Kostenlos beraten
Microsoft 365 DSGVO Deutschland — AVV, EU Data Boundary und DSK-Leitfaden
tools

Microsoft 365 DSGVO-konform nutzen: Was deutsche Unternehmen wissen müssen

Kurzantwort

Microsoft 365 kann DSGVO-konform betrieben werden: EU Data Boundary aktivieren, AVV mit Microsoft abschließen, ggf. DSFA durchführen. Das LfD Niedersachsen bestätigte 2025 diesen Weg für private Unternehmen; für den öffentlichen Sektor gelten strengere Anforderungen.

  • Den Microsoft Auftragsverarbeitungsvertrag (AVV) abschließen und prüfen, ob er alle genutzten M365-Dienste und Datenkategorien abdeckt.
  • EU Data Boundary aktivieren — hält Exchange, SharePoint und Teams in der EU; prüfen, welche Telemetriedaten weiterhin übermittelt werden.
  • Vor dem Rollout von Teams-Monitoring, Viva Insights oder Produktivitätsanalysen eine Betriebsvereinbarung mit dem Betriebsrat aushandeln.

Microsoft 365 kann von deutschen Unternehmen DSGVO-konform betrieben werden — allerdings stellt sich diese Konformität nicht automatisch ein. Erforderlich sind: die aktivierte EU Data Boundary für den Mandanten, ein abgeschlossener und geprüfter Auftragsverarbeitungsvertrag (AVV), eine Datenschutz-Folgenabschätzung (DSFA) wo geboten sowie eine Betriebsvereinbarung vor dem Einsatz von Mitarbeiter-Monitoring-Funktionen. Das Urteil der Landesbeauftragten für den Datenschutz Niedersachsen (LfD Niedersachsen) aus dem Jahr 2025 hat einen klaren rechtlichen Weg für Privatunternehmen bestätigt. Eine Übersicht über weitere geprüfte Unternehmenstools finden Sie in unserer KI-Tool-Übersicht von Compound Law.

Dürfen deutsche Unternehmen Microsoft 365 DSGVO-konform nutzen?

Ja — mit der richtigen Konfiguration. Microsoft 365 ist für deutsche Privatunternehmen DSGVO-konform einsetzbar, wenn vier Voraussetzungen erfüllt sind:

  1. Der Microsoft Auftragsverarbeitungsvertrag (AVV) ist abgeschlossen. Er begründet die Auftragsverarbeitungsbeziehung nach Art. 28 DSGVO und regelt Pflichten zu Sicherheit, Subunternehmern, Datenpannenmeldung und Löschung.
  2. Die EU Data Boundary ist aktiviert. Zentrale Kundendaten — E-Mail-Inhalte in Exchange Online, Dateien in SharePoint, Teams-Chats — müssen im EU/EWR-Raum gespeichert und verarbeitet werden.
  3. Eine geeignete Rechtsgrundlage nach Art. 6 DSGVO liegt vor — für den betrieblichen Einsatz regelmäßig Art. 6 Abs. 1 lit. b (Vertragserfüllung) oder lit. f (berechtigte Interessen).
  4. Eine DSFA wurde durchgeführt, wo umfangreiche Verarbeitung personenbezogener Daten — insbesondere Beschäftigtendaten über Teams-Monitoring oder Viva Insights — stattfindet.

Für öffentliche Stellen ist die Rechtslage komplexer. Schulen, Behörden und sonstige Einrichtungen des öffentlichen Sektors unterliegen in mehreren Bundesländern zusätzlichen Einschränkungen und sollten vorab die zuständige Landesdatenschutzbehörde konsultieren.

Die DSK-Debatte: Geschichte und aktueller Stand

Die Compliance-Diskussion rund um Microsoft 365 in Deutschland begann 2021, als die Kultusministerkonferenz (KMK) und Landesdatenschutzbehörden die Nutzung von M365 an Schulen nach dem Schrems-II-Urteil des EuGH intensiv unter die Lupe nahmen.

Die Datenschutzkonferenz (DSK) — das Gremium der deutschen Bundes- und Landesdatenschutzbehörden — veröffentlichte 2021 und 2022 Orientierungshilfen, die grundlegende Bedenken an der Übermittlung von Diagnose- und Telemetriedaten in die USA äußerten. Im Kern stand die Frage, ob Microsofts Standardvertragsklauseln (SCC) nach Schrems II ausreichten, um den in die USA fließenden Datenstrom zu legitimieren. Diese Haltung erzeugte erhebliche Rechtsunsicherheit für Unternehmen in Deutschland.

