US Data Privacy Framework: Angemessenheitsbeschluss (Juli)1314
2024EU Data Boundary Phase 2 (Jan.)15 EDPS: EU-Kommission verstößt bei M365-Nutzung gegen Datenschutzrecht (März)1617
2025EU Data Boundary Phase 3 abgeschlossen (Feb.)18 EDPS schließt Verfahren gegen EU-Kommission ab (Juli)192021 HBDI Hessen: M365 datenschutzkonform nutzbar (Nov.)2223

Die Bestandsaufnahme: Was hat sich geändert — was nicht?

Seit November 2022 hat sich einiges verändert — manches grundlegend, anderes weniger als es auf den ersten Blick scheint.24 Die Frage ist, was davon rechtlich trägt.

**WAS SICH SEIT 2022 GEÄNDERT HAT **Im Juli 2023 trat der EU-US-Angemessenheitsbeschluss im Rahmen des Data Privacy Framework in Kraft und schuf damit erstmals seit dem Schrems-II-Urteil wieder eine belastbare Rechtsgrundlage für Datentransfers in die USA. Im Februar 2025 schloss Microsoft den Aufbau der EU Data Boundary ab: Für die erfassten Dienste werden Kundendaten und personenbezogene Daten seither grundsätzlich innerhalb des EU/EFTA-Raums gespeichert und verarbeitet, wenn auch mit begrenzten Ausnahmen (darunter bestimmte sicherheitsrelevante Telemetriedaten). Das Data Protection Addendum wurde zuletzt im September 2025 grundlegend überarbeitet und adressiert die Kritikpunkte der DSK aus dem Jahr 2022 gezielt. Im November 2025 erklärte der Hessische Beauftragte für Datenschutz und Informationsfreiheit als erste deutsche Aufsichtsbehörde, dass ein datenschutzkonformer Einsatz von M365 unter bestimmten Bedingungen möglich sei. Und das EDPS-Verfahren gegen die EU-Kommission wurde im Juli 2025 abgeschlossen, nachdem der EDPS die ergriffenen Maßnahmen als ausreichend befand.

Damit ist aber keineswegs alles gelöst — und wer das glaubt, hat die Debatte nur halb gelesen. Der CLOUD Act25 ermöglicht US-Behörden weiterhin unter engen gesetzlichen Voraussetzungen (gerichtlicher Beschluss) den Zugriff auf Daten amerikanischer Konzerne — auch wenn diese auf europäischen Servern liegen.2627 Das EU-US DPF steht politisch unter Druck; eine erneute Klage vor dem EuGH gilt als wahrscheinlich.28 Die DSK-Festlegung von 2022 ist formal nicht zurückgenommen — wenngleich nicht rechtsverbindlich, und solange keine bundesweite Neubewertung folgt, bleibt die behördliche Lage fragmentiert.29 Und selbst wer all das im Griff hat: Ein korrektes DPA ersetzt keine gelebte technische Governance. Was das konkret bedeutet, zeigen drei Fälle — und keiner von ihnen verläuft so, wie man es erwarten würde.

Drei Fallbeispiele: Was Theorie in der Praxis bedeutet

Drei Fälle — und alle drei enden anders. Die DSGVO ist überall dieselbe. Warum die Bewertungen trotzdem auseinandergehen, liegt an Zeitpunkt, Verhandlungsstand und der Ausgangslage der jeweils zuständigen Behörde.

Fall 1: Baden-Württemberg — Wenn ein Pilotprojekt an seine Grenzen stößt

Baden-Württemberg unternahm einen ernsthaften Versuch. Von Herbst 2020 bis April 2021 erprobte das Kultusministerium gemeinsam mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) Dr. Stefan Brink, einem internationalen Beratungshaus und Microsoft eine speziell konfigurierte Version von Microsoft 365 (im Folgenden: M365) für den Schulbetrieb. Telemetrie wurde reduziert, zusätzliche Sicherheitsmechanismen implementiert, Accounts auf das Lehrpersonal beschränkt.30

Im April 2021 teilte Dr. Brink dem Kultusministerium das Ergebnis mit: Eine datenschutzkonforme Konfiguration sei trotz aller Bemühungen nicht erreichbar gewesen.31 In seiner Pressemitteilung vom 25. April 2022 bat der LfDI die bekannten M365-nutzenden Schulen, bis zu den Sommerferien 2022 Alternativen anzubieten und den Wechsel vorzubereiten.32 Aufsichtsrechtlich war es eine formelle Aufforderung zum Umstieg, keine sofort vollstreckbare Verbotsverfügung — verbunden mit der Ankündigung, nach den Sommerferien gezielt Beschwerden nachzugehen.

Auf ein sofort vollziehbares Verbot lief dies nicht hinaus; faktisch entstand jedoch eine Übergangsphase, in der viele Schulen weiterarbeiteten, obwohl der LfDI den Umstieg eingefordert hatte.3334 Das Kultusministerium und der LfDI einigten sich darauf, dass Schulen ohne eingehende Beschwerden vorerst nicht aktiv verfolgt werden. An rund tausend Schulen blieben Microsoft-Produkte im Einsatz. Der Schulbereich zeigt damit exemplarisch, wie weit datenschutzrechtliche Bewertung und administrative Wirklichkeit auseinanderfallen können: Die aufsichtsrechtliche Kritik war eindeutig, der tatsächliche Ausstieg blieb gleichwohl begrenzt.35

Das Scheitern von 2021 ist kein Urteil über Microsoft 365 im Jahr 2025. Zu dem Zeitpunkt gab es weder EU Data Boundary noch das überarbeitete DPA — beides existiert in der damaligen Form nicht mehr. Wer heute dieselbe Prüfung ansetzt, arbeitet mit anderen Dokumenten unter einem anderen Rechtsrahmen. Das ändert nichts daran, dass das Pilotprojekt scheiterte. Aber es verändert die Frage, was dieses Scheitern heute noch bedeutet.

