Update MS 365: Zwischen Totalausfall und Datenschutzpanne (H1)
In diesem Artikel:
1. Was ist MS 365?
2. Was steckt eigentlich hinter dem neuesten MS 365 Update?
3. Cloud Act
4. Welche Sicherheitsrisiken bestehen und welche Daten werden bezogen?
5. Wie kann man seine Daten schützen?
6. Die wichtigsten Risiken & To-Dos
7. Welche Herausforderungen gibt es bei der Umsetzung?
8. Fazit
Das Microsoft 365 Update steht sinnbildlich für einen Spagat: mehr Produktivität, aber auch offene Fragen zur DSGVO-Konformität, Informationssicherheit und Betriebsstabilität. Besonders öffentliche Einrichtungen, Schulen und Behörden sind davon stark betroffen. Das heißt, wer MS 365 datenschutzkonform nutzen will, muss die Datenflüsse verstehen, vertragliche Rollen sauber regeln und Konfigurationen laufend prüfen. Mit Einführung der EU-Datengrenze (EU Data Boundary) hat Microsoft zwar spürbar nachgebessert und Kundendaten sowie Protokolldaten u.v.m. werden nun innerhalb der EU/EFTA verarbeitet, jedoch wurden dadurch bei weitem nicht alle Risiken beseitigt. Gerade bei Supportfällen und globalen Telemetrie-Pfaden bleiben Ausnahmen möglich und müssen dokumentiert werden.
Um sicher, sauber und effizient zu arbeiten, ist es entscheidend, alle Systeme und Richtlinien vorab strukturiert und korrekt zu migrieren.
1. Was ist MS 365?
Microsoft 365 (MS 365) ist eine Cloud basierte Sammlung von Software und Plattformdiensten. Neben den klassischen Office Programmen Microsoft Word, Excel und Outlook umfasst das Paket Microsoft Teams für Zusammenarbeit, Microsoft Exchange Server für E Mails sowie weitere Apps wie OneDrive, SharePoint und Azure basierte Tools. Im öffentlichen Sektor wird Microsoft 365 häufig als integrierte Plattform für Kommunikation, Dokumentenverwaltung und projektübergreifende Zusammenarbeit eingesetzt. Anders als bei der früheren lokalen Office Installation laufen viele Dienste heute ausschließlich in Rechenzentren von Microsoft und sind über das Internet erreichbar, was neue Abhängigkeiten, aber auch Chancen mit sich bringt.
2. Was steckt eigentlich hinter dem neuesten MS 365 Update?
Mit der EU-Datengrenze (EU Data Boundary) für die Microsoft Cloud verpflichtete sich Microsoft, personenbezogene Daten für Enterprise-Onlinedienste innerhalb der EU/EFTA zu verarbeiten.
Dies erfolgte in drei Ausbaustufen:
– Phase 1 (seit 2023): Produktivitäts- & Nutzungsdaten verbleiben in EU/EFTA Rechenzentren.
– Phase 2 (seit 2024): Verarbeitung zahlreicher Diagnose-/Telemetrie-Daten nun ebenfalls EU-gebunden.
– Phase 3 (finalisiert in 2025): Supportdaten, Debug-Logs & Service-Notes sollen ebenfalls innerhalb EU/EFTA verarbeitet werden.
Dies gilt jedoch nicht für alle Datenkategorien und Szenarien:
• Supportdaten können weiterhin in Drittländer übertragen werden.
• Bei Multi-Geo-Konfigurationen fallen einzelne Workloads automatisch aus dem Boundary-Scope. Verantwortliche sollten deshalb die eigene Data Location im Admin-Center prüfen und Abweichungen (z. B. bei Support/Logdaten) in der DSFA abbilden.
• Diagnose- und Telemetriepfade enthalten weiterhin Ausnahmen. Hierzu ist daher eine Datenschutzfolgeabschätzung (DSFA) bzw. ein Transfer Impact Assessment (TIA) zu erstellen.
Die EU Data Boundary benennt explizit die Länder im Geltungsbereich sowie die (angekündigten/aktiven) Rechenzentrums-Standorte in Europa. Auch wenn vereinzelt weiterhin Daten außerhalb Europas verarbeitet werden können, verdeutlicht die EU Data Boundary, dass Microsoft seine Dienste stärker an den rechtlichen Anforderungen der EU und der DSGVO ausrichtet.
