Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Microsoft 365 (früher Office 365) ist eine cloudbasierte Produktivitätssuite mit Outlook, Word, Excel, PowerPoint, Teams, OneDrive und SharePoint. Sie verarbeitet umfangreiche personenbezogene Daten, verwendet Cookies und Telemetrie und überträgt Daten über die globale Rechenzentrum-Infrastruktur von Microsoft international. Für die DSGVO-Konformität sind der Datenverarbeitungsvertrag (AVV) und Standardvertragsklauseln erforderlich.
Microsoft 365 (früher Office 365) ist eine cloudbasierte Produktivitäts- und Kollaborationssuite von Microsoft. Sie umfasst Outlook, Word, Excel, PowerPoint, Microsoft Teams, OneDrive, SharePoint sowie wachsende Dienste wie Viva Insights, Loop und Copilot. Wenn Microsoft-365-Komponenten auf öffentlichen Websites eingebettet sind (SharePoint-Seiten, Microsoft Forms, Teams-Besprechungslinks, Power-BI-Dashboards), entstehen Datenschutzpflichten für Website-Betreiber, die europäischem Datenschutzrecht unterliegen.
Microsoft 365 setzt verschiedene Cookies für Authentifizierung, Sitzungsverwaltung, Sicherheit und Analyse. Wichtige Cookies umfassen MUID (eindeutiger Computer-Kenner, 13 Monate), ESTSAUTH und ESTSAUTHPERSISTENT (Azure-AD-Authentifizierungstoken), AADSSO (Single-Sign-on-Status), MC1 (Microsoft-Analyse, 13 Monate) und MS0 (Sitzungsidentifikation). Microsoft erfasst zudem Telemetriedaten, die Anwendungsnutzungsmuster, Leistungsmetriken und Fehlerberichte umfassen.
Microsoft 365 wirft aufgrund der Breite und Sensibilität der verarbeiteten personenbezogenen Daten erhebliche DSGVO-Überlegungen auf. Microsoft agiert als Auftragsverarbeiter gemäß dem Datenverarbeitungsvertrag (AVV), der SCC und spezifische EU-DSGVO-Bedingungen enthält. Im November 2025 veröffentlichte der Hessische Datenschutzbeauftragte einen 137-seitigen Bericht, der bestätigt, dass Microsoft 365 bei korrekter Konfiguration innerhalb der DSGVO-Anforderungen betrieben werden kann. Die Compliance bleibt eine geteilte Verantwortung.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die Rechtsgrundlage hängt von der spezifischen Nutzung von Microsoft 365 ab. Für die interne Mitarbeiternutzung gilt in der Regel Vertragserfüllung (Art. 6 Abs. 1 lit. b) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Optionale Diagnosedaten sollten deaktiviert werden, sofern keine Einwilligung eingeholt wurde. Wenn M365-Komponenten auf öffentlichen Websites eingebettet sind, ist eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und der ePrivacy-Richtlinie erforderlich.
Microsoft betreibt ein globales Rechenzentrum-Netzwerk und kann M365-Daten in US-, EU- und Asien-Pazifik-Einrichtungen verarbeiten. Microsoft stellt den AVV mit SCC bereit und hat die EU-Datengrenze implementiert, die sicherstellt, dass Kernkundendaten berechtigter Mandanten innerhalb der EU und EFTA gespeichert werden. Microsoft ist zertifizierter Teilnehmer am EU-US-Datenschutzrahmen. Bestimmte Datenflüsse wie Supportanfragen und Sicherheitstelemetrie können jedoch weiterhin US-Verarbeitung umfassen.
Für die DSGVO-Konformität mit Microsoft 365 sind folgende Schritte empfohlen: AVV im Microsoft-365-Admin-Center überprüfen und akzeptieren; Diagnosedaten auf das Mindestmaß konfigurieren; EU-Datengrenze aktivieren wenn berechtigt; DSFA mit den Microsoft-Vorlagen und der Service-Elements-Matrix durchführen; Cookie-Einwilligungsbanner auf öffentlichen Websites mit M365-Widgets implementieren; Datenhaltungsrichtlinien und DLP-Regeln über das Microsoft-Purview-Compliance-Portal konfigurieren; Drittanbieter-App-Zugriff einschränken und Audit-Protokollierung aktivieren.
