Hamburg: Einsatz von M365 vertretbar - zumindest bei nicht-sensiblen Daten
Die Hamburger Aufsichtsbehörde - der HmbBfDI Thomas Fuchs - hat ihren Tätigkeitsbericht veröffentlicht. Darin findet sich auch ein ausführlicher Bericht über den Einsatz von M365 in der Hamburgischen Verwaltung. Demnach ist der Einsatz von M365 auch in Behörden vertretbar - jedenfalls bei Nicht-Sensiblen Daten.
Im Tätigkeitsbericht (ab S. 52; use365.msHHTB) hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ausführlich die datenschutzrechtlichen Fragestellungen bei der Nutzung von M365 in der hamburgischen Verwaltung geschildert.
"Auf Basis der gegenüber Microsoft erwirkten vertraglichen Verbesserungen und der mit dem Senat abgestimmten Einstellungen ist der Einsatz bei nichtsensiblen Daten vertretbar. Bei Daten mit hohem Schutzbedarf sind hingegen noch zahlreiche Fragen zum Schutzkonzept offen."
Der Bericht schildert den Einsatz von Microsoft 365 (das hier M365 und nicht wie bei einigen anderen Behörden MS365 abgekürzt wird), die Begleitung durch den HmbBfDI und die Besonderheiten in Vertrag und Einsatz.
Ich habe eine Zusammenfassung im Datenschutz-Berater (Heft 4/2026, S. 129) verfasst, die hier kostenlos heruntergeladen werden kann (pdf). Daraus in kurzen Auszügen:
Besonderheiten im „Hamburger Modell“
Anders als die meisten anderen Verantwortlichen haben mache Bundesländer und Konzerne die Möglichkeit, ihre Verträge mit Microsoft individuell nachzuverhandeln. Ähnlich wie bei den Bewertungen vom HBDI und dem Europäischen Datenschutzbeauftragten (EDSB) existieren auch bei der Senatskanzlei Zusatzvereinbarungen zum Vertragswerk, insbesondere zum „Data Protection Addendum“ von Microsoft. Dies ist das zentrale Datenschutzschutz-Dokument, das für die Nutzung von M365 unter anderem eine Vereinbarung über die Auftragsverarbeitung i. S. d. Art. 28 Abs. 3 Satz 1 DSGVO enthält und Standarddatenschutzklauseln i. S. d. Art. 46 Abs. 2 lit. c DSGVO einbindet.
Einige der von der Hamburger Senatskanzlei individuell ausgehandelten Punkte (vgl. S. 54 des Tätigkeitsberichts) sind bereits aus anderen Zusatzvereinbarungen bekannt:
• Stärkung der Weisungsbefugnis des Auftraggebers und
• Zusicherungen zur Einhaltung der DSGVO sowie
• Vorrang des EU-Rechts bei Drittstaatenübermittlungen
Zudem wurden „umfangreiche Dokumentationen“ bereitgestellt; neben der Datenschutz-Folgenabschätzung werden u. a. Feinkonzepte zu den M365-Diensten und „Sicherheits- und Governancekonzepte“ genannt.
Details: EU Data Boundary, Telemetriedaten, Drittlandtransfer und Exit-Strategie
Besonderheiten des Hambuerger Vertrags sind laut dem Bericht:
Das EU Data Boundary-Programm wurde wieder auf die EU (statt EFTA) beschränkt.
Telemetrie- und Diagnosedaten: Hiermit hat sich der HmbBfDI ausführlich beschäftigt; wie auch mit der Nutzung von Kundendaten für eigene Zwecke von Microsoft. Er bewertet verbleibende Risiken
bei diesen pseudonymisierten Daten als gering, hält Details u. a. zu Reports und zu Anonymisierungsverfahren aber noch für klärungsbedürftig.
Drittlandtransfers: Mit dem Konzept der EU Data Boundary, den vertraglichen Vereinbarungen
und dem EU-US Data Privacy Framework wird die Problematik laut HmbBfDI „zumindest derzeit ausreichend
adressiert.“
Als Maßnahme für den Fall des Data Privacy Framework soll nicht nur die weitere Entwicklung beobachtet werden: Auf Aufforderung der Aufsichtsbehörde wurde zusätzlich eine Exit-Strategie entwickelt.
Drittlandtransfer: „zumindest derzeit ausreichend adressiert"
Einsatz von M365 für sensible Daten
Ausdrücklich außen vor gelassen war die Bewertung von Daten mit hohem Schutzbedarf. Als Beispiele werden hierfür Rechner der Polizei oder von Sozialträgern genannt.
Gemeint sind mit „sensiblen Daten“ also wohl nicht schon Daten der normalen Verwaltung, die nur gelegentlich Daten i. S. v. Art. 9 Abs. 1 DSGVO enthalten. Auch für die genannten Bereiche mit hohem Schutzbedarf scheint der Einsatz von M365 möglich zu sein, wenn sie besonders gegen die missbräuchliche Einsichtnahme oder Verwendung durch Unberechtigte etc. geschützt werden.
Entsprechende Voreinstellungen und Multi-Faktor-Authentifizierung bleiben Gegenstand weiterer Prüfungen (S. 53, 56 und 57 des Tätigkeitsberichts).
Folgen für die Praxis
Wie schon bei den vorangegangenen aufsichtsbehördlichen Stellungnahmen ist die positive Positionierung des HmbBfDI natürlich für diejenigen Verantwortlichen erfreulich, die M365 einsetzen wollen.
Auf den zweiten Blick zeigen sich dann jedoch arbeitsintensive Details: Selbstverständlich ergibt sich aus der Prüfung des HmbBfDI keine pauschale „Freigabe“ für andere Verantwortliche. Erforderlich ist eine Bewertung am konkreten Fall, wobei der HmbBfDI zu Recht aufzeigt, dass dabei nach der Sensibilität der Daten zu differenzieren ist.
Der HmbBfDI weist auch auf weitere Aktivitäten bzgl. Telemetriedaten und Drittlandtransfer hin (s. o.). Wie schon bei den Bewertungen von LfD-NI, EDSB und HBDI setzt sich der Trend zur „Geheimwissenschaft“ über die individuellen Microsoft-Verträge der öffentlichen Stellen fort:
Aus einem Statement von Aufsichtsbehörden über die Zulässigkeit der Datenverarbeitung in M365 kann für diejenigen, die die vertraulichen Verträge der öffentlichen Hand nicht kennen, nie rechtssicher herausgelesen werden, ob die Aussagen auch für die Nutzung unter Standard-Verträgen von Microsoft gelten soll.
Abhängig von Umfang der Nutzung und Sensibilität der Daten kann der Einsatz von M365 also viel Aufwand erfordern; der HmbBfDI nennt für die Senatskanzlei eine Menge an Dokumenten und Konzepten. Für Standardnutzungen gibt es hierzu jedochMuster, an denen sich Verantwortliche und ihre Datenschutzbeauftragten orientieren können. Wie auch bei anderen komplexen und ständigen Änderungen unterworfenen Software-as-Service-Angeboten muss der Verantwortliche sich jedoch laufend informieren und die Details seiner Nutzung und seiner Dokumentation anpassen. Mit entsprechenden Maßnahmen ist der Einsatz von M365 gut vertretbar, wie die Aufsichtsbehörden bestätigen.
