Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat am 14. November 2025 bekanntgegeben, dass Microsoft 365 (M365) in Hessen datenschutzkonform eingesetzt werden kann. Diese Entscheidung ist das Ergebnis intensiver Verhandlungen mit Microsoft, die seit Januar 2025 geführt wurden. Dabei wurde festgestellt, dass sich die rechtlichen und technischen Rahmenbedingungen für den Einsatz von M365 deutlich verbessert haben.
Ein wesentlicher Fortschritt ist die Einführung des EU-US Data Privacy Framework, das wieder eine rechtssichere Datenübertragung in die USA ermöglicht. Darüber hinaus hat Microsoft die sogenannte EU-Datengrenze eingeführt, wodurch nahezu alle personenbezogenen Daten innerhalb des Europäischen Wirtschaftsraums verarbeitet werden. Für öffentliche Stellen wurde das Datenschutznachtrag (DPA) überarbeitet, um mehr Transparenz und Kontrolle über die Datenverarbeitung zu gewährleisten. Zusätzlich stellt Microsoft mit dem M365-Kit umfangreiche Materialien bereit, die Verantwortliche bei der Dokumentation und Einhaltung der Datenschutzanforderungen unterstützen.
Auch die sieben früheren Kritikpunkte der Datenschutzkonferenz (DSK) wurden adressiert. Dazu gehören klare Angaben zu Art und Zweck der Datenverarbeitung, die Verpflichtung zur Verarbeitung ausschließlich auf dokumentierte Anweisung, die Einhaltung der Sicherheitsmaßnahmen nach DS-GVO sowie verbesserte Löschprozesse und eine höhere Transparenz bei Unterauftragnehmern.
Für Behörden und Unternehmen in Hessen bedeutet diese Entscheidung vor allem eines: Rechtssicherheit. Sie können M365 nun auf einer belastbaren Grundlage datenschutzkonform nutzen. Die neue EU-Datengrenze erleichtert die Einhaltung der DS-GVO erheblich, während das überarbeitete DPA und das M365-Kit zusätzliche Unterstützung bei der Umsetzung bieten. Verbesserte Lösch- und Sicherheitsmechanismen sowie eine frühzeitige Information über Änderungen bei Unterauftragnehmern sorgen für mehr Kontrolle und Transparenz. Datenübermittlungen in Drittstaaten werden auf ein Minimum reduziert und erfolgen nur noch in Ausnahmefällen, abgesichert durch EU-Angemessenheitsbeschlüsse.
Tipp:
Der Bericht des HBDI enthält zudem eine Handlungsempfehlung für Verantwortliche mit konkreten Maßnahmen, die beachtet werden müssen, um M365 datenschutzkonform einzusetzen.
Quelle: HBDI: Microsoft 365 kann datenschutzkonform genutzt werden | datenschutz.hessen.de
Brauchen Sie Unterstützung bei der datenschutzkonformen Nutzung von Microsoft 365?
Unsere Experten beraten Sie individuell zu den neuen Anforderungen und unterstützen bei der Umsetzung der Datenschutzvorgaben. Profitieren Sie von praxisnahen Tipps, einer Überprüfung Ihrer aktuellen Konfiguration und maßgeschneiderten Lösungen für Ihre Organisation.