Die Wende 2025: Anfang 2025 veröffentlichte die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) eine positive Bewertung von Microsoft 365 für den privatwirtschaftlichen Einsatz. Die Einschätzung kam zu dem Ergebnis, dass M365 bei korrekt konfigurierter EU Data Boundary und aktuell abgeschlossenem AVV die DSGVO-Anforderungen für gewerbliche Unternehmen erfüllt. Dies war das erste klare Signal einer deutschen Datenschutzbehörde für den privatwirtschaftlichen Einsatz.

Privatwirtschaft vs. öffentlicher Sektor: Die LfD-Niedersachsen-Bewertung gilt für private Unternehmen. Öffentliche Stellen — insbesondere Schulen und Behörden — unterliegen in mehreren Bundesländern weiterhin strengeren Anforderungen. Die Kultusministerien von Baden-Württemberg und Bayern haben Leitlinien veröffentlicht, die den M365-Einsatz an Schulen einschränken oder an Bedingungen knüpfen. Einen Überblick über die regulatorischen Rahmenbedingungen für Einrichtungen des öffentlichen Sektors bietet unser Leitfaden zum öffentlichen Sektor und KI-Act.

Zur Schuldebatte: Das Bundesministerium für Bildung und Forschung sowie mehrere Kultusministerien haben seit 2021 begleitende Diskussionen geführt. Die Kernfrage für Schulen bleibt, ob Schülerdaten als besonders sensible Daten einer Minderjährigen einer strikteren Bewertung bedürfen — unabhängig von der privatwirtschaftlichen Einschätzung der LfD Niedersachsen.

EU Data Boundary: Was Sie wirklich bedeutet

Die EU Data Boundary ist Microsofts Verpflichtung, zentrale Kundendaten innerhalb der EU und des Europäischen Wirtschaftsraums (EWR) zu speichern und zu verarbeiten. Sie startete am 1. Januar 2023 und wurde bis Ende 2024 auf alle Microsoft-365-Dienste ausgerollt.

Was innerhalb der EU bleibt:

DatenkategorieEU Data BoundaryHinweis
Exchange Online (E-Mail-Inhalte)Ja — Speicherung und Verarbeitung in der EUE-Mail-Text, Anhänge
SharePoint Online (Dateien)Ja — Speicherung und Verarbeitung in der EUAuch OneDrive for Business
Microsoft Teams (Chats, Dateien)Ja — Speicherung und Verarbeitung in der EUChat-Inhalte, Besprechungsaufzeichnungen
KontodatenJaMandanten- und Nutzerkonten
Systemgenerierte ProtokolleJaAudit-Logs, Anmeldeprotokolle

Was weiterhin übermittelt werden kann:

  • Diagnosedaten und Telemetrie — Microsoft erhebt begrenzte Servicediagnosedaten, die außerhalb der EU-Grenze verarbeitet werden können. Microsoft gibt an, diese Daten seien pseudonymisiert und in ihrem Umfang begrenzt. Rechts- und Datenschutzteams sollten Microsofts aktuelle Telemetriedokumentation prüfen und dies in der DSFA berücksichtigen.
  • Support-Interaktionen — Beim Kontakt mit dem Microsoft-Support können außerhalb der EU tätige Support-Mitarbeitende auf Daten zugreifen, sofern entsprechende rollenbasierte Zugriffskontrollen gelten.
  • Drittanbieter-Konnektoren und Integrationen — Daten, die über an M365 angebundene Drittanbieter-Apps fließen, richten sich nach den Bedingungen dieser Anbieter, nicht nach der Microsoft EU Data Boundary.

So prüfen Sie, ob die EU Data Boundary aktiviert ist: Rufen Sie im Microsoft 365 Admin Center Einstellungen → Organisationseinstellungen → Sicherheit & Datenschutz → Datenspeicherort auf. Dort sollten Ihre Mandantenregion und der Status der EU Data Boundary angezeigt werden. Wenn Ihr Mandant vor Januar 2023 bereitgestellt wurde, prüfen Sie, ob die Migration auf die EU Data Boundary abgeschlossen ist.

