Microsoft 365 und die EU-Kommission: Formal compliant – aber nicht automatisch DSGVO-konform

Die Entscheidung der Europäischen Kommission, ihr Verfahren gegen Microsoft 365 einzustellen, sorgt derzeit für Diskussionen. Offiziell gilt: Microsoft erfüllt die datenschutzrechtlichen Anforderungen. Doch dieser Befund greift nur für Microsoft selbst – nicht automatisch für Unternehmen und Kanzleien, die Microsoft 365 einsetzen. 

Was die EU-Kommission beschlossen hat 

Nach jahrelangen Untersuchungen erklärte der EU-Datenschutzbeauftragte Wojciech Wiewiórowski am 11. Juli 2025, dass die Kommission nun die Anforderungen der Datenschutz-Grundverordnung (DSGVO) einhält. Grundlage waren Nachbesserungen in den Verträgen mit Microsoft sowie die Umsetzung der sogenannten EU Data Boundary. Dadurch sollen Datenübermittlungen in Drittländer stark eingeschränkt und die Kontrolle über Behördenanfragen verbessert werden. 

Für die EU-Kommission bedeutet das: Sie kann Microsoft 365 weiterhin nutzen – unter den strengen Rahmenbedingungen, die sie selbst verhandelt hat. 

Die übersehene Wahrheit: Compliance ist Sache der Anwender 

Was in der öffentlichen Diskussion oft übersehen wird: Die Entscheidung bedeutet nicht, dass Microsoft 365 automatisch DSGVO-konform für jede Organisation ist. Entscheidend ist die konkrete Umsetzung im Unternehmen. Jede Organisation bleibt daher verpflichtet, ihre eigene Microsoft-365-Umgebung so zu konfigurieren, dass sie den rechtlichen Anforderungen entspricht. 

Typische Stolperfallen bei Microsoft 365 

Gerade in der Praxis zeigen sich zahlreiche Risiken: 

• Standardkonfigurationen sind nicht sofort DSGVO-sicher – viele Einstellungen zur Datenweitergabe oder Telemetrie müssen angepasst werden. 

• Internationale Datenübermittlungen müssen individuell geprüft und abgesichert werden. 

• Dokumentations- und Nachweispflichten gegenüber Aufsichtsbehörden gelten weiterhin für jede Organisation. 

• Berufsrechtliche Anforderungen wie Verschwiegenheitspflichten und besondere Vertraulichkeit bei Mandantendaten sind über die DSGVO hinaus einzuhalten. 

Kurz gesagt: Microsoft liefert die Plattform – die Verantwortung für Compliance tragen die Nutzer. 

Compliance365: Praktische Lösung für Unternehmen und Kanzleien 

Gerade für Steuerberater und Wirtschaftsprüfer, die täglich mit sensiblen Mandantendaten arbeiten, ist ein datenschutzkonformer Einsatz von Microsoft 365 unverzichtbar. Neben der technischen Konfiguration gehört dazu auch eine lückenlose Dokumentation, die bei einer Prüfung durch Aufsichtsbehörden oder Kammern vorgelegt werden kann. 

Wer hier auf eine strukturierte Begleitung setzt, stellt sicher, dass Microsoft 365 nicht nur formal compliant ist, sondern auch die hohen Anforderungen der Praxis erfüllt – revisionssicher, nachvollziehbar und zukunftsfest. 

Genau hier setzt Data Security GmbH mit Compliance365 an. Unsere Experten unterstützen Sie dabei, Microsoft 365 so zu implementieren, dass: 

• ✅ die Konfiguration DSGVO-konform ist, 

• ✅ die aktuellen EU-Anforderungen berücksichtigt werden, 

• ✅ alle Maßnahmen dokumentiert und prüfbar sind. 

Damit wird Microsoft 365 nicht nur formal, sondern auch in der Praxis datenschutzkonform nutzbar – sicher, zukunftsfest und auditiert. 

➡️ Mehr zu Compliance365 

Fazit 

Die Entscheidung der EU-Kommission ist ein wichtiges Signal, dass Microsoft bei Datenschutzfragen nachgebessert hat. Doch sie entbindet Organisationen nicht von ihrer eigenen Verantwortung. Wer Microsoft 365 nutzt, muss die Plattform aktiv anpassen und absichern. 

Unser Tipp: Setzen Sie auf eine geprüfte, praxisnahe Lösung wie Compliance365 – damit Ihre Microsoft-365-Nutzung nicht nur formal, sondern wirklich DSGVO-konform ist.