DSGVO konform konfiguriert, technisch nachgewiesen, auditfähig dokumentiert. Microsoft 365 datenschutzkonform zu betreiben ist keine Ja oder Nein Frage. Es kommt darauf an, wie Sie es konfigurieren. Dieser Leitfaden zeigt, welche technischen und organisatorischen Maßnahmen nötig sind, damit Ihre M365 Umgebung die DSGVO Anforderungen nachweisbar erfüllt.
Datenschutz Beratung anfragen →Vier Fragen, die Datenschutzbeauftragte und Aufsichtsbehörden zu Microsoft 365 stellen. Und die technischen Antworten, die in Ihrer Konfiguration verankert sein müssen.
Mit der EU Data Boundary, die Microsoft in mehreren Phasen bis 2024 ausgerollt hat, werden Kunden und Logging Daten in EU Rechenzentren verarbeitet. Restbereiche wie Cloud Act Zugriff und einzelne Telemetriedaten bleiben rechtlich relevant und werden in der DSFA adressiert. Wir prüfen die tatsächlichen Datenflüsse und dokumentieren, was wirklich in der EU bleibt.
Conditional Access, Entra ID Governance und Privileged Identity Management steuern, wer auf welche Daten zugreifen darf. Access Reviews dokumentieren den Zugriff revisionssicher.
Sensitivity Labels, DLP Policies, Verschlüsselung und Retention Policies schützen personenbezogene Daten über alle Kanäle. Von der E Mail über Teams bis zum Endgerät.
Compliance Manager, Audit Logs und automatisierte Reports liefern die Nachweise, die Datenschutzbeauftragte und Aufsichtsbehörden fordern. Auf Knopfdruck, nicht nach wochenlanger Aufbereitung.
Konkrete Konfigurationsschritte, die aus einer Standard M365 Umgebung eine datenschutzkonforme Cloud machen. Jede Maßnahme ist dokumentierbar und auditfähig.
Sicherstellen, dass Kundendaten in EU Rechenzentren verbleiben. Copilot Flex Routing prüfen. Telemetrie und Diagnosedaten bewerten. Dokumentation für den Datenschutzbeauftragten erstellen.
Art. 35 DSGVO fordert eine DSFA für risikobehaftete Verarbeitungen. Wir erstellen belastbare Folgenabschätzungen für M365 und Copilot. Mit konkreten technischen und organisatorischen Maßnahmen.
Sensitivity Labels für personenbezogene Daten, Gesundheitsdaten, Finanzdaten und branchenspezifische Kategorien. Mit Auto Labeling für Bestandsdaten in SharePoint und OneDrive.
Conditional Access mit MFA, Geräte Compliance und standortbasierter Steuerung. Privileged Identity Management (PIM) für Just in Time Aktivierung administrativer Rollen. Access Reviews für regelmäßige Berechtigungsprüfung.
Retention Policies für DSGVO konforme Löschfristen. Litigation Hold für laufende Verfahren. Lifecycle Management für SharePoint Inhalte. Automatisierte Löschung nach Fristablauf.
Unified Audit Log aktivieren und Aufbewahrungsfristen korrekt setzen: E3 bietet 180 Tage, E5 standardmäßig 1 Jahr, mit Audit Premium (Add on) bis zu 10 Jahre. Kritische Aktivitäten überwachen. Automatisierte Alerts bei verdächtigen Zugriffen auf personenbezogene Daten. Die Wahl der Aufbewahrungsfrist richtet sich nach Branche und regulatorischer Anforderung.
Die ehrliche Antwort: Es kommt darauf an. Microsoft 365 kann datenschutzkonform betrieben werden, aber es ist kein Selbstläufer. Die Datenschutzkonferenz (DSK) und einzelne Aufsichtsbehörden sehen weiterhin kritische Punkte, insbesondere bei Telemetriedaten, dem US Cloud Act und der Transparenz bei Subprozessoren. Genau deshalb reicht der Kauf einer Lizenz nicht aus. Sie brauchen eine saubere Konfiguration (EU Data Boundary, Sensitivity Labels, DLP, Conditional Access), eine belastbare DSFA, eine geprüfte Auftragsverarbeitungsvereinbarung auf Basis der Microsoft Online Service Terms und Standardvertragsklauseln, und eine dokumentierte Bewertung der Restrisiken. Wer diese Schritte sauber durchläuft, kann Microsoft 365 datenschutzkonform betreiben. Wer sie auslässt, hat ein Problem, wenn die Aufsichtsbehörde fragt.
In den meisten Fällen ja. Art. 35 DSGVO verlangt eine DSFA, wenn eine Verarbeitung voraussichtlich ein hohes Risiko birgt. Microsoft 365 verarbeitet typischerweise personenbezogene Daten in großem Umfang, das qualifiziert sich. Besonders bei Copilot Einführung ist eine DSFA Pflicht.
Mit der EU Data Boundary, die Microsoft in mehreren Phasen bis 2024 ausgerollt hat, werden Kundendaten und pseudonymisierte Logging Daten in EU Rechenzentren verarbeitet. Einzelne Restbereiche bleiben rechtlich relevant: US Cloud Act Zugriffsmöglichkeiten, bestimmte Diagnosedaten und einzelne Copilot Szenarien, bei denen Prompts an die USA geroutet werden können (Copilot Flex Routing). Wir prüfen die tatsächlichen Datenflüsse, dokumentieren die Restrisiken und adressieren sie in der DSFA. Der Anspruch ist nicht, Microsoft reinzuwaschen, sondern die Risiken korrekt zu bewerten und technisch zu mitigieren, wo es möglich ist.
Copilot verarbeitet potenziell alle Daten, die ein Nutzer in M365 sehen darf. Ohne Sensitivity Labels und DLP ist das ein Datenschutzrisiko. Wir erstellen eine belastbare DSFA für Copilot und konfigurieren die technischen Maßnahmen, damit der Datenschutzbeauftragte das Okay geben kann.
30 Minuten Erstgespräch. Unverbindlich. Wir prüfen Ihren Datenschutz Status und zeigen, welche Maßnahmen den größten Hebel haben.
Erstgespräch buchen →