Microsoft 365 ist in Schweizer und DACH-KMU allgegenwärtig — und gleichzeitig eine der häufigsten Quellen für Datenschutz-Unsicherheit. Die Plattform verarbeitet E-Mails, Dokumente, Kalender und Chat-Verläufe, also einen Grossteil der personenbezogenen Daten eines Unternehmens, auf der Infrastruktur eines US-Konzerns. Das wirft drei Fragen auf, die jede Organisation beantworten muss: Gibt es einen gültigen Auftragsverarbeitungsvertrag, wo liegen die Daten, und wie ist das Risiko eines US-Behördenzugriffs einzuordnen?
Der Auftragsverarbeitungsvertrag
Microsoft stellt mit dem Data Protection Addendum (DPA) einen Auftragsverarbeitungsvertrag bereit, der die Anforderungen von Art. 28 DSGVO und Art. 9 revDSG abdeckt. Dieser ist für Geschäftskunden Bestandteil der Microsoft Product Terms und gilt automatisch — Sie müssen ihn nicht separat unterschreiben, sollten ihn aber kennen und ablegen. Wichtig: Für die eigentliche Verantwortlichkeit bleiben Sie der Verantwortliche. Microsoft ist Auftragsverarbeiter für die Kundendaten und gleichzeitig eigenständig Verantwortlicher für bestimmte Telemetrie- und Diagnosedaten — diese Doppelrolle ist der Punkt, an dem viele Datenschutzbeauftragte genauer hinschauen müssen.
Datenstandort: EU Data Boundary
Microsoft hat mit der EU Data Boundary eine Funktion geschaffen, mit der die Speicherung und Verarbeitung von Kundendaten für die Kerndienste innerhalb der EU bzw. des EWR erfolgt. Für Schweizer Kunden ist das relevant, weil die Schweiz datenschutzrechtlich als sicheres Drittland im Verhältnis zur EU gilt und ein Datenstandort in der EU damit kalkulierbar ist. Prüfen Sie im Microsoft-Admin-Center, in welcher Region Ihr Tenant provisioniert ist, und dokumentieren Sie das. Beachten Sie aber: Auch mit EU Data Boundary verbleiben Rest-Übermittlungen, etwa bei Support-Fällen oder bestimmten Diensten, die noch nicht vollständig regionalisiert sind.
Schrems II und der US-Zugriff
Der Kern des Restrisikos liegt im potenziellen Zugriff von US-Behörden auf Grundlage von US-Recht, unabhängig vom physischen Speicherort. Seit 2023 existiert mit dem EU-US Data Privacy Framework wieder ein Angemessenheitsmechanismus, und Microsoft ist zertifizierter Teilnehmer. Für die Schweiz hat der Bundesrat das Swiss-US Data Privacy Framework anerkannt. Das senkt das Übermittlungsrisiko erheblich gegenüber der Lage unmittelbar nach dem Schrems-II-Urteil. Dennoch empfehlen wir, das Restrisiko in einer kurzen Transfer-Folgenabschätzung zu dokumentieren und durch technische Massnahmen zu flankieren — allen voran Verschlüsselung mit kundenseitig kontrollierten Schlüsseln, wo der Dienst das zulässt.
Die wichtigsten Konfigurationsschritte
Datenschutzkonformität bei M365 ist zu einem grossen Teil Konfigurationsarbeit. Die Punkte mit dem grössten Hebel: Erstens, Telemetrie und Diagnosedaten auf das erforderliche Mass reduzieren und die Connected Experiences bewerten. Zweitens, ein Berechtigungskonzept umsetzen — nicht jeder braucht Zugriff auf alles; nutzen Sie rollenbasierte Zugriffe und das Least-Privilege-Prinzip. Drittens, Aufbewahrungs- und Löschrichtlinien definieren, damit personenbezogene Daten nicht unbegrenzt in Postfächern und Teams-Verläufen liegen. Viertens, Multi-Faktor-Authentifizierung verpflichtend aktivieren — die mit Abstand wirksamste Einzelmassnahme gegen Datenpannen. Fünftens, ein Verzeichnis von Verarbeitungstätigkeiten führen, in dem M365 als Verarbeitungssystem mit seinen Datenkategorien erscheint.