Die AVV-Aktualisierung 2025: Wesentliche Verbesserungen

Microsoft hat seine Microsoft-Produktbedingungen und das Datenschutzaddendum 2025 aktualisiert. Wesentliche Änderungen mit Relevanz für deutsche Unternehmen:

  • EU-US Data Privacy Framework (DPF) integriert. Nach dem Angemessenheitsbeschluss der EU-Kommission vom Juli 2023 enthält der aktualisierte AVV das DPF als Übermittlungsmechanismus für verbleibende Datenflüsse in die USA — ergänzend zu den Standardvertragsklauseln (SCC).
  • EU Data Act berücksichtigt. Der aktualisierte AVV enthält Regelungen zu Cloud-Wechselrechten und Datenportabilitätspflichten nach dem EU Data Act, der im September 2025 in Kraft getreten ist.
  • EWR-Länder einbezogen. Norwegen, Island und Liechtenstein sind nun ausdrücklich in den Geltungsbereich der EU Data Boundary und des AVV aufgenommen — relevant für DACH-Unternehmen mit Standorten in diesen Ländern.
  • Verbessertes Subunternehmer-Management. Microsoft informiert nun 30 Tage im Voraus über Änderungen bei Subunternehmern (bisher nur für Streichungen), mit dokumentiertem Widerspruchsrecht.

Deutsche Rechtsabteilungen sollten prüfen, ob die aktualisierten AVV-Bedingungen unter ihrem Microsoft Enterprise Agreement oder Microsoft Customer Agreement akzeptiert sind, da die automatische Akzeptanz je nach Vertragstyp variieren kann.

Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist vorgeschrieben, wenn die Verarbeitung voraussichtlich ein hohes Risiko für natürliche Personen mit sich bringt. Für Microsoft 365 lösen folgende Szenarien typischerweise eine DSFA aus:

  • Systematische Überwachung von Beschäftigten über Teams-Anrufanalysen, Viva-Insights-Produktivitätskennzahlen oder Anwesenheitsverfolgung
  • Umfangreiche Verarbeitung sensibler Daten — Gesundheitsdaten, Mandatsinhalte oder Finanzdaten in erheblichem Umfang
  • Unternehmen ab 250 Mitarbeitenden, die M365 als primäre E-Mail- und Kollaborationsinfrastruktur nutzen

Die DSK empfiehlt eine DSFA für M365 als Vorsichtsmaßnahme, auch wenn die gesetzliche Schwelle des Art. 35 nicht zwingend überschritten ist — angesichts des Umfangs der personenbezogenen Daten und der Komplexität der Datenflüsse.

Was deutsche Datenschutzbehörden von einer DSFA zu M365 erwarten:

  1. Zweck und Umfang — Alle genutzten M365-Dienste und ihre Verarbeitungszwecke erfassen
  2. Datenflussbeschreibung — Nachvollziehen, wohin personenbezogene Daten gelangen, einschließlich Telemetrie und Support
  3. Erforderlichkeit und Verhältnismäßigkeit — Prüfen, ob die genutzten M365-Funktionen auf das Notwendige beschränkt sind
  4. Risikobewertung — Risiken für Beschäftigte und Nutzer, insbesondere durch Monitoring-Funktionen, bewerten
  5. Abhilfemaßnahmen dokumentieren — Konfiguration der EU Data Boundary, AVV-Regelungen und genutzte Admin-Kontrollen festhalten
  6. Restrisiko abzeichnen — Vor dem Produktiveinsatz Abzeichnung durch den Datenschutzbeauftragten

Betriebsrat und Mitbestimmung

Der Einsatz von Microsoft-365-Funktionen, die Beschäftigte betreffen, setzt in deutschen Unternehmen die Beteiligung des Betriebsrats nach dem Betriebsverfassungsgesetz (BetrVG) voraus. Dies ist keine freiwillige Maßnahme — wer mitbestimmungspflichtige Funktionen ohne Betriebsrat einführt, riskiert eine einstweilige Verfügung auf Unterlassung.