Die Übermittlung an Dienstleister, die nach dem Angemessenheitsbeschluss zum sog. EU-U.S. Data Privacy Framework (DPF) zertifiziert sind, bleibt davon unberührt. Durch das DPF wird verbindlich bestätigt, dass US-Organisationen, die im offiziellen Register zum DPF aufgeführt sind, ein dem EU-Standard entsprechendes Schutzniveau für personenbezogene Daten aus Europa bieten. Hier gilt weiterhin, dass die Pflichten aus der DSGVO (u.a. DSFA bzw. TIA) erfüllt werden müssen.
Wer personenbezogene Daten in Länder ohne Angemessenheitsbeschluss übermittelt oder mit US-Dienstleistern arbeitet, die nicht nach dem DPF zertifiziert sind, kommt um die bekannten Schutzmechanismen der DSGVO nicht herum. In solchen Fällen müssen weiterhin Standardvertragsklauseln (SCC) abgeschlossen und die Risiken der Übermittlung sorgfältig geprüft werden. Je nach Ergebnis können zudem zusätzliche technische oder organisatorische Maßnahmen notwendig werden, um ein angemessenes Schutzniveau sicherzustellen.
3. Cloud Act
Neben der EU Data Boundary gilt weiterhin der Cloud Act („Clarifying Lawful Overseas Use of Data Act“) als US Bundesgesetz aus dem Jahr 2018. Dieses Gesetz verpflichtet US-Unternehmen, auf rechtliche Herausgabeverlangen amerikanischer Behörden zu reagieren, unabhängig vom Speicherort der Daten. Der Cloud Act schafft keine unmittelbare Zugriffsmöglichkeit auf europäische Cloudsysteme. Eine Herausgabe setzt immer ein formelles Verfahren voraus und ist nur dann möglich, wenn der Anbieter technisch Zugriff auf die Daten hat. Befindet sich der Schlüssel ausschließlich beim Kunden, reduziert sich die praktische Zugriffsmöglichkeit erheblich. Gleichwohl bleibt ein Restrisiko bestehen, das öffentliche Stellen bei der Risikobewertung berücksichtigen müssen.
4. Welche Sicherheitsrisiken bestehen und welche Daten werden bezogen?
Ein Großteil der Risiken entsteht durch Fehlkonfigurationen (Berechtigungen, Freigaben, Mobile-Nutzung), nicht primär durch „Hacking“. Parallel erhebt Microsoft erforderliche Dienstdaten und Diagnose-/Telemetriedaten, die für Lizenzierung, Update-Verteilung, Stabilität und Fehleranalyse nötig sind. Laut Microsoft umfassen diese u. a. Geräte- und Sitzungskennungen, App-/Build-Versionen, Feature- und Nutzungsereignisse, Leistungs-/Absturzinformationen, Fehler- und Statuscodes, Aktivierungs-/Lizenzdaten sowie dienstgenerierte Protokolle (z. B. Anmelde-/Dienstaufrufe). Inhalte (Dateitext, E-Mails etc.) sind nicht Teil dieser Diagnosedaten; Ereignisse können jedoch pseudonyme IDs enthalten. Umfang und Sichtbarkeit werden über die Privacy-Policies in den Microsoft 365 Apps gesteuert.
5. Datenschutz
Microsoft 365 kann datenschutzkonform betrieben werden, wenn der Einsatz professionell gesteuert wird. Dies bestätigen auch mehrere deutsche Aufsichtsbehörden im Rahmen Ihrer Handreichungen zu Microsoft 365. Erforderlich sind ein Auftragsverarbeitungsvertrag, ein transparenter Umgang mit Unterauftragsverarbeitern, ein konsistentes Berechtigungskonzept und ein bewusster Umgang mit Telemetrie- und Diagnosedaten. Eine DSFA ist in vielen Einsatzszenarien unverzichtbar. Diese dient in dieser Funktion nicht als Formalität, sondern als Instrument zur Risikosteuerung und -abschätzung.