Fall 2: EDPS-Untersuchung zur EU-Kommission — Ein lehrreicher Compliance-Prozess

Im Mai 2021 leitete der Europäische Datenschutzbeauftragte (EDPS) Wojciech Wiewiórowski eine Untersuchung ein. Der Gegenstand: die Nutzung von Microsoft 365 durch die Europäische Kommission auf Basis des Interinstitutionellen Lizenzvertrags (ILA 2021). Nach fast drei Jahren stellte der EDPS in seiner Entscheidung vom 8. März 2024 mehrere Verstöße gegen die Verordnung (EU) 2018/1725 fest36 — das EU-interne Datenschutzrecht für EU-Organe.

Die Befunde waren konkret und weitreichend. Die Lizenzvereinbarung ließ offen, zu welchem Zweck welche Daten verarbeitet werden — eine Grundvoraussetzung jeder datenschutzkonformen Auftragsverarbeitung. Hinzu kam, dass weder die Weisungsgebundenheit Microsofts dokumentarisch gesichert war noch angemessene Regelungen für Transfers in Drittländer ohne Angemessenheitsbeschluss bestanden. Schutzmaßnahmen gegen unbefugte Offenlegungen: ebenfalls nicht nachgewiesen.3738

Der EDPS ordnete an, bestimmte Datentransfers ab dem 9. Dezember 2024 auszusetzen und die Verarbeitung bis zu diesem Datum in Einklang mit dem anwendbaren Datenschutzrecht zu bringen. Sowohl die EU-Kommission als auch Microsoft reichten Klagen beim Gericht der EU ein (Az. T-262/24 und T-265/24). In Kraft blieben die Anordnungen trotzdem.3940

Der Abschluss des Verfahrens kam im Juli 2025: Nach umfangreichen vertraglichen, technischen und organisatorischen Anpassungen und einem Compliance-Bericht der Kommission vom Dezember 2024 stellte der EDPS am 11. Juli 2025 fest, dass die Verstöße behoben seien, und schloss das Durchsetzungsverfahren ab.414243

Was dieses Verfahren zeigt, ist zweideutig — und das ist interessant. Selbst die EU-Kommission, mit eigenem Datenschutzbeauftragten und professionellen Strukturen, hat jahrelang M365 nicht regelkonform eingesetzt. Das sollte niemanden beruhigen. Gleichzeitig endete das Verfahren nicht mit einem Verbot, sondern mit der Feststellung, dass die Verstöße behoben wurden. M365 ist damit kein Produkt, das sich grundsätzlich nicht datenschutzkonform betreiben lässt — sondern eines, bei dem die Anforderungen hoch sind. Zu beachten ist dabei ein methodischer Vorbehalt: Das EDPS-Verfahren lief nach der Verordnung (EU) 2018/1725, dem Datenschutzrecht für EU-Organe, nicht nach der DSGVO. Was beide Regelwerke hinsichtlich Vertragsgestaltung und technischer Governance verlangen, ist strukturell aber vergleichbar.

Fall 3: HBDI Hessen — Erste aufsichtsrechtliche Neubewertung in Deutschland

Am 15. November 2025 veröffentlichte der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel einen 137-seitigen Bericht.4445 Seine Schlussfolgerung: Nach intensiven Verhandlungen mit Microsoft seit Januar 2025 sei ein datenschutzkonformer Einsatz von Microsoft 365 in Hessen unter bestimmten rechtlichen und organisatorischen Bedingungen möglich.

Was den Ausschlag gab, war das Zusammenspiel mehrerer Faktoren — keiner davon allein wäre entscheidend gewesen. Das Data Protection Addendum in seiner aktuellen Fassung vom September 2025,46 ein spezielles DPA für öffentliche Stellen in Hessen (DPA-öS), der EU-US-Angemessenheitsbeschluss,4748 die fertiggestellte EU Data Boundary4950 sowie zusätzliche Dokumentationsmaterialien von Microsoft (M365-Kit, Datentaxonomie). Der HBDI hat dabei keine technische Prüfung einzelner M365-Dienste vorgenommen — es handelt sich um eine rechtliche Bewertung des Vertragswerks am Maßstab der Datenschutz-Grundverordnung (DSGVO).51

**EINSCHRÄNKUNG **Der HBDI-Bericht ist kein universelles Freizeichnis für den gesamten deutschen Markt. Er gilt primär für Stellen mit Sitz in Hessen, bewertet das Vertragswerk und nicht die technische Sicherheit einzelner Dienste. Verantwortliche müssen weiterhin eigene Risikobewertungen, eine Datenschutz-Folgenabschätzung (DSFA) und Konfigurationsmaßnahmen vornehmen.

Warum DSK und HBDI zu verschiedenen Ergebnissen kamen

Die Gegenüberstellung von DSK-Festlegung und HBDI-Neubewertung wird in der Diskussion häufig als Widerspruch gelesen — als ob zwei Behörden dasselbe beurteilt und zu entgegengesetzten Ergebnissen gekommen wären. Das greift zu kurz. Beide Stellen haben unterschiedliche Vertragswerke auf der Grundlage unterschiedlicher Rechtsrahmen geprüft, zu verschiedenen Zeitpunkten und mit verschiedenem Verhandlungsstand. Das deutsche Datenschutzsystem ist darin nicht in sich widersprüchlich — die Ausgangslage hat sich verändert, und die Bewertung hat das nachvollzogen.

Als die DSK im November 2022 ihr Urteil fällte, hatte sie das DPA in der Fassung vom 15. September 2022 vor sich — einen Vertragstext, der unter vollständig anderen Rahmenbedingungen entstanden war.5253 Ein EU-US Data Privacy Framework gab es nicht; das kam erst 2023. Die EU Data Boundary hatte noch nicht begonnen; Phase 1 startete am 1. Januar 2023.5455 Was die DSK vorfand, waren sieben konkrete Lücken — unter anderem fehlende Klarheit über Microsofts eigene Verarbeitungszwecke und unzureichende Rechenschaftspflichten. Das war keine Spitzfindigkeit, sondern der Kern des Art. 28 DSGVO.56

Der HBDI-Bericht vom November 2025 hingegen bewertet das DPA in der Fassung vom 1. September 2025 sowie ein eigens für hessische öffentliche Stellen ausgehandeltes DPA-öS. Seit 2022 wurden nicht nur diese Vertragsdokumente grundlegend überarbeitet — auch der transatlantische Rechtsrahmen hat sich mit dem EU-US Data Privacy Framework (im Folgenden: DPF) verändert,5758 und Microsoft hat mit der EU Data Boundary strukturell andere Datenhaltungsversprechen abgegeben.5960 Der HBDI prüfte jeden der sieben DSK-Kritikpunkte erneut und kam zu dem Schluss, dass diese unter den neuen Bedingungen als ausgeräumt gelten können.6162