M365-Funktionen, die § 87 Abs. 1 Nr. 6 BetrVG auslösen können:

  • Microsoft Teams — Anrufprotokolle, Besprechungsanwesenheit, Anwesenheits- und Verfügbarkeitstracking
  • Viva Insights — individuelle und teambezogene Produktivitätsdaten, Besprechungseffektivität, Focus-Time-Kennzahlen
  • Exchange Online Mail Tracking — Lesebestätigungsrichtlinien, Zustellanalysen auf Einzelpersonenebene
  • Microsoft Purview — Überwachung von Mitarbeiterkommunikation, Postfach-Durchsuchungen für Compliance-Zwecke

Was in eine Betriebsvereinbarung zu M365 gehört:

  • Zulässige und unzulässige M365-Funktionen im Hinblick auf Mitarbeiterüberwachung
  • Erhobene Datenkategorien und Verarbeitungszwecke
  • Einzel- vs. aggregierte Auswertungen (Viva-Insights-Individualdaten sind besonders sensibel)
  • Aufbewahrungsfristen für Teams-Anrufprotokolle und Audit-Logs
  • Auskunfts- und Berichtigungsrechte der Beschäftigten
  • Zugriffskontrolle: wer darf Daten auf Einzelpersonenebene einsehen

Den übergreifenden rechtlichen Rahmen für digitales Monitoring am Arbeitsplatz in Deutschland erläutert unser Leitfaden zum KI-Monitoring von Mitarbeitenden. Für Teams-spezifische KI-Funktionen wie Besprechungstranskription und Anrufanalyse durch Copilot lesen Sie den Microsoft Teams Copilot Compliance-Leitfaden.

§ 26 BDSG bei Beschäftigtendaten: Wenn Microsoft 365 personenbezogene Daten von Beschäftigten verarbeitet — Produktivitätsdaten, E-Mail-Metadaten, HR-Workflows — gilt das Bundesdatenschutzgesetz (BDSG) § 26 neben der DSGVO. Es verlangt eine spezifische Rechtsgrundlage und beschränkt die zulässigen Zwecke auf die Verwaltung des Beschäftigungsverhältnisses. Arbeitsrechtlich besteht eine erhöhte Schutzpflicht gegenüber den Arbeitnehmerinnen und Arbeitnehmern.

Unsere Einschätzung

Für privatwirtschaftliche Unternehmen in Deutschland ist der DSGVO-konforme Einsatz von Microsoft 365 mit der richtigen Konfiguration umsetzbar. Das Urteil der LfD Niedersachsen 2025 hat die erhebliche Rechtsunsicherheit beseitigt, die seit 2021 bestand. Die Checkliste ist nicht kurz — AVV-Prüfung, Aktivierung der EU Data Boundary, DSFA, Betriebsvereinbarung — aber jeder Schritt ist erreichbar.

Für öffentliche Einrichtungen und Schulen ist die Lage weiterhin komplex. Mehrere Landesdatenschutzbehörden erheben weiterhin Bedenken oder knüpfen den Einsatz an Bedingungen. Prüfen Sie vorab die Empfehlungen Ihrer Landesdatenschutzbehörde.

Schritte für den DSGVO-konformen Einsatz von Microsoft 365:

  1. Microsoft Auftragsverarbeitungsvertrag (AVV) abschließen und Umfang prüfen
  2. EU Data Boundary für Ihren Mandanten aktivieren und Migration bestätigen
  3. Genutzte M365-Dienste inventarisieren, nicht benötigte Funktionen deaktivieren
  4. DSFA für alle aktiven M365-Dienste durchführen
  5. Diagnosedaten-Erhebung in den Admin-Einstellungen prüfen und einschränken
  6. Betriebsrat einbinden und Betriebsvereinbarung für Mitarbeiter-Funktionen aushandeln
  7. Rechtsgrundlage für jeden Verarbeitungszweck im Verarbeitungsverzeichnis dokumentieren
  8. Subunternehmerliste prüfen und Übermittlungsmechanismen auf Aktualität kontrollieren
  9. Prozess für die jährliche Überprüfung von AVV-Aktualisierungen etablieren

Hinweis zu Microsoft 365 Copilot: Dieser Leitfaden behandelt Microsoft-365-Kerndienste — Exchange Online, SharePoint und Teams. Die KI-gestützte Copilot-Schicht bringt zusätzliche Anforderungen mit sich, die separat erläutert werden. Den spezifischen Leitfaden finden Sie im Microsoft 365 Copilot Compliance-Leitfaden.