6. Informationssicherheit: Zertifizierung ≠ Freifahrtschein
Microsoft verweist auf Audits (wie die Zertifizierung nach ISO/IEC 27001) als Nachweis für ein strategisches Sicherheitsmanagement sowie auf den Microsoft Secure Score als herstellereigenes, internes Steuerungsinstrument zur kontinuierlichen Verbesserung des Sicherheitsniveaus in der eigenen Umgebung. Obwohl diese Instrumente Vertrauen schaffen und die Einhaltung von Standards belegen, ersetzen sie nicht die eigenen Pflichten:
Die grundlegenden Sicherheitsmaßnahmen umfassen den Schutz von Identitäten (durch die Implementierung der Multi-Faktor-Authentifizierung (MFA) und die Trennung von administrativen Aufgaben), die stringente Verwaltung der rollenbasierten Zugriffssteuerung (RBAC), den Einsatz von Data Loss Prevention (DLP) und Sensitivity Labels sowie das Betreiben von Protokollierungs- und Überwachungsmechanismen (Logging/Auditing). Der Secure Score identifiziert Schwachstellen und priorisiert notwendige Korrekturmaßnahmen; die verantwortlichen Personen sollten diese Maßnahmen regelmäßig überprüfen und anpassen.
7. Wie kann man seine Daten schützen?
Der Schutz sensibler Daten beginnt mit klaren Regeln für ihren Umgang. Dazu gehören eine verständliche Einteilung der Daten, eindeutige Aufbewahrungsfristen und ein Berechtigungskonzept, das nur notwendige Zugriffe erlaubt (Least-Privilege-Prinzip). Ergänzend sollten Schutzmechanismen wie Kennzeichnungen sensibler Informationen, Maßnahmen gegen Datenabflüsse sowie regelmäßige Auswertungen von Protokollen und Sicherheitsbewertungen eingesetzt werden. Datenschutzrichtlinien in den Microsoft 365-Apps reduzieren dabei Diagnose- und Telemetriedaten auf das erforderliche Maß. Ebenso wichtig ist die Prüfung, wo Daten gespeichert werden und ob sie innerhalb der EU verarbeitet werden; bei Übermittlungen in Drittländer müssen geeignete Schutzmechanismen dokumentiert und bei Bedarf zusätzliche Verschlüsselungsmaßnahmen ergänzt werden. Die Umsetzung all dieser Maßnahmen ist jedoch anspruchsvoll, weil Microsoft 365 aus vielen eng verknüpften Diensten besteht, deren Einstellungen sich gegenseitig beeinflussen. Fehlentscheidungen oder unkoordinierte Änderungen können zu Störungen oder kompletten System-Ausfällen führen und erfordern im Ernstfall aufwendige Wiederherstellungsmaßnahmen, die den Betrieb und die IT-Teams erheblich belasten.
Maßnahmen zur Minimierung der größten Risiken
• Fehlkonfigurationen in Teams/SharePoint/Exchange: Standard-Freigaben restriktiv, Gastzugriffe kontrollieren, Sensitivity Labels + DLP verpflichtend.
• Mobile Nutzung (Apps auf Smartphones): Ohne Mobile Device Management (MDM)/Mobile Application Management (MAM) kaum steuerbar; Conditional Access, App-Schutzrichtlinien und Bring Your Own Device (BYOD)-Regeln sind Pflicht.
• Transparenz über Tracking/Telemetry: Dokumentieren, welche Diagnosedaten erhoben werden (Geräte-IDs, Feature-Events, Crash-Infos, Lizenzdaten), welche Inhalte explizit nicht; Privacy-Policies konsequent setzen.
• Datenübermittlungen in Drittländer: DPF nutzen, sonst SCC + Zusatzmaßnahmen (Kryptografie, Minimierung, TIA) anwenden und jährlich überprüfen.
• Schlüsselhoheit erhöhen: Customer Key für Exchange Online und SharePoint/OneDrive (damit auch Teams) evaluieren; Rotation & Break-Glass planen.
• Betrieb/Migration: Exchange-Cutover vs. Staged vs. Hybrid bewusst wählen; Pilotgruppen, Off-Hours-Cutover, Rollback und Kommunikationsplan festlegen.