Dabei ist ein Punkt nicht zu übersehen: Die DSK-Festlegung von November 2022 ist formal noch in Kraft. Sie bezieht sich ausdrücklich auf den Datenschutznachtrag in der Fassung vom 15. September 2022 — auf die überarbeiteten Fassungen lässt sie sich nicht ohne Weiteres übertragen.6364

Wer DSK 2022 gegen HBDI 2025 ausspielt, vergleicht letztlich zwei verschiedene Sachverhalte. Die DSK hat das DPA vom September 2022 bewertet — vor DPF, vor vollendeter EU Data Boundary, vor dem überarbeiteten Vertragswerk. Der HBDI hat das DPA vom September 2025 bewertet — einschließlich eines eigens für hessische öffentliche Stellen verhandelten DPA-öS und nach all diesen Entwicklungen. Die eigentlich relevante Frage ist damit nicht, welche Behörde das bessere Argument hatte — sondern: Auf welcher Vertragsbasis arbeite ich heute, und hält meine Aufsichtsbehörde das für ausreichend?

**HINWEIS: DPF ERSETZT KEINE GOVERNANCE **Selbst nach Angemessenheitsbeschluss bleibt zu prüfen, ob der konkrete Datenempfänger aktiv zertifiziert ist und ob die tatsächliche Verarbeitung dem dokumentierten Vertrags- und Konfigurationsstand entspricht. Der Angemessenheitsbeschluss legitimiert den Transfer — er ersetzt nicht die datenschutzrechtliche Governance im Einzelfall.

Das Meinungsbild der Aufsichtsbehörden

Deutschland kennt kein einheitliches Datenschutzrecht bei der M365-Frage. Als Koordinationskonferenz hat die DSK keine Weisungsbefugnis gegenüber den Landesbehörden — jede Behörde entscheidet unabhängig und kann von DSK-Positionen abweichen.65 Die folgende Übersicht fasst zusammen, was öffentlich bekannt ist — wobei die Stille mancher Behörden oft genauso aufschlussreich ist wie ihre offiziellen Verlautbarungen.

BehördeDSK-PositionM365-BewertungMethodologischer Hintergrund
DSKFestlegung Nov. 2022Standardnutzung: Nachweis nicht führbarBewertung des DPA vom Sept. 2022 — 7 Kritikpunkte zu Art. 28 DSGVO
HBDI HessenAbweichend, Nov. 2025Nutzbar unter BedingungenDPA Sept. 2025 + DPA-öS; DPF; EU Data Boundary; keine techn. Prüfung
BayLDA BayernKritisch, pragmatischRisikobasierte EinzelfallprüfungFederführung MS-Gespräche 2020–22; kein pauschales Verbot, aber Prüfpflicht
LfDI BWDifferenzierendSchulen: Umstieg empfohlen; Duldung bei fehlender AlternativePilotprojekt 2020/21 ohne DSGVO-konformes Ergebnis; Einzelfallbetrachtung

Was das für die Praxis bedeutet, hängt davon ab, wo man sitzt — im wörtlichen Sinne. Die zuständige Landesbehörde bestimmt die konkrete Ausgangslage. Hessen hat heute eine andere aufsichtsrechtliche Ausgangslage als Bayern oder Bremen — das Recht ist überall dieselbe DSGVO — die Unterschiede entstehen durch die behördliche Einschätzung der Vertrags- und Konfigurationslage.666768 Wer außerhalb Hessens tätig ist, bewegt sich weiterhin ohne klares behördliches Freigabesignal und muss das eigene Risiko mit Sorgfalt dokumentieren.6970

Was bleibt: Drei Erkenntnisse für die Praxis

1. Datenschutzfragen zu Cloud-Produkten sind dynamisch, nicht statisch

Ein Compliance-Urteil aus dem Jahr 2022 auf den heutigen Sachverhalt anzuwenden ist etwa so, als würde man ein Sicherheitsaudit für Windows Vista zur Grundlage einer aktuellen Beschaffungsentscheidung machen. Neue Vertragswerke, ein veränderter transatlantischer Rechtsrahmen und abweichende Behördeneinschätzungen sind kein akademisches Problem — sie zwingen zur Aktualisierung.7172 Wer damals ‘zu riskant’ entschied, sollte heute neu prüfen. Wer ‘vertretbar’ entschied, ebenfalls.

2. Vertragsrecht ersetzt keine technische Governance

Ausdrücklich keine technische Prüfung einzelner M365-Dienste — so beschreibt der HBDI seinen Bericht.73 Bewertet wird das Vertragswerk; die Anforderungen an Konfiguration, Copilot-Funktionen (d.h. die in M365 integrierten KI-Assistenzfunktionen, die eigene Konfiguration und ggf. eine gesonderte DSFA erfordern; besonders zu beachten: Prompt-Management, Logging-Kontrolle und Graph-API-Zugriffsbeschränkungen) und Dokumentation obliegen danach der nutzenden Stelle.7475 Ein unterschriebenes DPA allein reicht deshalb nicht, solange die technische Umsetzung nicht stimmt.767778

3. Behördenpositionen sind einflussreich, aber nicht das letzte Wort

Verbotsverfügungen kann die DSK nicht aussprechen — kein Gericht, keine Vollstreckungsbefugnis. Tätig werden können im Einzelfall nur die zuständigen Landesbehörden, nach rechtsstaatlichen Verfahren.79 Was die DSK kann: den Handlungsdruck durch Festlegungen so erhöhen, dass viele Organisationen de facto handeln, als gäbe es ein Verbot. Bußgelder, Untersagungsanordnungen, öffentliche Festlegungen mit erheblicher Signalwirkung — das ist das Werkzeug, das Aufsichtsbehörden tatsächlich haben.8081

Worauf es jetzt ankommt

Fünf Maßnahmen, die den Unterschied machen — nicht als Checkliste, sondern als Mindestanforderung:

  • DPA prüfen und aktualisieren: Liegt die Fassung vom September 2025 vor? Für öffentliche Stellen in Hessen: Ist das DPA-öS vereinbart oder angefragt?

