Microsoft 365 – Datenschutzbericht mit Kommentierung

Über diese Seite

Diese Website dient der sachlichen und kommentierten Auseinandersetzung mit dem Datenschutzbericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zum Einsatz von Microsoft 365.

Ziel ist es, zentrale Aussagen des Berichts verständlich einzuordnen und für den Einsatz in Schule, Verwaltung und Bildungskontexten zugänglich zu machen.

Dieses Projekt wurde zum Jahreswechsel 2026 gestartet. Der Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit muss noch vollständig analysiert werden.

Beweggründe für die Entwicklung dieser Webseite

Als Datenschutzbeauftragter an einer hessischen Berufsschule stehe ich vor der Frage, ob Microsoft-Produkte datenschutzkonform genutzt werden können. Aus fachlicher Sicht ist eigentlich klar, dass dies nicht der Fall ist: Eine vertragliche Zusicherung durch Microsoft hat keinen Wert, wenn das US-Recht eine Weitergabe der Daten an die USA vorsieht.

Die zentrale Frage lautet: Welche technischen Maßnahmen sieht der Hessische Datenschutzbeauftragte vor, die den Verbleib der Daten in Deutschland oder der EU garantieren? Ich kann mir keine technische Maßnahme vorstellen, die dies gewährleisten kann – auch andere Informatiker kommen zu diesem Schluss. Unter der Voraussetzung, dass die Server bei Microsoft liegen und Daten direkt von Microsoft aktiv eingesehen werden können (beispielsweise durch die Rechtschreibprüfung), gibt es keine Möglichkeit, dies zu garantieren.

Andere Länder wie Dänemark – das dänische Digitalministerium kündigte 2025 an, komplett von Microsoft auf Linux und LibreOffice zu wechseln (heise.de) – und auch andere Bundesländer wie Schleswig-Holstein kommen zu dem Schluss, dass eine datenschutzkonforme Nutzung von Microsoft 365 nicht möglich ist. Schleswig-Holstein hat bereits seit 2020 einen schrittweisen Wechsel eingeleitet und Ende 2025 bereits fast 80 Prozent der Arbeitsplätze auf LibreOffice umgestellt sowie über 40.000 E-Mail-Postfächer auf Open-Xchange migriert. Zudem ersetzt Nextcloud Schritt für Schritt Microsoft SharePoint als zentrale Plattform für Zusammenarbeit. Das Land spart dadurch mehr als 15 Millionen Euro an Lizenzkosten (schleswig-holstein.de, schleswig-holstein.de, heise.de).

München hat dagegen eine historische Chance vertan: Nachdem die Stadt zwischen 2004 und 2014 erfolgreich 15.000 Rechner auf Linux umgestellt hatte, kehrte sie zu Microsoft zurück – eine Entscheidung, die auch mit dem geplanten Standort der Microsoft-Deutschland-Zentrale in München zusammenhing (sueddeutsche.de). Dabei war München schon sehr weit: Die Mitarbeiter der Stadtverwaltung selbst wandten sich in einem offenen Brief gegen die Rückkehr zu Microsoft, weil eine erneute Umstellung dieselben Schwierigkeiten verursachen würde wie die ursprüngliche Migration (sueddeutsche.de). Das LiMux-Projekt scheiterte nicht aus technischen Gründen oder wegen der Nutzer, sondern aufgrund mangelnder politischer Unterstützung und fehlender Koordination (heise.de). Hätte München damals durchgehalten und wären andere öffentliche Einrichtungen gefolgt, hätte die Entwicklung endlich Fahrt aufnehmen können. Wenn alle öffentlichen Einrichtungen LibreOffice nutzen würden, wäre LibreOffice plötzlich der Standard – sicher, datenschutzkonform und kostensparend. Diese Chance wurde vertan, aber es ist noch nicht zu spät, den Weg der digitalen Souveränität zu gehen. Die Lehren aus dem LiMux-Projekt zeigen, dass es möglich ist, wenn der politische Wille vorhanden ist und die Entwicklung koordiniert vorangetrieben wird. Der Hessische Datenschutzbeauftragte kommt in seinem Bericht jedoch zu dem Schluss, dass Microsoft 365 datenschutzkonform genutzt werden kann (datenschutz.hessen.de). Diese Diskrepanz zwischen der Einschätzung anderer Länder und Bundesländer einerseits und der Position des HBDI andererseits wirft Fragen auf. An den Erkenntnissen, die zu dieser Schlussfolgerung geführt haben, wollen wir gerne teilhaben.

