Das Online-Treffen der mbuf Gruppe „Datenschutz, Compliance & DSGVO“ am 6. März 2026 befasste sich mit der praktischen Umsetzung datenschutzkonformer Konfigurationen in Microsoft 365 (M365). Ausgangspunkt war die Feststellung, dass die grundsätzige rechtliche Zulässigkeit von M365 inzwischen weitgehend anerkannt ist, die tatsächliche Datenschutzkonformität jedoch maßgeblich von der konkreten Konfiguration abhängt.

   

Die Diskussion zeigte, dass M365 als dynamisches Produktportfolio mit zahlreichen Einzelanwendungen strukturell schwer beherrschbar ist. Regelmäßige Funktionsupdates, neue Produkte wie Copilot sowie komplexe Abhängigkeiten zwischen einzelnen Einstellungen erschweren eine konsistente Datenschutzbewertung erheblich. Verbindliche, allgemein anerkannte Best‑Practice‑Konfigurationen existieren bislang weder seitens Microsoft noch seitens der Aufsichtsbehörden.

Anhand konkreter Beispiele aus Microsoft Teams wurde deutlich, dass scheinbar einfache Anforderungen – etwa Informationspflichten nach Art. 13/14 DSGVO oder Einwilligungen bei Aufzeichnungen – in der Praxis technische Einschränkungen und versteckte Risiken aufweisen. Besonders problematisch sind sprachabhängige Hinweise, begrenzte Anpassungsmöglichkeiten und Unterschiede zwischen verschiedenen Clients, die zu unvollständigen oder inkonsistenten Schutzmaßnahmen führen können.

Ein zentrales Ergebnis der Sitzung war und ist die Erkenntnis, dass Datenschutz in M365 nicht isoliert betrachtet werden kann. Viele Fragestellungen liegen an der Schnittstelle zwischen Datenschutz, IT‑Betrieb und Informationssicherheit. Neue Funktionen wie Copilot verstärken diesen Effekt zusätzlich.

Als Konsequenz wurde ein gemeinschaftlicher Ansatz vereinbart: Innerhalb der mbuf Gruppe sollen geprüfte Einstellungen, Bewertungen und praktische Erfahrungen systematisch gesammelt und geteilt werden. Ziel ist der Aufbau praxisnaher Best Practices, die Organisationen bei der datenschutzkonformen Nutzung von M365 konkret unterstützen.

Kernaussage:
Datenschutz in M365 ist kein statischer Compliance‑Zustand, sondern ein fortlaufender Prozess. Nachhaltig beherrschbar wird er nur durch strukturierten Wissensaustausch und gemeinsame Lösungsansätze.

Einen detaillierteren Bericht und die dazugehörigen Slides finden Community-Mitglieder im mbuf Teams-Tenant im Bereich der Gruppe.

Du möchtest gerne in die Gruppe „Datenschutz, Compliance & DSGVO“ oder bist noch kein Teil der mbuf Community? Wende Dich gerne an die Geschäftsstelle unter info@mbuf.de, wir ebnen Dir den Zugang zum detaillierten Bericht und eben diesem Wissensaustausch.