Wie Compound Law unterstützt

  • AVV-Prüfung und Gap-Analyse — Verifizierung, dass der Microsoft-AVV Ihre spezifischen Dienste, Ihren Vertragstyp und Ihre Datenkategorien abdeckt
  • EU-Data-Boundary-Konfigurationsreview — Bestätigung, dass die Datenresidenz-Einstellungen korrekt umgesetzt und dokumentiert sind
  • DSFA-Scope und -Durchführung — Umfangsbestimmung, Durchführung und Erstellung der Dokumentation, die deutsche Datenschutzbehörden erwarten
  • Betriebsratsstrategie — Entwurf von Betriebsvereinbarungen zu M365 und Begleitung von Mitbestimmungsverfahren
  • Öffentlicher Sektor — Bewertung der Regulierungslage Ihres Bundeslandes und Beratung zum geeigneten Einsatzansatz

Häufig gestellte Fragen

Ist Microsoft 365 DSGVO-konform?

Microsoft 365 kann von deutschen Unternehmen DSGVO-konform genutzt werden, wenn die EU Data Boundary aktiviert ist, der Auftragsverarbeitungsvertrag mit Microsoft abgeschlossen wurde, eine geeignete Rechtsgrundlage nach Art. 6 DSGVO vorliegt und — wo erforderlich — eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt wurde. Die LfD Niedersachsen hat 2025 diesen Weg für private Unternehmen bestätigt. Die Konformität stellt sich nicht automatisch ein.

Gibt es einen Auftragsverarbeitungsvertrag (AVV) für Microsoft 365?

Ja. Microsoft stellt einen Auftragsverarbeitungsvertrag über die Microsoft-Produktbedingungen und das Datenschutzaddendum bereit. Er erfasst die Pflichten eines Auftragsverarbeiters nach Art. 28 DSGVO, einschließlich Subunternehmer, technisch-organisatorischer Maßnahmen, Meldepflichten bei Datenpannen, Prüfrechten und Datenlöschung. Unternehmen sollten prüfen, dass der AVV die konkret eingesetzten M365-Dienste und ihren Vertragstyp umfasst.

Dürfen deutsche Schulen Microsoft 365 nutzen?

Dies ist weiterhin umstritten. Für private Unternehmen hat die LfD Niedersachsen 2025 den Einsatz mit geeigneter Konfiguration bestätigt. Schulen und Behörden unterliegen strengeren Anforderungen — mehrere Kultusministerien, darunter Baden-Württemberg, haben den M365-Einsatz an Schulen eingeschränkt oder an Bedingungen geknüpft. Öffentliche Einrichtungen sollten die zuständige Landesdatenschutzbehörde konsultieren, bevor sie M365 einsetzen.

Was ist die EU Data Boundary?

Die EU Data Boundary ist Microsofts Verpflichtung, zentrale Kundendaten — darunter Exchange-E-Mail-Inhalte, SharePoint-Dateien und Teams-Chats — innerhalb der EU und des EWR zu speichern und zu verarbeiten. Sie startete am 1. Januar 2023 und wurde bis Ende 2024 auf alle Microsoft-365-Dienste ausgerollt. Mandanten müssen prüfen, ob sie aktiviert ist. Begrenzte Diagnosetransfers können weiterhin stattfinden.

Brauche ich für Microsoft 365 eine Datenschutz-Folgenabschätzung (DSFA)?

Die deutschen Datenschutzbehörden empfehlen, für Microsoft-365-Einsätze mit umfangreicher Verarbeitung von Beschäftigtendaten — insbesondere bei Teams-Monitoring, Viva Insights oder großangelegter E-Mail-Verarbeitung — eine DSFA nach Art. 35 DSGVO durchzuführen. Auch unterhalb der gesetzlichen Schwelle empfiehlt die DSK eine DSFA als Vorsichtsmaßnahme.

