AVV mit Microsoft 365: Pflicht-Anpassungen 2026
TL;DR
- Microsoft Standard-DPA reicht NICHT für DSGVO-Compliance — 6 Pflicht-Anpassungen erforderlich
- EU Data Boundary aktivieren (seit 02/2024) — alle Daten + Telemetrie in EU
- Copilot-Tenant-Isolation: Sensitive Labels + Rollen-Beschränkung
- ~150 US-Sub-Verarbeiter in eigenem AVV-Anhang dokumentieren + DPF-Annex
- Right-to-Audit + Telemetrie-Reduktion auf „Required" + SOC-2-Validierung
Hauptartikel: Hauptartikel: AVV-Vorlage Art. 28 DSGVO — der vollständige Pillar-Artikel zum Thema.
1. EU Data Boundary aktivieren
Microsoft EU Data Boundary (seit 02/2024) aktivieren — alle Daten + Telemetrie in EU. Zugang über Admin-Center, Tenant-Setting.
2. Copilot-Tenant-Isolation
Copilot kann auf alle Tenant-Daten zugreifen. Anpassung: Sensitive Labels für PII setzen, Copilot-Zugang nach Rollen einschränken.
3. US-Sub-Verarbeiter dokumentieren
Microsoft hat ~150 US-Sub-Verarbeiter. AVV-Anhang mit aktueller Liste pflegen. Updates monatlich von Microsoft Trust Center.
4. Schrems II / DPF-Anhang
Microsoft DPF-zertifiziert. Trotzdem TIA-Anhang empfohlen. EDSA 03/2026 bestätigt Bedarf.
5. Right-to-Audit
Microsoft erlaubt nur SOC-2-Bericht-Einsicht. Annahme dokumentieren oder Vor-Ort-Audit mit ISO-27001-Zertifikat-Validierung erweitern.
6. Telemetrie-Konfiguration
Standard-Telemetrie sendet Diagnose-Daten an MS. Über GPO/Intune einschränken auf 'Required'. Dokumentieren.
Häufig gestellte Fragen
MS-Standard-AVV reicht für DSGVO-Compliance?
Nein, reicht nicht. Der Microsoft-Standard-AVV deckt die Kern-Pflichten aus Art. 28 DSGVO ab, lässt aber 6 kritische Punkte offen: EU Data Boundary muss aktiv konfiguriert werden, DPF-Garantie für US-Sub-Verarbeiter braucht eigenes Annex, Copilot-Tenant-Isolation ist Pflicht (sonst kann Copilot auf alle Tenant-Daten zugreifen), Telemetrie-Konfiguration auf 'Required' beschränken, Sub-Verarbeiter-Liste mit ~150 US-Anbietern monatlich aktualisieren, Right-to-Audit-Klausel ergänzen (MS erlaubt nur SOC-2-Bericht-Einsicht). Diese Anpassungen sind in eigenen Anhängen zu dokumentieren.
Wer haftet bei einem Sub-Verarbeiter-Vorfall?
Microsoft als Hauptauftragsverarbeiter ist Ihnen gegenüber primär verantwortlich (Art. 28 Abs. 4 DSGVO). MS gibt die AV-Pflichten an Sub-Verarbeiter weiter — z.B. an Hyperscaler-Region-Operations oder Telemetrie-Anbieter. Bei Vorfall haften Sie als Verantwortlicher gegenüber Betroffenen, MS gegenüber Ihnen, der Sub-Verarbeiter gegenüber MS (Kette). Praxis: Schadenersatz-Forderung an MS, MS regressiert intern. Bei systemischen Sub-Verarbeiter-Problemen kann der DPF-Status kippen — daher Plan B aktiv halten.
Was tun, wenn das Data Privacy Framework (DPF) gekippt wird?
Schritt 1: Sofort EU-Alternative-Migration starten — Stack-IT (Schwarz-Gruppe), IONOS Cloud oder MagentaBusiness Cloud sind M365-funktional vergleichbar. Schritt 2: Übergangsfristen historisch 0-3 Monate (Privacy Shield 2020). Schritt 3: SCC 2021/914 + TIA als Backup-Garantien aktivieren. Schritt 4: Datenflüsse minimieren — sensitive Daten sofort in EU-Region verschieben. Empfehlung: Plan B vorbereiten, EU-Alternative im Test-Modus laufen lassen. Migrationsdauer M365 → Stack-IT: 2-6 Monate.
Welche Microsoft-365-Funktionen sind besonders DSGVO-kritisch?
Top-3-Risiken: 1) Copilot — kann tenant-weit auf alle Daten zugreifen ohne Sensitive-Labels. 2) Telemetrie — Standard-Diagnostic-Data-Level sendet Datei-Metadaten an MS (LG München-Risiko). 3) E-Mail-Archive in Exchange Online — bei aktiver Litigation Hold kein Löschen möglich. Lösung: Sensitive Labels für PII setzen, Telemetrie auf 'Required' beschränken (via GPO/Intune), Copilot-Zugang nach Rollen einschränken, Customer Lockbox aktivieren.
Müssen wir den AVV jährlich neu unterzeichnen?
Nein, der AVV bleibt gültig bis zur Kündigung des Hauptvertrages. ABER: Microsoft aktualisiert die DPA-Bedingungen periodisch. Sie sollten quartalsweise die DPA-Version prüfen (im Microsoft Trust Center) und Änderungen ins eigene VVT übernehmen. Bei wesentlichen Änderungen (z.B. neue Sub-Verarbeiter-Kategorien) Schriftform empfohlen. Audit-Tipp: Datum + Version der aktuell gültigen DPA in der eigenen Compliance-Doku festhalten.
Quellen
- Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
- Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
- Commission Implementing Decision (EU) 2023/1795 — EU-US Data Privacy Framework (Stand: 02.05.2026)
- EDPB Binding Decision 1/2023 — Meta Facebook Datentransfer USA (Stand: 02.05.2026)
- EuG T-553/23 — Latombe v Kommission (DPF-Klage abgewiesen) (Stand: 02.05.2026)