Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Outlook Web App (OWA) ist der webbasierte E Mail Client von Microsoft 365/Exchange, der E Mail, Kalender, Kontakte und Aufgaben im Browser bereitstellt. Als Bestandteil der Microsoft 365 Suite verarbeitet OWA E Mail Inhalte, Anhänge und Kalenderdaten auf Microsoft Infrastruktur. Die DSGVO Compliance richtet sich nach dem Microsoft 365 AVV.
Outlook Web App (OWA), auch Outlook on the web genannt, ist der browserbasierte E Mail Client von Microsoft 365 und Exchange Server. Nutzer rufen E Mail, Kalender, Kontakte und Aufgaben über outlook.office.com oder einen eigenen Exchange Server auf. OWA ist Teil der Microsoft 365 Diensteplattform und teilt deren Identitäts , Telemetrie und Sicherheitsmechanismen.
OWA setzt Authentifizierungs Cookies (ESTSAUTH, AADSSO) für die Anmeldung über Azure AD/Entra ID, Anti CSRF und Sitzungs Cookies (X OWA CANARY, SignInStateCookie) sowie Telemetrie Cookies (MUID, MC1, MS0). Inhalte umfassen E Mail Texte, Anhänge, Kalendereinträge, Kontakte und Suchindizes. Microsoft sammelt zudem Diagnosedaten (Required und Optional Diagnostic Data), die per Tenant Konfiguration gesteuert werden können.
Für interne Mitarbeitenden Mailboxen ist die Rechtsgrundlage typischerweise Vertragserfüllung (Art. 6(1)(b) DSGVO) oder berechtigtes Interesse (Art. 6(1)(f)) für IT Sicherheit. Werden OWA Komponenten auf öffentlichen Websites eingebettet (z. B. Buchungs Add Ins) oder optionale Telemetrie aktiviert, greifen § 25 TTDSG und Art. 5(3) ePrivacy: dann ist eine vorherige Einwilligung notwendig.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Microsoft betreibt OWA in globalen Rechenzentren. Die EU Data Boundary speichert Kerndaten (E Mails, Kalender, Identität) für EU Kunden in der EU/EEA. Einzelne Telemetrie und Support Workflows können weiterhin in die USA übermittelt werden. Microsoft stellt Standardvertragsklauseln und das DPF (Data Privacy Framework) zur Verfügung; ergänzende Maßnahmen wie Verschlüsselung mit kundeneigenen Schlüsseln (Customer Key) sind empfehlenswert.
Schließen Sie den Microsoft AVV inklusive aktueller SCCs ab, aktivieren Sie die EU Data Boundary in Ihrem Tenant, beschränken Sie optionale Diagnosedaten auf das Nötigste und konfigurieren Sie Aufbewahrungs und Löschrichtlinien über Microsoft Purview. Ergänzen Sie Ihr Verarbeitungsverzeichnis um OWA und schulen Sie Mitarbeitende zu E Mail Klassifikation und sicherer Anhangsbehandlung.
Websites using Outlook Web App (OWA) must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird als Teil einer breiteren Microsoft 365 Bewertung empfohlen. E Mail Inhalte sind grundsätzlich sensibel. Prüfen Sie: E Mail Datenkategorien, Sensibilität von Anhängen, Kalenderfreigaben, Telemetrie und Microsoft Subunternehmer.
Sample consent text
Diese Website bindet Outlook Web App Komponenten ein. Microsoft kann Cookies setzen. Die Verarbeitung erfolgt nach dem Microsoft AVV. Sie können die Einwilligung in den Cookie Einstellungen verwalten.
Third-party domains contacted
outlook.office.comoutlook.office365.comlogin.microsoftonline.comattachments.office.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cadata | authentication | Session | OWA session cookie maintaining the webmail authenticated state. |
| ESTSAUTH | authentication | Session | Azure AD authentication token for Outlook Web App. |
| UC | functionality | 1 year | Stores Outlook user interface state preferences. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Wie Microsoft 365: MUID, ESTSAUTH, AADSSO, MC1, MS0, SignInStateCookie von login.microsoftonline.com und outlook.office.com.
Für interne Mitarbeiter E Mails nein (Vertragserfüllung). Analyse/Telemetrie Cookies können einwilligungspflichtig sein. Eingebettete OWA Komponenten auf öffentlichen Websites benötigen ePrivacy Einwilligung.
Vertragserfüllung (Art. 6(1)(b)) für Mitarbeiter E Mails. Berechtigtes Interesse für Sicherheit. Einwilligung für optionale Telemetrie.
Teil von Microsoft 365. EU Data Boundary verfügbar. AVV mit SCCs. Siehe Microsoft 365 Eintrag für Details.
Empfohlen als Teil der Microsoft 365 Bewertung. E Mails verarbeiten naturgemäß sensible personenbezogene Daten.
Microsoft AVV abschließen. Diagnosedaten konfigurieren. EU Data Boundary aktivieren. Aufbewahrungsrichtlinien per Purview setzen. Mitarbeitende schulen.
ProtonMail (Schweiz, verschlüsselt), Tutanota/Tuta (Deutschland, verschlüsselt), Posteo (Deutschland), Mailbox.org (Deutschland), Infomaniak Mail (Schweiz).
Microsoft Authentifizierungs und Telemetrie Cookies dokumentieren. Auf Microsoft AVV verweisen. Gleicher Rahmen wie Microsoft 365.