• Datenschutz: Auftragsverarbeitungsvertrag schließen, Unterauftragsverarbeiter prüfen, Boundary-Status/Supportpfade protokollieren; DSFA und ggf. TIA regelmäßig aktualisieren
8. Fazit
Das aktuelle Microsoft 365-Update macht deutlich, dass der datenschutzkonforme und sichere Einsatz von Cloud-Diensten ein komplexes Thema mit vielen Abhängigkeiten und individuellen Fallstricken bleibt. Die EU Data Boundary und das EU-U.S. Data Privacy Framework verbessern die Ausgangslage, beseitigen aber weder alle Risiken noch alle rechtlichen Unsicherheiten – insbesondere im Zusammenspiel mit Telemetrie, Supportpfaden und dem Cloud Act. Ob Microsoft 365 im Einzelfall DSGVO-konform betrieben werden kann, hängt wesentlich von der konkreten Nutzung, den gewählten Einstellungen und den ergänzenden technischen und organisatorischen Maßnahmen ab. Erforderlich sind daher eine sorgfältige Risikoabwägung, eine belastbare Dokumentation (insbesondere DSFA/TIA) sowie ein kontinuierlicher Überprüfungs- und Anpassungsprozess.
________________________________________
Wie die actago Unternehmensgruppe Sie unterstützen kann
Wir begleiten Sie von der Einrichtung Ihrer Microsoft 365-Umgebung über die technische Absicherung bis hin zum fertigen Datenschutz- und Sicherheitskonzept – alles aus einer Hand.
Dabei kombinieren wir technisches Know-how mit datenschutzrechtlicher Expertise, um Ihre Umgebung optimal an die Anforderungen der DSGVO und Ihrer Organisation anzupassen.
Die actago4IT GmbH kann Sie bei der konkreten Umsetzung unterstützen, damit Sie Microsoft 365 so einsetzen, dass es produktiv, sicher und rechtssicher funktioniert – und zu einem echten Gewinn für Ihre Einrichtung wird.
Sprechen Sie uns an – wir machen Ihr Microsoft 365 Update sicher, stabil und datenschutzkonform.
Hier klicken und Beratungstermin vereinbaren!
Microsoft erweitert Microsoft 365 Copilot um das KI‑Modell Claude von Anthropic. Die zusätzliche Modellwahl bietet fachliche Vorteile, wirft jedoch neue datenschutz‑ und compliancerechtliche Fragen auf. Der Beitrag ordnet die wesentlichen Aspekte ein und zeigt, worauf Verantwortliche jetzt achten sollten.
1. Einordnung: Claude als weiteres Foundation Model in Microsoft 365 Copilot
Microsoft verfolgt mit Microsoft 365 Copilot zunehmend eine Multi‑Model‑Strategie. Neben den bekannten GPT‑Modellen steht nun auch Claude von Anthropic, aktuell in der Version Claude Opus 4.7, zur Verfügung. Ziel ist es, je nach Anwendungsfall unterschiedliche Stärken der Modelle nutzbar zu machen – etwa bei komplexem Reasoning oder mehrstufigen Aufgaben.
Claude ist dabei kein eigenständiger Dienst, sondern wird innerhalb des Microsoft-365-Ökosystems bereitgestellt. Für Anwender geschieht die Nutzung über Copilot Chat, Copilot Studio oder spezialisierte Agents, ohne eigene Verträge mit Anthropic schließen zu müssen.
2. Anthropic als Unterauftragsverarbeiter von Microsoft
Rechtlich relevant ist, dass Anthropic inzwischen als Unterauftragsverarbeiter (Subprocessor) von Microsoft Online Services eingebunden ist. Für die Nutzung von Claude gelten damit die Microsoft Product Terms sowie das Microsoft Data Protection Addendum (DPA). Separate Datenverarbeitungsverträge mit Anthropic sind nicht erforderlich; die datenschutzrechtliche Verantwortung liegt formal weiterhin bei Microsoft.
Gleichzeitig ist festzuhalten: Anthropic‑Modelle unterliegen derzeit nicht der EU Data Boundary. Auch wenn sie innerhalb von Microsoft 365 Copilot genutzt werden, sind sie von den EU‑In‑Country‑ und EU‑Boundary‑Zusagen ausgenommen. Für EU‑ und EFTA‑Mandanten ist Claude daher standardmäßig deaktiviert und nur per aktivem Opt‑in nutzbar.
3. Datenverarbeitung außerhalb der EU: Zulässig, aber bewertungspflichtig
Mangels EU‑Boundary erfolgt die Verarbeitung – abhängig von Last und Routing – potentiell außerhalb der Europäischen Union. Als rechtliche Garantien kommen derzeit Standardvertragsklauseln (SCC) zum Einsatz. Rein formal ist dies von Microsoft abgedeckt und damit grundsätzlich zulässig.
