Datenschutz-Dauerbrenner Microsoft 365
vor 1 Woche
Mit Kai Korte, Holger Bleich und Joerg Heidrich
Podcast
Podcaster
Beschreibung
vor 1 Woche
In Episode 156 des c't-Datenschutz-Podcasts widmen sich Holger und
Joerg einem Thema, das die Datenschutzwelt umtreibt wie kaum ein
anderes: Microsoft 365. Zu Gast ist Kai Korte, Geschäftsführer der
lexICT GmbH, Rechtsanwalt für IT- und Datenschutzrecht in Hannover
und Lehrbeauftragter an der Hochschule Hannover. Zunächst
beleuchten die drei eine auffällige aktuelle Entwicklung: Die Zahl
der Datenschutzbeschwerden hat sich bei einigen Aufsichtsbehörden
nahezu verdoppelt, wie aus den neuen Tätigkeitsberichten
hervorgeht. Baden-Württemberg verzeichnete 2025 einen Anstieg von
rund 4.000 im Jahr 2024 auf über 7.600, Hamburg von 2.600 auf
4.200. Mehrere Behörden führen das auch auf KI-generierte
Beschwerden zurück. Betroffene lassen sich offenbar per Chatbot
fertige Texte erstellen und schicken diese an die Aufsicht. Die
Behörden warnen, dass sie an ihre Kapazitätsgrenzen stoßen.
Ebenfalls Thema ist ein aktuelles Urteil des Europäischen
Gerichtshofs (EuGH) zum Auskunftsrecht. Im Fall "Brillen Rottler"
entschied das Gericht, dass bereits ein erster Auskunftsantrag als
rechtsmissbräuchlich eingestuft werden kann. Ein Mann hatte sich
zum Newsletter eines Optikers angemeldet und nur 13 Tage später ein
umfassendes Auskunftsersuchen gestellt. Der EuGH setzt allerdings
hohe Hürden: Der Verantwortliche muss objektiv nachweisen, dass der
Antragsteller gar nicht die Ziele des Datenschutzrechts verfolgt,
und er muss zusätzlich eine missbräuchliche Absicht belegen. Korte
warnt davor, das Urteil vorschnell zu verallgemeinern, es bleibe
ein Ausnahmefall. Dann steigen die drei ins Hauptthema ein:
Microsoft 365. Holger macht zunächst deutlich, wie komplex das
Produktuniversum ist. Hinter dem Namen verbergen sich zahlreiche
Einzelprodukte – von Office-Anwendungen bis zu Teams und
SharePoint. Die Preise reichen von knapp 11 Euro pro Nutzer und
Monat für kleinere Unternehmen bis über 55 Euro im großen
Enterprise-Paket. Viele Sicherheitsfunktionen sind nur in den
teuren Varianten enthalten, und Microsoft verschiebt regelmäßig
Features zwischen den Paketen. Datenschutzrechtlich bleibt
Microsoft 365 ein Minenfeld. Zwar nimmt der US-Konzern am
Transatlantic Data Privacy Framework teil, was den Datentransfer in
die USA formal absichert. Kau weist aber darauf hin, dass der CLOUD
Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden
weiterhin problematisch sind. Microsoft sichert vertraglich zu,
Daten europäuscher Unternehmen innerhalb der EU zu speichern -– die
sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind
weiterhin möglich, und ein Microsoft-Manager räumte öffentlich ein,
dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte.
Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie-
und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich
Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten,
Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was
damit geschieht, bleibt weitgehend intransparent. Der hessische
Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht,
der den Einsatz von Microsoft 365 in öffentlichen Stellen unter
bestimmten Bedingungen für möglich erklärt. Allerdings hat er sich
dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne
die Datenflüsse technisch zu überprüfen. Holger verweist zudem auf
Microsofts Zusatzprodukte Sentinel und Purview, mit denen
Unternehmen das Verhalten ihrer Mitarbeiter analysieren können –
bis hin zur KI-gestützten Erkennung potenzieller Whistleblower oder
Datendiebe. Kai räumt ein, dass Purview ein mächtiges
Sicherheitswerkzeug sei, warnt aber vor dem schmalen Grat zwischen
legitimer Sicherheitsüberwachung und unzulässigem Profiling von
Beschäftigten. Ob Unternehmen vor dem Einsatz von Microsoft 365
eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet
Kai differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei
kleineren Unternehmen ohne besondere Datenkategorien sei das nicht
Joerg einem Thema, das die Datenschutzwelt umtreibt wie kaum ein
anderes: Microsoft 365. Zu Gast ist Kai Korte, Geschäftsführer der
lexICT GmbH, Rechtsanwalt für IT- und Datenschutzrecht in Hannover
und Lehrbeauftragter an der Hochschule Hannover. Zunächst
beleuchten die drei eine auffällige aktuelle Entwicklung: Die Zahl
der Datenschutzbeschwerden hat sich bei einigen Aufsichtsbehörden
nahezu verdoppelt, wie aus den neuen Tätigkeitsberichten
hervorgeht. Baden-Württemberg verzeichnete 2025 einen Anstieg von
rund 4.000 im Jahr 2024 auf über 7.600, Hamburg von 2.600 auf
4.200. Mehrere Behörden führen das auch auf KI-generierte
Beschwerden zurück. Betroffene lassen sich offenbar per Chatbot
fertige Texte erstellen und schicken diese an die Aufsicht. Die
Behörden warnen, dass sie an ihre Kapazitätsgrenzen stoßen.
Ebenfalls Thema ist ein aktuelles Urteil des Europäischen
Gerichtshofs (EuGH) zum Auskunftsrecht. Im Fall "Brillen Rottler"
entschied das Gericht, dass bereits ein erster Auskunftsantrag als
rechtsmissbräuchlich eingestuft werden kann. Ein Mann hatte sich
zum Newsletter eines Optikers angemeldet und nur 13 Tage später ein
umfassendes Auskunftsersuchen gestellt. Der EuGH setzt allerdings
hohe Hürden: Der Verantwortliche muss objektiv nachweisen, dass der
Antragsteller gar nicht die Ziele des Datenschutzrechts verfolgt,
und er muss zusätzlich eine missbräuchliche Absicht belegen. Korte
warnt davor, das Urteil vorschnell zu verallgemeinern, es bleibe
ein Ausnahmefall. Dann steigen die drei ins Hauptthema ein:
Microsoft 365. Holger macht zunächst deutlich, wie komplex das
Produktuniversum ist. Hinter dem Namen verbergen sich zahlreiche
Einzelprodukte – von Office-Anwendungen bis zu Teams und
SharePoint. Die Preise reichen von knapp 11 Euro pro Nutzer und
Monat für kleinere Unternehmen bis über 55 Euro im großen
Enterprise-Paket. Viele Sicherheitsfunktionen sind nur in den
teuren Varianten enthalten, und Microsoft verschiebt regelmäßig
Features zwischen den Paketen. Datenschutzrechtlich bleibt
Microsoft 365 ein Minenfeld. Zwar nimmt der US-Konzern am
Transatlantic Data Privacy Framework teil, was den Datentransfer in
die USA formal absichert. Kau weist aber darauf hin, dass der CLOUD
Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden
weiterhin problematisch sind. Microsoft sichert vertraglich zu,
Daten europäuscher Unternehmen innerhalb der EU zu speichern -– die
sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind
weiterhin möglich, und ein Microsoft-Manager räumte öffentlich ein,
dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte.
Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie-
und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich
Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten,
Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was
damit geschieht, bleibt weitgehend intransparent. Der hessische
Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht,
der den Einsatz von Microsoft 365 in öffentlichen Stellen unter
bestimmten Bedingungen für möglich erklärt. Allerdings hat er sich
dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne
die Datenflüsse technisch zu überprüfen. Holger verweist zudem auf
Microsofts Zusatzprodukte Sentinel und Purview, mit denen
Unternehmen das Verhalten ihrer Mitarbeiter analysieren können –
bis hin zur KI-gestützten Erkennung potenzieller Whistleblower oder
Datendiebe. Kai räumt ein, dass Purview ein mächtiges
Sicherheitswerkzeug sei, warnt aber vor dem schmalen Grat zwischen
legitimer Sicherheitsüberwachung und unzulässigem Profiling von
Beschäftigten. Ob Unternehmen vor dem Einsatz von Microsoft 365
eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet
Kai differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei
kleineren Unternehmen ohne besondere Datenkategorien sei das nicht
Weitere Episoden
1 Stunde 14 Minuten
vor 3 Wochen
1 Stunde 13 Minuten
vor 1 Monat
1 Stunde 11 Minuten
vor 2 Monaten
1 Stunde 11 Minuten
vor 2 Monaten
Kommentare (0)
Melde Dich an, um einen Kommentar zu schreiben.