DPF-Zertifizierung verifizieren: Auf das EU-US Data Privacy Framework kann nur dann zurückgegriffen werden, wenn der konkrete Datenempfänger — hier Microsoft — dort aktiv zertifiziert ist. Die maßgebliche Teilnehmerliste führt das US Department of Commerce.82 Dieser Status ist anlassbezogen zu überprüfen.

  • Technische Konfiguration dokumentieren: Telemetrie-Datenlevel auf ‘Erforderlich’ gesetzt? Optionale verbundene Erfahrungen deaktiviert? M365-Admin-Center-Einstellungen dokumentiert? Copilot-Funktionen einzeln bewertet?

  • DSFA und Verarbeitungsverzeichnis aktualisieren: Das Verarbeitungsverzeichnis auf Basis der Microsoft-Taxonomie und des M365-Kits aktualisieren. Eine DSFA (Art. 35 DSGVO) ist insbesondere dann erforderlich, wenn besondere Datenkategorien verarbeitet werden.

  • Rechtsmonitoring etablieren: EU-US-DPF-Entwicklungen verfolgen (mögliche Klage vor dem EuGH), DSK-Neubewertung beobachten, jährlichen ‘Government Requests for Customer Data Report’ von Microsoft sichten.

Was das bedeutet

Microsoft 365 lässt sich heute nicht pauschal freisprechen — aber auch nicht pauschal verwerfen. Maßgeblich ist, auf welcher Vertragsgrundlage, in welcher Konfiguration und unter welcher aufsichtsrechtlichen Ausgangslage das Produkt konkret eingesetzt wird. Das ist unbefriedigend für alle, die klare Regeln erwarten — und wohl unvermeidlich in einem Bereich, in dem Technik, Recht und Politik sich schneller verändern als jede behördliche Bewertung.

Was 2022 galt, gilt nicht mehr unverändert. Microsofts DPA ist heute ein grundlegend anderes Dokument als das, das die DSK damals vor sich hatte.8384 Mit der vollendeten EU Data Boundary hat Microsoft seine Datenhaltungszusagen in Infrastruktur gegossen.8586 Das EU-US DPF hat die transatlantische Rechtsgrundlage stabilisiert — wenn auch nicht auf Dauer gesichert.8788 Und Hessen hat als erstes Bundesland in einem 137-seitigen Bericht festgehalten, was lange als unmöglich galt.89909192

Unbequeme Restfragen bleiben trotzdem. Verschwunden ist der US-Bezug nicht — der CLOUD Act93 gibt US-Behörden weiterhin theoretischen Zugriff auf Daten amerikanischer Konzerne, auch wenn diese auf europäischen Servern liegen.9495 Max Schrems hat eine Klage gegen das EU-US DPF angekündigt.96 Und die DSK-Festlegung von 2022 gilt formal weiterhin — eine bundesweite Neubewertung steht aus.979899

**ZUSAMMENFASSUNG FÜR ENTSCHEIDER **Wer M365 einsetzt, braucht: (1) ein aktuelles DPA (Stand September 2025), (2) verifizierten DPF-Zertifizierungsstatus von Microsoft, (3) eine dokumentierte technische Konfiguration, (4) eine DSFA für risikobehaftete Verarbeitungen, (5) ein laufendes Rechtsmonitoring. Wer diese fünf Punkte sauber dokumentiert hat, steht auf einer vertretbaren Grundlage. Vollständige Rechtssicherheit wird es in diesem Bereich auf absehbare Zeit kaum geben; entscheidend ist daher nachvollziehbar dokumentierte Sorgfalt — wer das belegen kann, steht auf vertretbarem Grund. Diese fünf Punkte ersetzen keine technische Prüfung der einzelnen Dienste; sie schaffen die Grundlage dafür.

Abkürzungsverzeichnis

Alle Abkürzungen werden im Text bei erstmaliger Verwendung ausgeschrieben. Die folgende Übersicht dient der schnellen Orientierung.

AbkürzungBedeutung
BayLDABayerisches Landesamt für Datenschutzaufsicht
BfDIBundesbeauftragter für den Datenschutz und die Informationsfreiheit
CLOUD ActClarifying Lawful Overseas Use of Data Act (US-Bundesgesetz, 2018)
DPAData Protection Addendum (Datenschutznachtrag zu Microsoft-Produkten und -Services)
DPA-öSData Protection Addendum für öffentliche Stellen (Hessen-spezifische Fassung, 2025)
DPF / EU-US DPFEU-US Data Privacy Framework (Nachfolger des EU-US Privacy Shield, in Kraft seit Juli 2023)
DSKDatenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder)
DSFADatenschutz-Folgenabschätzung (Art. 35 DSGVO)
DSGVODatenschutz-Grundverordnung (Verordnung (EU) 2016/679)
EDPSEuropäischer Datenschutzbeauftragter (engl.: European Data Protection Supervisor)
EWREuropäischer Wirtschaftsraum
HBDIHessischer Beauftragter für Datenschutz und Informationsfreiheit
ILAInterinstitutioneller Lizenzvertrag (Interinstitutional Licensing Agreement)
LfD NILandesbeauftragter für den Datenschutz Niedersachsen
LfDILandesbeauftragter/-e für Datenschutz und Informationsfreiheit
LfDI BWLandesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg
M365Microsoft 365 (ehemals: Microsoft Office 365)
TOMTechnische und organisatorische Maßnahmen (Art. 25, 32 DSGVO)

Quellenverzeichnis

Die Quellen sind nachfolgend nach Kategorien geordnet. Vollständige Zitationen einschließlich Abrufdatum finden sich in den Fußnoten des Textes. Primärquellen (behördliche Dokumente, Gerichts- und Behördenentscheidungen) sind gesondert ausgewiesen.