Pragmatische Einordnung
Microsoft 365 lässt sich in der Schweiz und im DACH-Raum datenschutzkonform betreiben — aber nicht im Auslieferungszustand und nicht ohne Dokumentation. Der Aufwand liegt weniger im Vertrag, der weitgehend vorgegeben ist, als in der bewussten Konfiguration und der ehrlichen Risikoabwägung. Behandeln Sie M365 wie jedes andere zentrale Verarbeitungssystem: ein dokumentierter AVV, ein bekannter Datenstandort, ein bewertetes Übermittlungsrisiko und ein gepflegtes Berechtigungskonzept. Wer diese vier Bausteine sauber aufsetzt, hat das Thema beherrscht — und kann es in einem Audit in fünf Minuten erklären.
Copilot und KI-Funktionen bewerten
Mit der Integration generativer KI in Microsoft 365 — etwa über Copilot — kommt eine neue Datenschutzdimension hinzu. Diese Funktionen greifen auf Unternehmensinhalte zu, um Antworten und Entwürfe zu erzeugen. Bewerten Sie vor der Aktivierung: Auf welche Datenbestände greift die Funktion zu, werden Eingaben und Inhalte für das Training von Basismodellen verwendet (Microsoft sagt für die kommerziellen Dienste zu, dass dem nicht so ist), und wie wirkt sich das auf Ihr Verzeichnis von Verarbeitungstätigkeiten aus? Behandeln Sie die Einführung von KI-Funktionen wie eine eigene Verarbeitungstätigkeit mit eigener Rechtsgrundlage und prüfen Sie, ob eine Datenschutz-Folgenabschätzung erforderlich ist.
Beachten Sie ausserdem die Berechtigungslogik: Eine KI-Funktion, die auf alle Inhalte zugreift, auf die ein Nutzer Zugriff hat, macht ein laxes Berechtigungskonzept plötzlich sichtbar und gefährlich. Wenn ein Mitarbeiter formal Zugriff auf sensible Ordner hat, die er nie geöffnet hätte, kann die KI diese Inhalte nun aktiv in Antworten einfliessen lassen. Die Einführung von KI ist deshalb der richtige Anlass, das Berechtigungskonzept gründlich aufzuräumen — ein Schritt, der ohnehin überfällig ist und dessen Wert weit über die KI-Frage hinausgeht.
Unterm Strich gilt für M365 dasselbe Prinzip wie für jeden Cloud-Dienst: Der Anbieter liefert die Bausteine für Konformität, die Verantwortung für ihre richtige Konfiguration und Dokumentation bleibt bei Ihnen. Wer AVV, Datenstandort, Übermittlungsrisiko, Berechtigungen und Aufbewahrung bewusst regelt und die KI-Funktionen als eigene Verarbeitung behandelt, betreibt die Plattform rechtskonform — ohne auf sie verzichten zu müssen.
Verankern Sie das Thema schliesslich in einem festen Überprüfungsrhythmus. Microsoft ändert Dienste, Datenstandorte und Vertragsbedingungen regelmässig; eine einmalige Bewertung veraltet schnell. Prüfen Sie mindestens jährlich, ob sich der Datenstandort Ihres Tenants, die genutzten Dienste und die rechtlichen Rahmenbedingungen verändert haben, und aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten entsprechend. Der EDÖB veröffentlicht zudem Leitlinien zur Cloud-Nutzung, die Sie im Blick behalten sollten. So bleibt Ihre Bewertung aktuell und Sie können in einem Audit nicht nur den Zustand, sondern auch den Prozess seiner regelmässigen Überprüfung belegen.