Vorab zur Klarstellung der HBDI ist (abgesehen von der Aufsichtsfunktion) primär nur für die Landesbehörden zuständig. Trotzdem ist die folgende Entscheidung auch für privatwirtschaftliche Unternehmen nicht uninteressant, da die generelle Aussage ist “Die Software Microsoft 365 (M365) kann in Hessen datenschutzkonform genutzt werden” und es sich hier, wie geschrieben, um die Aufsichstbehörde für Hessen handelt.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat am 15.11.2025 einen umfangreichen Bericht veröffentlicht, laut dem der Einsatz von Microsoft 365 in Hessen datenschutzkonform möglich ist. Zu diesem Ergebnis ist der HBDI nach intensiven Verhandlungen mit Microsoft gekommen. Für Unternehmen bedeutet dies Rechtssicherheit vorausgesetzt, dass die im Bericht formulierten Rahmenbedingungen konsequent umgesetzt werden. Die Aufsichtsbehörde führt dazu aus, dass man seit Anfang Januar 2025 in zahlreichen Diskussionsrunden mit Microsoft konstruktiv verhandelt habe, um den Einsatz von Microsoft 365 datenschutzkonform zu gestalten. Konkret habe man sich an den sieben Kritikpunkten orientiert, die die DSK vor drei Jahren herausgearbeitet habe. Eine technische Prüfung habe der HBDI jedoch nicht vorgenommen. Eine zentraler Kritikpunkte der DSK war die mangelnde Transparenz. Der HBDI bestätigt nun, dass Microsoft seine Informationsmaterialien überarbeitet und die Dokumentation im DPA konkretisiert habe. Unternehmen könnten damit die erforderlichen Angaben in ihren Verarbeitungsverzeichnissen vollständig abbilden.
Die einzelnen von der DSK am Data Protection Addendum – DPA vom 15.09.2022 genannt Kritikpunkte und die Gründe für die Neuentscheidung erklärt der HBDI aktuell wie folgt:
“Erstens fehlten klare Angaben zu Art und Zweck der Datenverarbeitung sowie zur Art der personenbezogenen Daten und betroffener Kategorien. – MS hat unterschiedliche Materialien erstellt, um besser über die Datenverarbeitung zu informieren, und für öffentliche Stellen den DPA überarbeitet, so dass Verantwortliche ausreichende Informationen über die Datenverarbeitung durch MS erlangen und diese in ihr Verarbeitungsverzeichnis einbinden können.
Zweitens lasse sich MS unzureichend konkretisierte Rechte für Datenverarbeitungen für eigene Geschäftstätigkeiten einräumen. – MS hat klargestellt, dass sie nur Log- und Diagnose-Daten, nicht aber Inhaltsdaten, in anonymisierter und aggregierter Form für Zwecke des Auftraggebers (des verantwortlichen Kunden) verarbeite. Diese Datenverarbeitung unterfällt entweder nicht der DS-GVO oder ist datenschutzrechtlich vertretbar.
Drittens behalte sich MS im DPA im Ergebnis umfangreiche Befugnisse vor, Daten ohne Weisung des Auftraggebers zu verarbeiten und Daten – auch gegenüber Drittstaaten – offenzulegen. – MS hat sich im DPA verpflichtet, personenbezogene Daten nur auf dokumentierte Anweisung des Kunden zu verarbeiten und hinsichtlich Offenlegungen sich der DS-GVO zu unterwerfen.
Viertens verpflichte sich MS nicht, die von der DS-GVO geforderten technischen und organisatorischen Sicherheitsmaßnahmen einzuhalten. – MS hat sich im DPA verpflichtet, die Vorgaben der DS-GVO ohne Abstriche einzuhalten.
Fünftens genügte die Ausgestaltung der Rückgabe- und Löschverpflichtung im DPA nicht den gesetzlichen Anforderungen. – MS bietet einen Löschprozess an und ermöglicht allen Kunden, Daten auch selbst zu löschen oder löschen zu lassen, wenn diese schneller gelöscht werden müssen.
Sechstens informiere MS nach dem DPA nicht über jede beabsichtigte Änderung in Bezug auf Unterauftragnehmer. – MS hält dagegen sechs Monate bzw. einen Monat im Voraus in seinem Service Trust Portal detaillierte Informationen über jeden Unterauftragnehmer bereit und informiert darüber alle Kunden, sodass diese die Informationen problemlos zur Kenntnis nehmen können.
Siebtens übermittle MS für den Betrieb von M365 personenbezogene Daten unzulässiger Weise in die USA und in andere Staaten. – Inzwischen verarbeitet MS die Daten fast vollständig im Europäischen Wirtschaftsraum. Die verbleibenden Datenübermittlungen in die USA und andere Staaten sind durch Angemessenheitsbeschlüsse der Europäischen Kommission und Standardvertragsklauseln gedeckt.”