Primärquellen: Behördliche Entscheidungen und amtliche Dokumente

**DSK: **Festlegung zum Einsatz von Microsoft 365, 24. November 2022 https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf

**DSK: **Abschlussbericht AG DSK “Microsoft-Onlinedienste” (58 Seiten, 2. November 2022) https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf

**DSK: **Zusammenfassung des Abschlussberichts (November 2022) https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf

**HBDI Hessen: **M365-Bericht (137 Seiten, 15. November 2025) https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2025-11/hbdi_bericht_m365_2025_11_15.pdf

**HBDI Hessen: **Pressemitteilung: “Microsoft 365 kann datenschutzkonform genutzt werden” (November 2025) https://datenschutz.hessen.de/presse/hbdi-microsoft-365-kann-datenschutzkonform-genutzt-werden

**BayLDA Bayern: **Pressemitteilung: “Bewertung der DSK zu undifferenziert — Nachbesserungen geboten” (Oktober 2020) https://www.datenschutz-bayern.de/presse/20201002_365.pdf

**BayLDA Bayern: **Handreichung: Microsoft als Auftragsverarbeiter beim Einsatz von Microsoft 365 https://www.datenschutz-bayern.de/datenschutzreform2018/Handreichung_MS_365.pdf

**LfDI BW: **Empfehlung: Von der Nutzung der geprüften Version von MS 365 an Schulen abzusehen (Mai 2021) https://www.baden-wuerttemberg.datenschutz.de/lfdi-raet-aufgrund-hoher-datenschutzrechtlicher-risiken-von-der-nutzung-der-geprueften-version-von-microsoft-office-365-an-schulen-ab/

**LfDI BW: **Pressemitteilung: Aufforderung zum Umstieg auf Alternativen (25. April 2022) https://www.baden-wuerttemberg.datenschutz.de/microsoft-365-teams-raus-aus-schulen-in-baden-wuerttemberg/

**LfD Niedersachsen: **Handreichung zum Umgang mit der Microsoft-AVV für M365 (September 2023) https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/einsatz-von-microsoft-365-praxis-tipps-fur-vertrage-mit-microsoft-225722.html

**BfDI: **Kurzmeldung: Angemessenheitsbeschluss zum EU-US Data Privacy Framework in Kraft getreten (Juli 2023) https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html

**EDPS: **Entscheidung Fall 2021-0518: EU-Kommission verstößt gegen Datenschutzrecht (8. März 2024) https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en

**HBDI Hessen: **Informationen zum EU-US Data Privacy Framework https://datenschutz.hessen.de/datenschutz/internationaler-datentransfer/eu-us-data-privacy-framework

**LfD Niedersachsen: **Das Schrems-II-Urteil des EuGH und seine Bedeutung für Datentransfers in Drittländer https://www.lfd.niedersachsen.de/startseite/themen/internationaler_datenverkehr/das_schrems_ii_urteil_des_eugh_und_seine_bedeutung_fur_datentransfers_in_drittlander/

**EUR-Lex: **EuGH (Große Kammer), Urteil vom 16. Juli 2020 (Az. C-311/18, ECLI:EU:C:2020:559) — Schrems II https://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX:62018CJ0311

**Europäische Kommission: **Angemessenheitsbeschluss EU-US Data Privacy Framework (10. Juli 2023) https://ec.europa.eu/commission/presscorner/detail/de/ip_23_3721

Dokumentation des Herstellers

**Microsoft News Center: **EU Data Boundary: Ankündigung und Phase 1 (15. Dezember 2022) https://news.microsoft.com/de-de/microsoft-eu-datengrenze-cloud-2023/

**Microsoft News Center: **EU Data Boundary Phase 3 abgeschlossen (27. Februar 2025) https://news.microsoft.com/de-de/microsoft-schliesst-richtungsweisende-eu-datengrenze-ab-und-bietet-mehr-datenresidenz-und-transparenz/

**Microsoft Learn: **EU Data Boundary — Offizielle technische Dokumentation (Stand: Februar 2025) https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn

Einordnungen und Fachbeiträge

**BDO Legal: **Ist Microsoft 365 datenschutzkonform einsetzbar? Status nach DSK-Beschluss (Januar 2024) https://www.bdolegal.de/de-de/erweiterte-suche/aktuelles/2023/ist-microsoft-365-datenschutzkonform-einsetzbar

**IHK München: **Interview mit BayLDA-Präsident Michael Will: “Der Vertrag mit Microsoft reicht nicht” https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Die-EU-Datenschutz-Grundverordnung/Microsoft-365-Interview-mit-Michael-Will-BayLDA.html

**Dr. Datenschutz: **HBDI Hessen: Microsoft 365 ist datenschutzkonform nutzbar (Dezember 2025) https://www.dr-datenschutz.de/hbdi-hessen-microsoft-365-ist-datenschutzkonform-nutzbar/

**Dr. Datenschutz: **Microsofts EU Data Boundary: Fortschritt mit Vorsicht (2025) https://www.dr-datenschutz.de/microsofts-eu-data-boundary-fortschritt-mit-vorsicht/

**Datenschutz-Notizen: **Hessen macht den Weg frei für Microsoft 365 (Dezember 2025) https://www.datenschutz-notizen.de/datenschutz-hessen-macht-den-weg-frei-fuer-microsoft-365-4257377/

**Lindbergh Legal: **Microsoft 365 in Hessen 2025: Datenschutzkonformität unter klaren Bedingungen (November 2025) https://lindbergh.legal/2025/microsoft-365-in-hessen-datenschutzkonform-unter-klaren-bedingungen/

**RA Köllner: **Die Entscheidung der Datenschutzkonferenz zu M365 im November 2022 — Darstellung und Hintergründe https://www.rakoellner.de/2022/11/die-entscheidung-der-datenschutzkonferenz-zu-microsoft-365-im-november-2022-darstellung-inhalt-und-hintergruende/

**RA Köllner: **HBDI-Bericht November 2025: Zusammenfassung und Maßnahmen https://www.rakoellner.de/2025/11/zusammenfassung-und-massnahmen-aus-dem-hbdi-bericht-zum-datenschutzkonformen-einsatz-von-microsoft-365-stand-november-2025/

**RA Köllner: **EU-Kommission bringt M365-Nutzung in Einklang mit Datenschutzrecht (Juli 2025) https://www.rakoellner.de/2025/07/die-europaeische-kommission-bringt-die-nutzung-von-microsoft-365-in-einklang-mit-den-datenschutzvorschriften-fuer-eu-institutionen-und-einrichtungen/