Ein weiteres zentrales Problem ist die Abhängigkeit von US-Konzernen und die Frage der digitalen Souveränität: Die USA halten sich nicht an internationales Recht, wie der Fall des Internationalen Strafgerichtshofs zeigt, bei dem Richter und Mitarbeiter des Gerichts auf US-Sanktionen hin den Zugang zu ihren E-Mail-Accounts und anderen Microsoft-Diensten verloren haben (heise.de). Vor dem Hintergrund der aktuellen politischen Entwicklung in den USA und der zunehmenden Gefahr autoritärer Tendenzen wird die Abhängigkeit von US-Konzernen zu einem erheblichen Risiko. Wer garantiert, dass unsere kritische Infrastruktur nicht lahmgelegt wird, wenn politische Interessen der USA dies erfordern? Diese Abhängigkeit stellt ein erhebliches Risiko für die digitale Souveränität und die demokratischen Grundwerte dar.

Diese Website wurde entwickelt, um eine differenzierte Auseinandersetzung mit dem Bericht zu ermöglichen, die technischen und rechtlichen Argumente zu diskutieren und zu klären, wie der HBDI zu seinen Schlussfolgerungen gelangt. Im Geiste der Informationsfreiheit und des offenen Diskurses sollen die Kommentare dazu beitragen, eine fundierte Diskussion über die datenschutzrechtliche Bewertung von Microsoft 365 zu führen.

Trennung von Original und Kommentar

Der Bericht selbst wird unverändert wiedergegeben. Ergänzende Kommentare und Einordnungen sind klar davon getrennt und als solche gekennzeichnet.

Technische Umsetzung und Nachvollziehbarkeit

Diese Website ist nicht nur eine einfache Spiegelung des Originaldokuments, sondern das Ergebnis einer Bearbeitung, die eine präzise Kommentierung ermöglicht. Um die Nachvollziehbarkeit zu gewährleisten, wurden die Seitenzahlen des Original-PDFs sorgfältig mit der HTML-Version abgeglichen. Jede Seite im HTML-Dokument entspricht exakt der entsprechenden Seite im PDF, sodass Sie jederzeit zwischen beiden Versionen wechseln und die genaue Position im Originaldokument finden können.

Diese präzise Seitenzahl-Synchronisation war notwendig, um eine fundierte und nachvollziehbare Kommentierung zu ermöglichen. So können Sie sich jederzeit am Originaldokument orientieren und die Kommentare mit den entsprechenden Stellen im Bericht abgleichen.

Originaldokument:
PDF-Version herunterladen (lokal)
Originaldokument beim HBDI herunterladen

Technische Umsetzung

Die Darstellung des Berichts erfolgt webbasiert. Kommentare werden kontextbezogen angezeigt und sind mit den jeweiligen Stellen im Dokument verknüpft.

Hinweis zur Einordnung

Die auf dieser Website veröffentlichten Kommentare stellen eine persönliche fachliche Einschätzung dar und erheben keinen Anspruch auf Vollständigkeit oder rechtliche Verbindlichkeit.

Fehler melden

Diese Website wurde mit großer Sorgfalt erstellt, um eine präzise Kommentierung des Originalberichts zu ermöglichen. Sollten Sie Fehler, Unstimmigkeiten oder Probleme feststellen – insbesondere bei der Seitenzahl-Synchronisation, fehlenden Inhalten oder technischen Problemen – bitten wir Sie, uns dies mitzuteilen.

Kontakt:
Fehler melden per E-Mail

Bitte geben Sie bei Ihrer Meldung möglichst genau an:

• Welche Seite oder welcher Abschnitt betroffen ist
• Welcher Fehler oder welche Unstimmigkeit vorliegt
• Ggf. einen Screenshot oder eine Beschreibung des Problems

Vielen Dank für Ihre Mithilfe bei der Verbesserung dieser Website!

Lizenzierung

Die Kommentare und Einordnungen auf dieser Website stehen unter der Creative Commons Namensnennung 4.0 International (CC BY 4.0) Lizenz. Sie können diese Inhalte frei verwenden, weiterverbreiten, bearbeiten und für beliebige Zwecke nutzen, solange der Urheber (Holger Sebastião) genannt wird. Diese freie Lizenzierung erfolgt im Geiste der Informationsfreiheit und soll eine breite Diskussion und Weiterverwendung ermöglichen.