Weitere Tool-Guides

Claude Enterprise für Kanzleien und juristische Rechtsabteilungen
tools

Claude Enterprise für Kanzleien und Rechtsabteilungen

Claude Enterprise für Kanzleien: Vertragsanalyse, Due Diligence und Compliance-Dokumentation DSGVO-konform einsetzen — Leitfaden für Juristen.
Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.
Anthropic Auftragsverarbeitungsvertrag AVV Art. 28 DSGVO Prüfleitfaden
tools

Anthropic Auftragsverarbeitungsvertrag — DSGVO-Leitfaden

Was der Anthropic AVV nach Art. 28 DSGVO enthält, welche SCCs einbezogen sind und was vor dem Claude-Einsatz in Deutschland zu prüfen ist.
Claude Enterprise DSGVO-Compliance für Unternehmen in Deutschland
tools

Claude Enterprise für Deutschland — DSGVO-konform & sicher

Claude Enterprise bietet deutschen Unternehmen eine DSGVO-konforme KI-Plattform mit AVV, ohne Modelltraining und mit EU-Datenschutzstandards.
Anthropic DPA Auftragsverarbeitung nach Art. 28 DSGVO für Claude Enterprise
tools

Anthropic DPA & DSGVO-Compliance für Deutschland

Ja – Anthropic stellt für Claude Enterprise und die Claude API eine DPA bereit. Was die DPA abdeckt und wann sie für Deutschland ausreicht.
Claude Code DSGVO-Konformität — AVV, Datenspeicherung und EU-Hosting
tools

Ist Claude Code DSGVO-konform? AVV, Datenspeicherung und Hosting

Claude Code ist per Anthropic-API-AVV DSGVO-konform. AVV, Datenspeicherung, Zero Data Retention, EU-Hosting und Compliance-Checkliste für Unternehmen.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist Microsoft 365 DSGVO-konform?

Microsoft 365 kann von deutschen Unternehmen DSGVO-konform genutzt werden, wenn die EU Data Boundary aktiviert ist, der Auftragsverarbeitungsvertrag mit Microsoft abgeschlossen wurde, eine geeignete Rechtsgrundlage nach Art. 6 DSGVO vorliegt und — wo erforderlich — eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt wurde. Die LfD Niedersachsen hat 2025 diesen Weg für private Unternehmen bestätigt. Die Konformität stellt sich nicht automatisch ein, sondern hängt von der konkreten Konfiguration und dem vertraglichen Setup ab.

Gibt es einen Auftragsverarbeitungsvertrag (AVV) für Microsoft 365?

Ja. Microsoft stellt einen Auftragsverarbeitungsvertrag über die Microsoft-Produktbedingungen und das Datenschutzaddendum (Data Protection Addendum) bereit. Er erfasst die Pflichten eines Auftragsverarbeiters nach Art. 28 DSGVO, einschließlich Subunternehmer, technisch-organisatorischer Maßnahmen, Meldepflichten bei Datenpannen, Prüfrechten und Datenlöschung. Unternehmen sollten prüfen, dass der AVV die konkret eingesetzten M365-Dienste und ihren Vertragstyp umfasst.

Dürfen deutsche Schulen Microsoft 365 nutzen?

Dies ist weiterhin umstritten. Für private Unternehmen hat die LfD Niedersachsen 2025 den Einsatz mit geeigneter Konfiguration bestätigt. Schulen und Behörden unterliegen strengeren Anforderungen — mehrere Kultusministerien und Landesdatenschutzbehörden, darunter Baden-Württemberg, haben den M365-Einsatz an Schulen beschränkt oder an Bedingungen geknüpft. Öffentliche Stellen sollten vor dem Einsatz die zuständige Landesdatenschutzbehörde konsultieren.

Was ist die EU Data Boundary?

Die EU Data Boundary ist Microsofts Verpflichtung, zentrale Kundendaten — darunter Exchange-E-Mail-Inhalte, SharePoint-Dateien und Teams-Chats — innerhalb der EU und des EWR zu speichern und zu verarbeiten. Sie startete am 1. Januar 2023 und wurde bis Ende 2024 auf alle Microsoft 365-Dienste ausgerollt. Mandanten müssen prüfen, ob die EU Data Boundary für ihren Tenant aktiviert ist. Begrenzte Diagnosedaten (Telemetriedaten) können weiterhin außerhalb der EU verarbeitet werden.

Brauche ich für Microsoft 365 eine Datenschutz-Folgenabschätzung (DSFA)?

Die deutschen Datenschutzbehörden empfehlen, für Microsoft-365-Deployments mit umfangreicher Verarbeitung von Beschäftigtendaten — insbesondere bei Teams-Monitoring, Viva Insights oder großangelegter E-Mail-Verarbeitung — eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Auch unterhalb der gesetzlichen Schwelle empfiehlt die DSK eine DSFA als Vorsichtsmaßnahme für M365.

Kostenlos beraten