**Luther Lawfirm: **EU Data Boundary: Bedeutung für europäische Kunden (September 2025) https://www.luther-lawfirm.com/newsroom/blog/detail/eine-cloud-fuer-europa-was-bedeutet-die-einfuehrung-der-microsoft-eu-data-boundary-fuer-europaeische-kunden-von-microsoft-diensten-wie-azure-dynamics-365-und-microsoft-365

**activeMind.legal: **EU-US Data Privacy Framework: Umfassender Leitfaden (2025) https://www.activemind.legal/de/guides/eu-us-data-privacy-framework/

**Stiftung Datenschutz: **DatenschutzWoche vom 17. November 2025 (Zusammenfassung HBDI-Bericht) https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche/detailansicht/datenschutzwoche-vom-17-november-2025-655

**Datenschutzticker: **HBDI: Einsatz von Microsoft 365 datenschutzkonform (November 2025) https://www.datenschutzticker.de/2025/11/hbdi-einsatz-von-microsoft-365-datenschutzkonform/

**Datenschutzticker: **EDPS schließt Microsoft 365-Verfahren gegen EU-Kommission ab (EDPS-Entscheidung: 11. Juli 2025; Bericht: August 2025) https://www.datenschutzticker.de/2025/08/edps-schliesst-microsoft-365-verfahren-gegen-eu-kommission/

**Althammer & Kill: **Einsatz von M365 durch die EU-Kommission verstößt gegen Datenschutzrecht (März 2024) https://www.althammer-kill.de/aktuelles/news/detail/einsatz-von-microsoft-365-durch-die-eu-kommission-verstoesst-gegen-das-datenschutzrecht

**Ferner-Alsdorf: **Microsoft 365 in Hessen 2025: Datenschutzkonformität durch HBDI bestätigt (November 2025) https://www.ferner-alsdorf.de/microsoft-365-in-hessen-2025-datenschutzkonformitaet-durch-hbdi-bestaetigt/

**BornCity: **EU-Datenschützer: EU-Kommission verstößt mit M365 gegen DSGVO (März 2024) https://borncity.com/blog/2024/03/11/eu-datenschtzer-eu-kommission-verstt-mit-microsoft-365-gegen-dsgvo-untersagung-bis-dez-2024/

**reuschlaw: **Microsoft 365: Mehr Datenschutz durch das EU Data Boundary https://www.reuschlaw.de/news/microsoft-365-mehr-datenschutz-durch-das-eu-data-boundary/

Ergänzende Primärquellen

**LfDI BW: **Hinweise zum weiteren Vorgehen zur Nutzung von Microsoft 365 an Schulen (Übergangsregelung) https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/

**dataprivacyframework.gov: **Teilnehmerliste EU-US Data Privacy Framework: Microsoft Corporation (aktive Zertifizierung) https://www.dataprivacyframework.gov/participant/6474

**EDPS: **Pressemitteilung: European Commission brings use of Microsoft 365 into compliance with data protection rules for EU institutions and bodies (28. Juli 2025) https://www.edps.europa.eu/press-publications/press-news/press-releases/2025/european-commission-brings-use-microsoft-365-compliance-data-protection-rules-eu-institutions-and-bodies

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtssichere Einschätzung im konkreten Einzelfall wird die Konsultation eines spezialisierten Datenschutzrechtlers empfohlen. Stand: März 2026.

  1. EDPS, Entscheidung vom 8. März 2024, Fall 2021-0518: European Commission’s use of Microsoft 365 infringes data protection law for EU institutions and bodies. Abrufbar unter: https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en (abgerufen März 2026).

  2. EDPS, Pressemitteilung: European Commission brings use of Microsoft 365 into compliance with data protection rules for EU institutions and bodies, 28. Juli 2025. Abrufbar unter: https://www.edps.europa.eu/press-publications/press-news/press-releases/2025/european-commission-brings-use-microsoft-365-compliance-data-protection-rules-eu-institutions-and-bodies (abgerufen März 2026).

  3. DSK, Festlegung zum Einsatz von Microsoft 365, 24. November 2022. Abrufbar unter: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf (abgerufen März 2026).

  4. Vgl. oben, Fn. 3.

  5. BayLDA, Pressemitteilung: Bewertung der Datenschutzkonferenz zu undifferenziert — Nachbesserungen gleichwohl geboten, Oktober 2020. Abrufbar unter: https://www.datenschutz-bayern.de/presse/20201002_365.pdf (abgerufen März 2026).

  6. BayLDA, Handreichung: Microsoft als Auftragsverarbeiter beim Einsatz von Microsoft 365. Abrufbar unter: https://www.datenschutz-bayern.de/datenschutzreform2018/Handreichung_MS_365.pdf (abgerufen März 2026).

  7. Vgl. oben, Fn. 3.

  8. DSK, Abschlussbericht der Arbeitsgruppe DSK Microsoft-Onlinedienste, 2. November 2022 (58 Seiten). Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf (abgerufen März 2026).

  9. DSK, Zusammenfassung des Abschlussberichts, November 2022. Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf (abgerufen März 2026).

  10. LfDI BW, Empfehlung nach Abschluss des Pilotprojekts: Von der Nutzung der geprüften Version von MS 365 an Schulen abzusehen, Mai 2021. Abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/lfdi-raet-aufgrund-hoher-datenschutzrechtlicher-risiken-von-der-nutzung-der-geprueften-version-von-microsoft-office-365-an-schulen-ab/ (abgerufen März 2026).

  11. LfDI BW, Pressemitteilung vom 25. April 2022 — Aufforderung zum Umstieg bis Sommerferien 2022. Vgl. auch Fn. 38 zu Hinweisen zum weiteren Vorgehen. Abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/microsoft-365-teams-raus-aus-schulen-in-baden-wuerttemberg/ (abgerufen März 2026).

  12. Microsoft News Center, Ankündigung der EU Data Boundary, 15. Dezember 2022; Phase 1 gestartet am 1. Januar 2023. Abrufbar unter: https://news.microsoft.com/de-de/microsoft-eu-datengrenze-cloud-2023/ (abgerufen März 2026).

  13. BfDI, Kurzmeldung: Angemessenheitsbeschluss zum EU-US Data Privacy Framework in Kraft getreten, Juli 2023. Abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html (abgerufen März 2026).

