Papier statt Kontrolle: Microsoft 365 erhält in Hessen grünes Licht, weil die Datenschutz-Aufsichtsbehörde überfordert ist
Die Software Microsoft 365 (M365) könne in Hessen datenschutzkonform genutzt werden. Das geht aus dem Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zum Einsatz von Microsoft 365 hervor, den dieser am 15.11.2025 veröffentlicht hat. In einer Pressemitteilung vom gleichen Tag erklärt Prof. Dr. Alexander Roßnagel: „Seit Januar 2025 haben wir mit Microsoft in vielen Diskussionsrunden über den Datenschutz bei Microsoft 365 verhandelt. Wir haben im Interesse der Nutzer konstruktiv untersucht, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 möglich ist…“
Im November 2022 stellte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) fest, dass Verantwortliche den Nachweis, M365 datenschutzrechtskonform zu betreiben nicht führen können. Der HBDI erklärt jetzt aber, dass
- die in dieser Stellungnhame benannten sieben Kritikpunkte Maßstab für die Verhandlungen zwischen HBDI und Microsoft gewesen seien;
- der HBDI keine technische Untersuchung einzelner M365-Dienste durchgeführt habe;
- er aber trotzdem meint feststellen zu können, dass sich nach drei Jahren entscheidende Bedingungen geändert hätten. Als Beleg dafür nennt er u. a., dass sich rechtliche Vorgaben verändert hätten wie z.B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA oder dass Microsoft seine Datenverarbeitung an europäische Anforderungen angepasst habe.
Der HBDI stützt sich dabei auf das Prinzip Hoffnung, wenn er feststellt: „Das positive Ergebnis beruht auch auf der Erwartung, dass MS und die Verantwortlichen zusammenwirken, damit Verantwortliche M365 datenschutzrechtskonform nutzen können. Daher endet der Bericht mit Handlungsempfehlungen für die verantwortlichen öffentlichen und nicht-öffentlichen Stellen in Hessen. Auf ihrer Grundlage können verantwortliche Stellen einzelne Bestandteile von M365 einer vertiefenden, datenschutzrechtlichen Betrachtung für den konkreten Einsatz unterziehen und im Erfolgsfall datenschutzkonform einsetzen.“
Unter Fachleuten hat die Stellungnahme des hessischen Datenschutzbeauftragten entweder zu Verwunderung oder zu Entsetzen geführt. Ein Beispiel: Mike Kuketz, freiberuflich tätig als Pentester und Sicherheitsforscher und Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Baden-Württemberg in Karlsruhe hat die Position von Prof. Dr. Alexander Roßnagel massiv kritisiert.
Kuketz erklärt eingangs seiner Stellungnahme: „Der entscheidende Satz fällt fast beiläufig. Roßnagel erklärt, dass seine Behörde die einzelnen Dienste von Microsoft nicht technisch untersucht habe. Wörtlich sagt er: ‚Dazu sind wir personell überhaupt nicht in der Lage, aber wir haben die Grundsatzfragen des Datenschutzes zufriedenstellend gelöst.‘ Damit ist klar, was diese Aussage bedeutet: Die Aufsicht war technisch nicht in der Lage, Microsoft 365 zu prüfen – und bewertet den Dienst dennoch als grundsätzlich datenschutzkonform nutzbar. Das ist im Kern das Eingeständnis, dass die Behörde bei einem zentralen Cloud-Produkt eines der größten Softwarekonzerne der Welt auf Blindflug unterwegs ist – und trotzdem ‚grünes Licht‘ erteilt.“
Und weiter: „Besonders problematisch ist, dass der Personalmangel der Behörde hier praktisch zum Freifahrtschein für einen globalen Anbieter wird. Anstatt zu sagen: Wir können das ohne technische Untersuchung nicht abschließend bewerten, daher bleiben wir bei einer kritischen Einschätzung, wird der Anspruch an echte Kontrolle aufgegeben. Das Signal ist fatal: Wer groß genug ist, wer komplexe, intransparente Dienste anbietet, entzieht sich faktisch der effektiven Kontrolle. Die Aufsicht bleibt auf Verhandlung und Papierlösungen angewiesen – und verlässt damit ihren ureigenen Anspruch, unabhängig zu prüfen… Hinzu kommt die grundsätzliche Frage der digitalen Souveränität. Microsoft betont, Daten würden nun weitgehend in Europa verarbeitet, Übermittlungen in die USA seien rechtlich sauber abgesichert, eigene Auswertungen beträfen nur aggregierte und anonymisierte Protokolldaten. Auch das sind in erster Linie Behauptungen, deren Überprüfung ohne technische und organisatorische Tiefenprüfung kaum möglich ist…“
Das Fazit von Kuketz: „Vor diesem Hintergrund wirkt die hessische Linie besonders problematisch. Statt die eigene fehlende technische Prüfungsmöglichkeit als Warnsignal zu begreifen, wird Microsoft 365 als grundsätzlich datenschutzkonform darstellbar präsentiert – auf Basis von Gesprächen, Herstellerpapieren und juristischen Bewertungen. Für Behörden und Unternehmen mag das wie eine ersehnte Rechtssicherheit aussehen. Für die betroffenen Menschen bedeutet es jedoch, dass ihre Daten am Ende nicht durch unabhängige Kontrolle geschützt werden, sondern durch das, was ein US-Konzern in seinen Unterlagen verspricht.“