DSGVO-konform mit Microsoft 365: Worauf KMU achten müssen

Microsoft 365 ist aus dem Arbeitsalltag vieler Unternehmen nicht mehr wegzudenken. Gleichzeitig taucht regelmäßig die Frage auf: Ist das überhaupt DSGVO-konform? Die kurze Antwort: Ja, Microsoft 365 lässt sich datenschutzkonform betreiben, aber die Verantwortung dafür liegt zu einem erheblichen Teil bei Ihnen als Unternehmen. Microsoft stellt die Werkzeuge bereit, die richtige Konfiguration und Dokumentation müssen Sie selbst sicherstellen. Wir zeigen die wichtigsten Punkte.

Auftragsverarbeitung: der vertragliche Rahmen

Wenn Sie Microsoft 365 nutzen, verarbeitet Microsoft personenbezogene Daten in Ihrem Auftrag. Dafür braucht es eine vertragliche Grundlage, einen Auftragsverarbeitungsvertrag. Microsoft stellt diese Bedingungen über die sogenannten Datenschutzbestimmungen (Data Protection Addendum) bereit, die Teil der Vertragsbedingungen sind. Wichtig ist, dass Sie diese Grundlage kennen und dokumentiert haben, auch gegenüber Ihrer eigenen Aufsicht und Ihren Kunden.

Wo liegen die Daten?

Ein zentraler Punkt beim Datenschutz ist der Speicherort. Microsoft betreibt eine sogenannte EU-Datengrenze, mit der Daten europäischer Kunden weitgehend innerhalb der EU verarbeitet werden. Für viele KMU ist das eine wichtige Grundlage. Es lohnt sich, den eigenen Mandanten daraufhin zu prüfen und zu dokumentieren, wie die Datenverarbeitung geografisch organisiert ist. Je nach Anforderung gibt es zusätzliche, kostenpflichtige Optionen für erweiterte regionale Datenhaltung, die aber nicht für jedes Unternehmen wirtschaftlich oder nötig sind.

Technische Stellschrauben, die Sie selbst setzen

Datenschutz ist eng mit Datensicherheit verzahnt. Folgende Maßnahmen gehören zu einem datenschutzfreundlichen Betrieb:

• Zugriffe absichern: Mehr-Faktor-Anmeldung und sparsam vergebene Berechtigungen, damit nur befugte Personen Zugriff haben.
• Berechtigungen ordnen: Klar geregelte Zugriffsrechte auf Postfächer, SharePoint und OneDrive nach dem Prinzip „so wenig wie möglich".
• Protokollierung: Nachvollziehbarkeit, wer auf welche Daten zugreift.
• Aufbewahrung und Löschung: Regeln, wie lange Daten vorgehalten und wann sie gelöscht werden.
• Datensicherung: Ein Backup, das auch im Schadensfall die Verfügbarkeit der Daten gewährleistet.

Organisatorische Pflichten nicht vergessen

Neben der Technik bleiben die klassischen Datenschutzpflichten bestehen: ein Verzeichnis der Verarbeitungstätigkeiten, in dem auch Microsoft 365 auftaucht, geregelte Abläufe für Betroffenenanfragen und Datenpannen sowie die Prüfung, ob ein Datenschutzbeauftragter zu bestellen ist. Microsoft 365 ist dabei ein Baustein Ihres gesamten Datenschutzkonzepts, kein Selbstläufer.

Häufige Fragen

Ist Microsoft 365 automatisch DSGVO-konform?

Nein. Microsoft liefert die Voraussetzungen und vertraglichen Grundlagen, aber die datenschutzkonforme Nutzung hängt von Ihrer Konfiguration, Ihren Berechtigungen und Ihrer Dokumentation ab. Diese Verantwortung können Sie nicht abgeben.

Liegen meine Daten in Europa?

Über die EU-Datengrenze werden Daten europäischer Kunden weitgehend in der EU verarbeitet. Den genauen Stand für Ihren Mandanten sollten Sie prüfen und dokumentieren. Für besondere Anforderungen gibt es zusätzliche, kostenpflichtige Optionen.

Brauche ich einen Datenschutzbeauftragten?

Das hängt von Art und Umfang Ihrer Datenverarbeitung und der Mitarbeiterzahl ab. Ob eine Bestellpflicht besteht, sollte im Einzelfall geprüft werden, das ist unabhängig von Microsoft 365 zu klären.

So unterstützt Sie die High5Manufaktur GmbH

Die High5Manufaktur GmbH richtet Microsoft 365 für kleine und mittlere Unternehmen datenschutzfreundlich ein: mit abgesicherten Zugängen, sauber geordneten Berechtigungen, durchdachten Aufbewahrungsregeln und einem verlässlichen Backup. So schaffen Sie die technische Grundlage für einen datenschutzkonformen Betrieb. Im kostenlosen Erstgespräch sehen wir uns Ihren Mandanten an. Mehr zu unseren Microsoft-365-Diensten finden Sie auf der jeweiligen Seite. Bitte beachten Sie: Dies ersetzt keine Rechtsberatung.