  14. Europäische Kommission, Angemessenheitsbeschluss zum EU-US Data Privacy Framework, 10. Juli 2023. Abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/de/ip_23_3721 (abgerufen März 2026).

  15. Vgl. oben, Fn. 12.

  16. Vgl. oben, Fn. 1.

  17. Althammer & Kill, Einsatz von Microsoft 365 durch die EU-Kommission verstößt gegen Datenschutzrecht, März 2024. Abrufbar unter: https://www.althammer-kill.de/aktuelles/news/detail/einsatz-von-microsoft-365-durch-die-eu-kommission-verstoesst-gegen-das-datenschutzrecht (abgerufen März 2026).

  18. Microsoft News Center, EU Data Boundary Phase 3 abgeschlossen, 27. Februar 2025. Abrufbar unter: https://news.microsoft.com/de-de/microsoft-schliesst-richtungsweisende-eu-datengrenze-ab-und-bietet-mehr-datenresidenz-und-transparenz/ (abgerufen März 2026).

  19. RA Köllner, Die Europäische Kommission bringt die Nutzung von Microsoft 365 in Einklang mit den Datenschutzvorschriften für EU-Institutionen, Juli 2025. Abrufbar unter: https://www.rakoellner.de/2025/07/die-europaeische-kommission-bringt-die-nutzung-von-microsoft-365-in-einklang-mit-den-datenschutzvorschriften-fuer-eu-institutionen-und-einrichtungen/ (abgerufen März 2026).

  20. Datenschutzticker, EDPS schließt Microsoft 365-Verfahren gegen EU-Kommission ab (EDPS-Entscheidung: 11. Juli 2025; Bericht: August 2025). Abrufbar unter: https://www.datenschutzticker.de/2025/08/edps-schliesst-microsoft-365-verfahren-gegen-eu-kommission/ (abgerufen März 2026).

  21. Vgl. oben, Fn. 2.

  22. HBDI, M365-Bericht vom 15. November 2025 (137 Seiten). Abrufbar unter: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2025-11/hbdi_bericht_m365_2025_11_15.pdf (abgerufen März 2026).

  23. HBDI, Pressemitteilung: Microsoft 365 kann datenschutzkonform genutzt werden, 14./15. November 2025. Abrufbar unter: https://datenschutz.hessen.de/presse/hbdi-microsoft-365-kann-datenschutzkonform-genutzt-werden (abgerufen März 2026).

  24. Vgl. oben, Fn. 3.

  25. CLOUD Act (Clarifying Lawful Overseas Use of Data Act), Pub. L. 115-141, 23. März 2018, 18 U.S.C. § 2713: ‘Ein Anbieter elektronischer Kommunikationsdienste oder von Fernverarbeitungsdiensten hat den Verpflichtungen dieses Kapitels nachzukommen, Inhalte elektronischer Kommunikation sowie Aufzeichnungen oder sonstige kundenbezogene Informationen zu sichern, zu hinterlegen oder offenzulegen, soweit diese seiner Kontrolle unterliegen — unabhängig davon, ob sich diese Kommunikation, Aufzeichnungen oder Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden.’ (Übersetzung d. Verf.) Volltext: uscode.house.gov/view.xhtml?req=granuleid:USC-prelim-title18-section2713

  26. Microsoft Learn, EU Data Boundary — Offizielle technische Dokumentation, Stand: Februar 2025. Abrufbar unter: https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn (abgerufen März 2026).

  27. Luther Lawfirm, Eine Cloud für Europa: Bedeutung der Microsoft EU Data Boundary für europäische Kunden, September 2025. Abrufbar unter: https://www.luther-lawfirm.com/newsroom/blog/detail/eine-cloud-fuer-europa-was-bedeutet-die-einfuehrung-der-microsoft-eu-data-boundary-fuer-europaeische-kunden-von-microsoft-diensten-wie-azure-dynamics-365-und-microsoft-365 (abgerufen März 2026).

  28. activeMind.legal, EU-US Data Privacy Framework: Umfassender Leitfaden, 2025. Abrufbar unter: https://www.activemind.legal/de/guides/eu-us-data-privacy-framework/ (abgerufen März 2026).

  29. Vgl. oben, Fn. 3.

  30. Vgl. oben, Fn. 10.

  31. Vgl. oben, Fn. 10.

  32. Vgl. oben, Fn. 11.

  33. Vgl. oben, Fn. 11.

  34. LfDI BW, Hinweise zum weiteren Vorgehen zur Nutzung von Microsoft 365 an Schulen in Baden-Württemberg. Abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/ (abgerufen März 2026).

  35. Vgl. oben, Fn. 11.

  36. Vgl. oben, Fn. 1.

  37. Vgl. oben, Fn. 1.

  38. Vgl. oben, Fn. 17.

  39. Vgl. oben, Fn. 1.

  40. BornCity (Günter Born), EU-Datenschützer: EU-Kommission verstößt mit Microsoft 365 gegen DSGVO, März 2024. Abrufbar unter: https://borncity.com/blog/2024/03/11/eu-datenschtzer-eu-kommission-verstt-mit-microsoft-365-gegen-dsgvo-untersagung-bis-dez-2024/ (abgerufen März 2026).

  41. Vgl. oben, Fn. 19.

  42. Vgl. oben, Fn. 20.

  43. Vgl. oben, Fn. 2.

  44. Vgl. oben, Fn. 22.

  45. Vgl. oben, Fn. 23.

  46. Vgl. oben, Fn. 22.

  47. Vgl. oben, Fn. 14.

  48. HBDI, Informationen zum EU-US Data Privacy Framework. Abrufbar unter: https://datenschutz.hessen.de/datenschutz/internationaler-datentransfer/eu-us-data-privacy-framework (abgerufen März 2026).