Für Verantwortliche stellt sich jedoch eine weitergehende Frage: Ist diese Verarbeitung im konkreten organisatorischen Kontext gewollt?
In der Praxis kann dies insbesondere relevant werden bei:
festgelegten Betriebskonzepten oder Cloud-Strategien,
Mitbestimmungs- und Beteiligtenrechten (z.B. Personalvertretung),
internen Vorgaben zur Drittlandverarbeitung.
Nicht jede rechtlich zulässige Lösung ist automatisch auch organisatorisch akzeptiert.
4. Flex Routing: Zweite Datenlokation mit eigener Relevanz
Unabhängig von Anthropic führt Microsoft mit Flex Routing eine weitere relevante Weichenstellung ein. In Zeiten hoher Auslastung kann das sogenannte LLM‑Inferencing außerhalb der EU Data Boundary durchgeführt werden, um eine gleichbleibende Copilot‑Performance sicherzustellen.
Flex Routing ist für viele EU‑Tenants standardmäßig aktiviert und betrifft sowohl Microsoft 365 Copilot als auch Copilot Chat. Zwar verbleiben ruhende Daten weiterhin in der EU, datenschutzrechtlich entscheidend ist jedoch der Ort der Verarbeitung – nicht allein der Speicherort.
Organisationen mit erhöhtem Schutzbedarf sollten diese Einstellung daher aktiv prüfen und bewusst entscheiden, ob Flex Routing zugelassen oder deaktiviert wird.
Trotz der genannten Punkte sollte Claude nicht vorschnell als datenschutzrechtliches Risiko eingeordnet werden. Im Gegenteil: Die Nutzung von Claude innerhalb des geregelten Rahmens von Microsoft 365 Copilot ist aus Compliance‑Sicht deutlich vorteilhafter als ein unkontrollierter Einsatz externer KI‑Dienste durch Beschäftigte.
Zentrale Vorteile sind insbesondere:
einheitliche Governance‑Strukturen,
zentrale Administration im Copilot‑Admincenter,
Logging‑ und Kontrollmöglichkeiten,
Integration in bestehende DLP‑ und Compliance‑Mechanismen.
Die eigentliche Herausforderung liegt weniger in der Technik, sondern in der bewussten, dokumentierten Entscheidung.
6. Handlungsempfehlungen für Organisationen
Aus Datenschutz‑ und Compliance‑Sicht empfiehlt sich ein strukturiertes Vorgehen:
Transparenz herstellen: Mandanten und interne Stakeholder sollten darüber informiert werden, dass Claude in Microsoft 365 Copilot verfügbar ist bzw. verfügbar gemacht werden kann.
Bewusste Freigabeentscheidung treffen: Die Aktivierung sollte abhängig gemacht werden von:
Art und Sensibilität der verarbeiteten Daten
internen Richtlinien zur Drittlandverarbeitung
mitbestimmungsrechtlichen Rahmenbedingungen
Flex Routing prüfen und ggf. deaktivieren: Für datenschutzsensible Umgebungen kann eine Deaktivierung sachgerecht sein.
Governance ergänzen: Wer ohnehin im Copilot‑Admincenter arbeitet, sollte:
KI-Hinweise im Copilot sichtbar platzieren
auf interne Informations- oder Richtlinienseiten verlinken
Verantwortlichkeiten klar benennen
7. Persönliche fachliche Einordnung
Aus heutiger Sicht spricht viel dafür, die weitere Entwicklung aufmerksam zu begleiten. Anthropic‑Modelle lassen sich bei Azure‑ und AWS‑Betrieb bereits regional beschränken. Sollte eine vergleichbare EU‑Boundary auch für Microsoft 365 Copilot folgen, würde dies die datenschutzrechtliche Bewertung erheblich vereinfachen.
Bis dahin gilt: Claude ist innerhalb von Microsoft 365 Copilot kein No‑Go, aber auch kein Selbstläufer. Wer ihn nutzt, sollte dies bewusst, dokumentiert und mit passenden technischen und organisatorischen Maßnahmen tun. Unsere Spezialisten unterstützen Sie gerne dabei. Hier finden Sie mehr Informationen zur KI-Beratung der actago GmbH.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