Websites using Microsoft 365 must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird für Microsoft-365-Deployments dringend empfohlen, da umfangreiche personenbezogene Daten in E-Mail (Outlook/Exchange), Dateispeicherung (OneDrive/SharePoint), Zusammenarbeit (Teams) und Produktivitätsanwendungen verarbeitet werden. Zu bewertende Bereiche: Volumen und Sensibilität verarbeiteter Daten, Telemetrie- und Diagnosedatenerhebung durch Microsoft, internationale Datentransfers in die USA, Mitarbeiterüberwachungsrisiken bei aktivierten Produktivitätsanalysen (Viva Insights), Datenhaltungs- und Löschrichtlinien sowie die Angemessenheit von AVV und SCC für Ihre spezifischen Verarbeitungsaktivitäten. Die hessische Datenschutzbehörde bestätigte im November 2025 in einem 137-seitigen Bericht, dass M365 bei korrekter Konfiguration DSGVO-konform betrieben werden kann.
Sample consent text
Diese Website nutzt eingebettete Microsoft-365-Dienste (darunter SharePoint, Forms und Teams-Widgets), die Cookies setzen und personenbezogene Daten auf Microsoft-Servern auch außerhalb des Europäischen Wirtschaftsraums verarbeiten können. Diese Cookies ermöglichen Authentifizierung, Sitzungsverwaltung und Servicefunktionen. Durch Ihre Einwilligung stimmen Sie dieser Datenverarbeitung gemäß dem Datenverarbeitungsvertrag von Microsoft zu. Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen.
Third-party domains contacted
login.microsoftonline.comoutlook.office.comsharepoint.comteams.microsoft.comonedrive.live.comoffice.comgraph.microsoft.comadmin.microsoft.comcompliance.microsoft.comforms.office.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| MUID | analytics | 13 months | Microsoft unique machine identifier used to track user interactions across Microsoft properties and for analytics. |
| ESTSAUTH | authentication | Session | Azure Active Directory authentication token that validates the user login session for Microsoft 365 services. |
| ESTSAUTHPERSISTENT | authentication | 90 days | Persistent Azure AD authentication token enabling the Keep me signed in functionality across browser sessions. |
| AADSSO | authentication | Session | Stores the single sign on state for Azure Active Directory, allowing seamless access across M365 applications. |
| MC1 | analytics | 13 months | Microsoft analytics cookie tracking user interactions with Microsoft services for usage reporting and improvement. |
| MS0 | functionality | Session | Session identification cookie for maintaining user state within Microsoft 365 web applications. |
| MSFPC | analytics | 13 months | Microsoft first party cookie used for analytics and site usage measurement across Microsoft online properties. |
| SignInStateCookie | authentication | Session | Tracks the authentication state during the login flow to prevent login replay attacks and ensure session integrity. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Microsoft 365 setzt verschiedene Cookies, darunter MUID (eindeutiger Computer-Kenner, 13 Monate), ESTSAUTH und ESTSAUTHPERSISTENT (Azure-AD-Authentifizierungstoken), AADSSO (Single-Sign-on-Status), MC1 (Microsoft-Analyse, 13 Monate) und MS0 (Sitzungsidentifikation). Microsoft erfasst außerdem Telemetriedaten zu Nutzungsmustern und Leistungsmetriken. Bei eingebetteten M365-Diensten auf externen Websites können Cookies aus login.microsoftonline.com, sharepoint.com und office.com in den Besucherbrowsern gesetzt werden.
