12/25: MS-Office365 vs. DSGVO und Neubewertung DSGVO

HMDATA Datenschutz-Newsletter 12/2025, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2025

Aktuell gibt es zwei Diskussionspapiere, die von Datenschützern interessiert verfolgt werden: eine Neubewertung des datenschutzkonformen Einsatzes von Microsoft Office365 und ebenso eine Neubewertung der DSGVO im Sinne administrativer Erleichterung.

1. MS-Office365 und die DSGVO – ein kompliziertes Verhältnis mit Chance auf ein glückliches Ende

Zur Information: Im September 2020 hat die DSK (Anmkg.: das Sprachrohr der Landesdatenschutzbehörden) festgestellt, dass ein datenschutzkonformer Einsatz von MS-Office365 (und in Folge dessen auch analog der Azure-Cloud) nicht möglich sei.

Allerdings hat das DSK ein wenig über die Strenge geschlagen, zum einen weil es keine exekutive Instanz ist (dafür wäre das BSI zuständig) und vor allem, weil schon damals die Vergangenheit bewertet wurde.

Mittlerweile hat sich viel getan: Microsoft hat Milliarden in die Sicherheits- und DSGVO-konforme Infrastruktur im Raum der EU investiert, es gibt das EU/US-DataPrivacy-Framework (trotz der Trump-Administration) und die EU-Boundary in der Microsoft-Cloud, neue vertragliche Anpassungen und ganz viel Information seitens Microsoft.

Insofern kam das Hessische Landesamt für Datenschutz und Informationstechnik zum Entschluss, eine Neubewertung (allerdings nur für den Einsatz in hessischen Behörden) durchzuführen und im Ergebnis die Datenschutzkonformität von MS-Cloud-Diensten (bei richtiger Konfiguration!) zu bestätigen.

Letztlich geht es aber auch nur noch um das Restrisiko telemetrischer anonymisierter Daten, die Microsoft zu Auswertungszwecken nach US überträgt. Ob diese aber überhaupt unter die Anwendbarkeit der DSGVO fallen, ist sowieso fraglich.
Insofern ist also ein weiterer Schritt in Richtung offizieller Bestätigung des alternativlos faktischen Einsatzes von MS-Technologien getan.

2. Omnibus: die Neubewertung der DSGVO

In Art. 97 DSGVO ist eine regelmäßige Neubewertung der DSGVO mit Bericht an die EU-Kommission geregelt. In der letzten Anpassung waren hier nur marginale und insb. ein wenig sinnbefreite Regelungen betroffen. Der aktuelle Entwurf (Projektname "Omnibus") verspricht mehr administrative Vereinfachung.

Hauptsächlich sind folgende Anpassungen geplant:

• Neudefinition des Begriffs des Personenbezuges von Daten, u.a. soll die "Identifizierung" weniger streng ausgelegt werden, eine Pseudonymisierung auf Seiten der verantwortlichen Stelle kann einer Anonymisierung für externe Verarbeiter gleichgesetzt werden
• die Meldefrist für Datenpannen wird von 72 Stunden auf 96 Stunden verlängert
• erleichterte Informationspflichten
• Verweigerungsmöglichkeit im Auskunftsrecht, wenn ein mißbräuchlicher Vorwand vorliegt
• Neuregelung der Cookie-Richtlinie, ggf. Berufung der Verarbeitung auf "Berechtigtes Interesse", d.h. keine Einwilligungspflicht mehr
• "Berechtigtes Interesse" als Rechtsgrundlage für Trainingsdaten und Betrieb für KI-Systeme

Fazit

Es hätte einen noch größeren Wurf zur Vereinfachung und Präzision geben können, was die praktische Umsetzung gerade in KMU-Betrieben erleichtert hätte. Vieles müsste sich in der Praxis erst "eingrooven", aber der angedachte Schritt der Revision der DSGVO geht in die richtige Richtung.

Wie immer werde ich Sie auch in 2026 laufend und vor allem kurz und knapp mit Empfehlungen für die Praxis informieren und auch zu o.a. Themen den Markt für Sie beobachten und Entscheidendes zusammenfassen.