  49. Vgl. oben, Fn. 18.

  50. Vgl. oben, Fn. 26.

  51. Vgl. oben, Fn. 22.

  52. Vgl. oben, Fn. 3.

  53. Vgl. oben, Fn. 9.

  54. Vgl. oben, Fn. 14.

  55. Vgl. oben, Fn. 12.

  56. Vgl. oben, Fn. 8.

  57. Vgl. oben, Fn. 13.

  58. Vgl. oben, Fn. 14.

  59. Vgl. oben, Fn. 12.

  60. Vgl. oben, Fn. 18.

  61. Vgl. oben, Fn. 22.

  62. RA Köllner, Zusammenfassung und Maßnahmen aus dem HBDI-Bericht zum datenschutzkonformen Einsatz von Microsoft 365, November 2025. Abrufbar unter: https://www.rakoellner.de/2025/11/zusammenfassung-und-massnahmen-aus-dem-hbdi-bericht-zum-datenschutzkonformen-einsatz-von-microsoft-365-stand-november-2025/ (abgerufen März 2026).

  63. Vgl. oben, Fn. 3.

  64. Vgl. oben, Fn. 8.

  65. RA Köllner (Raphael Köllner), Die Entscheidung der Datenschutzkonferenz zu Microsoft 365 im November 2022, Dezember 2022. Abrufbar unter: https://www.rakoellner.de/2022/11/die-entscheidung-der-datenschutzkonferenz-zu-microsoft-365-im-november-2022-darstellung-inhalt-und-hintergruende/ (abgerufen März 2026).

  66. Vgl. oben, Fn. 5.

  67. Vgl. oben, Fn. 6.

  68. IHK München, Interview mit BayLDA-Präsident Michael Will: Der Vertrag mit Microsoft reicht nicht. Abrufbar unter: https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Die-EU-Datenschutz-Grundverordnung/Microsoft-365-Interview-mit-Michael-Will-BayLDA.html (abgerufen März 2026).

  69. LfD Niedersachsen, Handreichung zum Umgang mit der Microsoft-AVV für M365, September 2023. Abrufbar unter: https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/einsatz-von-microsoft-365-praxis-tipps-fur-vertrage-mit-microsoft-225722.html (abgerufen März 2026).

  70. BDO Legal, Ist Microsoft 365 datenschutzkonform einsetzbar? Status nach DSK-Beschluss, Januar 2024. Abrufbar unter: https://www.bdolegal.de/de-de/erweiterte-suche/aktuelles/2023/ist-microsoft-365-datenschutzkonform-einsetzbar (abgerufen März 2026).

  71. Vgl. oben, Fn. 70.

  72. Dr. Datenschutz, HBDI Hessen: Microsoft 365 ist datenschutzkonform nutzbar, Dezember 2025. Abrufbar unter: https://www.dr-datenschutz.de/hbdi-hessen-microsoft-365-ist-datenschutzkonform-nutzbar/ (abgerufen März 2026).

  73. Vgl. oben, Fn. 22.

  74. Lindbergh Legal (Claudia Bischof), Microsoft 365 in Hessen 2025: Datenschutzkonformität unter klaren Bedingungen, November 2025. Abrufbar unter: https://lindbergh.legal/2025/microsoft-365-in-hessen-datenschutzkonform-unter-klaren-bedingungen/ (abgerufen März 2026).

  75. Ferner-Alsdorf (Alper Doğan), Microsoft 365 in Hessen 2025: Datenschutzkonformität durch HBDI bestätigt, November 2025. Abrufbar unter: https://www.ferner-alsdorf.de/microsoft-365-in-hessen-2025-datenschutzkonformitaet-durch-hbdi-bestaetigt/ (abgerufen März 2026).

  76. Dr. Datenschutz, Microsofts EU Data Boundary: Fortschritt mit Vorsicht, 2025. Abrufbar unter: https://www.dr-datenschutz.de/microsofts-eu-data-boundary-fortschritt-mit-vorsicht/ (abgerufen März 2026).

  77. Vgl. oben, Fn. 27.

  78. reuschlaw, Microsoft 365: Mehr Datenschutz durch das EU Data Boundary. Abrufbar unter: https://www.reuschlaw.de/news/microsoft-365-mehr-datenschutz-durch-das-eu-data-boundary/ (abgerufen März 2026).

  79. Vgl. oben, Fn. 65.

  80. Vgl. oben, Fn. 65.

  81. Vgl. oben, Fn. 17.

  82. dataprivacyframework.gov, Teilnehmerliste EU-US Data Privacy Framework: Microsoft Corporation (aktive Zertifizierung). Abrufbar unter: https://www.dataprivacyframework.gov/participant/6474 (abgerufen März 2026).

  83. Vgl. oben, Fn. 22.

  84. Vgl. oben, Fn. 62.

  85. Vgl. oben, Fn. 18.

  86. Vgl. oben, Fn. 26.

  87. Vgl. oben, Fn. 13.

  88. Vgl. oben, Fn. 28.

  89. Vgl. oben, Fn. 22.

  90. Datenschutz-Notizen (Philip Kroll), Hessen macht den Weg frei für Microsoft 365, Dezember 2025. Abrufbar unter: https://www.datenschutz-notizen.de/datenschutz-hessen-macht-den-weg-frei-fuer-microsoft-365-4257377/ (abgerufen März 2026).

  91. Stiftung Datenschutz, DatenschutzWoche vom 17. November 2025 — Zusammenfassung des HBDI-Berichts. Abrufbar unter: https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche/detailansicht/datenschutzwoche-vom-17-november-2025-655 (abgerufen März 2026).

  92. Datenschutzticker, HBDI: Einsatz von Microsoft 365 datenschutzkonform, November 2025. Abrufbar unter: https://www.datenschutzticker.de/2025/11/hbdi-einsatz-von-microsoft-365-datenschutzkonform/ (abgerufen März 2026).

  93. Vgl. oben, Fn. 25.

  94. Vgl. oben, Fn. 27.

  95. Vgl. oben, Fn. 76.

  96. Vgl. oben, Fn. 28.

  97. Vgl. oben, Fn. 3.

  98. LfD Niedersachsen, Das Schrems-II-Urteil des EuGH und seine Bedeutung für Datentransfers in Drittländer. Abrufbar unter: https://www.lfd.niedersachsen.de/startseite/themen/internationaler_datenverkehr/das_schrems_ii_urteil_des_eugh_und_seine_bedeutung_fur_datentransfers_in_drittlander/ (abgerufen März 2026).

  99. EuGH (Große Kammer), Urteil vom 16. Juli 2020, Rechtssache C-311/18 (ECLI:EU:C:2020:559) — Schrems II. Abrufbar unter: https://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX:62018CJ0311 (abgerufen März 2026).