Für die interne Nutzung durch Mitarbeiter ist in der Regel keine Einwilligung erforderlich, da Vertragserfüllung oder berechtigtes Interesse als Rechtsgrundlage dienen. Wenn jedoch M365-Komponenten wie SharePoint-Seiten, Microsoft Forms oder Power-BI-Dashboards auf öffentlichen Websites eingebettet sind, ist gemäß ePrivacy-Richtlinie eine vorherige Einwilligung für nicht unbedingt erforderliche Cookies nötig. Optionale Telemetrie- und Diagnosedatenerhebungen erfordern ebenfalls eine Einwilligung oder sollten deaktiviert werden.
Die Kernproduktivitätsnutzung durch Mitarbeiter stützt sich auf Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Die erforderliche Diagnosedatenerhebung wird durch berechtigtes Interesse für Sicherheit und Zuverlässigkeit abgedeckt. Optionale Diagnosedaten sollten deaktiviert oder per Einwilligung genehmigt werden. Öffentliche Embeds, die Cookies setzen, erfordern eine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Jede Verarbeitungsaktivität ist im VVT zu dokumentieren.
Ja. Microsoft betreibt globale Rechenzentren und kann Daten in US-Einrichtungen verarbeiten. Übertragungen werden durch den AVV mit SCC abgedeckt. Microsoft hat die EU-Datengrenze für berechtigte Mandanten implementiert und ist unter dem EU-US-Datenschutzrahmen zertifiziert. Einige Datenflüsse wie Supportanfragen und Sicherheitstelemetrie können jedoch weiterhin US-Verarbeitung beinhalten. Der extraterritoriale Geltungsbereich des US-CLOUD-Acts sollte in Transfer-Impact-Assessments bewertet werden.
Eine DSFA wird dringend empfohlen und ist gemäß Art. 35 DSGVO für die meisten M365-Deployments wahrscheinlich erforderlich. Die Plattform verarbeitet große Mengen personenbezogener Daten in E-Mail, Dateispeicherung, Zusammenarbeit und Produktivitätsanwendungen. Microsoft stellt eine DSFA-Vorlage und eine Service-Elements-Matrix bereit. Die hessische Datenschutzbehörde bestätigte im November 2025, dass M365 bei korrekter Konfiguration DSGVO-konform sein kann, aber jede Organisation muss die spezifischen Risiken ihres Deployments bewerten.
Überprüfen und akzeptieren Sie den AVV im Microsoft-365-Admin-Center. Konfigurieren Sie Diagnosedaten auf das erforderliche Mindestniveau. Aktivieren Sie die EU-Datengrenze wenn berechtigt. Führen Sie eine DSFA mit den Microsoft-Vorlagen durch. Implementieren Sie Cookie-Einwilligungsbanner für öffentliche M365-Einbettungen. Konfigurieren Sie Datenhaltungsrichtlinien und DLP-Regeln über das Microsoft-Purview-Compliance-Portal. Beschränken Sie den Drittanbieter-App-Zugriff und aktivieren Sie die Audit-Protokollierung.
Alternativen umfassen Nextcloud (quelloffene selbst-gehostete Zusammenarbeit), LibreOffice Online (quelloffene Office-Suite), Tutanota oder ProtonMail (datenschutzorientierte E-Mail), CryptPad (verschlüsselte Zusammenarbeit) und Infomaniak kSuite (Schweizer Produktivitätshosting). Für Videokonferenzen kann Jitsi Meet Teams ersetzen. Jede Alternative sollte hinsichtlich eigener DSGVO-Konformität und Sicherheitszertifizierungen bewertet werden.
Listen Sie alle Cookies auf, die von eingebetteten M365-Diensten gesetzt werden, einschließlich Namen, Zwecke, Laufzeiten und Ursprungsdomains (login.microsoftonline.com, sharepoint.com, office.com, teams.microsoft.com). Geben Sie an, ob jeder Cookie unbedingt erforderlich ist oder einer Einwilligung bedarf. Dokumentieren Sie die Rolle von Microsoft als Auftragsverarbeiter, verweisen Sie auf AVV und SCC und beschreiben Sie die erhobenen Telemetriedaten. Überprüfen Sie die Richtlinie bei jeder Änderung der M365-Integrationen.