Microsoft 365 und Datenschutz: Formal compliant – aber nicht automatisch gesetzeskonform

Entscheidung der EU-Kommission: Formal compliant – aber mit Grenzen 

Die Entscheidung der Europäischen Kommission, ihr Verfahren gegen Microsoft 365 einzustellen, sorgt für Diskussionen. Offiziell gilt: Microsoft erfüllt die datenschutzrechtlichen Anforderungen der EU. Doch dieser Befund gilt ausschliesslich für Microsoft selbst – nicht automatisch für Unternehmen und Kanzleien, die Microsoft 365 einsetzen. 

Was die EU-Kommission beschlossen hat 

Nach jahrelangen Untersuchungen erklärte der EU-Datenschutzbeauftragte Wojciech Wiewiórowski am 11. Juli 2025, dass die Kommission nun die Anforderungen der Datenschutz-Grundverordnung (DSGVO) einhält. Grundlage waren Nachbesserungen in den Verträgen mit Microsoft sowie die Umsetzung der sogenannten EU Data Boundary. Damit sollen Datenübermittlungen in Drittländer stark eingeschränkt und die Kontrolle über Behördenanfragen verbessert werden. 

Für die EU-Kommission bedeutet das: Sie kann Microsoft 365 weiterhin nutzen – unter den strengen Rahmenbedingungen, die sie selbst verhandelt hat. 

Für Schweizer Unternehmen hat diese Entscheidung keine direkte rechtliche Wirkung. Sie zeigt jedoch, welche Standards europäische Aufsichtsbehörden an Cloud-Dienste wie Microsoft 365 stellen – und diese gelten auch als Best Practice für den datenschutzkonformen Einsatz nach dem revidierten Datenschutzgesetz (revDSG). 

Die übersehene Wahrheit: Compliance ist Sache der Anwender 

Was in der öffentlichen Diskussion oft übersehen wird: Die Entscheidung bedeutet nicht, dass Microsoft 365 automatisch datenschutzkonform nach DSGVO oder revDSG ist. Entscheidend ist die konkrete Umsetzung im Unternehmen. 

Jede Organisation bleibt verpflichtet, ihre Microsoft-365-Umgebung so zu konfigurieren, dass sie den rechtlichen Anforderungen des revDSG – und bei grenzüberschreitender Tätigkeit gegebenenfalls auch der DSGVO – entspricht. 

Typische Stolperfallen bei Microsoft 365 

Gerade in der Praxis zeigen sich zahlreiche Risiken: 

• Standardkonfigurationen sind nicht automatisch datenschutzkonform – viele Einstellungen zur Datenweitergabe oder Telemetrie müssen angepasst werden, um den Anforderungen des revDSG (und gegebenenfalls der DSGVO) zu entsprechen. 

• Internationale Datenübermittlungen müssen individuell geprüft und abgesichert werden. 

• Dokumentations- und Nachweispflichten gelten weiterhin für jedes Unternehmen. 

• Berufsrechtliche Anforderungen wie Verschwiegenheitspflichten und besondere Vertraulichkeit bei Mandantendaten sind zusätzlich einzuhalten. 

Kurz gesagt: Microsoft liefert die Plattform – die Verantwortung für Compliance liegt bei den Nutzern. 

Für Schweizer Organisationen gilt zudem die Pflicht, beim Einsatz ausländischer Cloud-Dienste die Datenübermittlung ins Ausland (Art. 16 ff. revDSG) zu prüfen und gegebenenfalls zusätzliche Garantien – etwa Standardvertragsklauseln oder Angemessenheitsbeschlüsse – zu vereinbaren. 

Compliance365: Praktische Lösung für Unternehmen und Kanzleien 

Gerade für Steuerberater, Treuhänder und Wirtschaftsprüfer, die täglich mit sensiblen Mandantendaten arbeiten, ist ein datenschutzkonformer Einsatz von Microsoft 365 unverzichtbar. Neben der technischen Konfiguration gehört dazu auch eine lückenlose Dokumentation, die bei einer Prüfung durch Datenschutzaufsichtsbehörden oder den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorgelegt werden kann. 

Wer hier auf eine strukturierte Begleitung setzt, stellt sicher, dass Microsoft 365 nicht nur formal compliant ist, sondern auch die hohen Anforderungen der Praxis erfüllt – revisionssicher, nachvollziehbar und zukunftsfest. 

Genau hier setzt Data Security mit Compliance365 an. Unsere Experten unterstützen Sie dabei, Microsoft 365 so zu implementieren, dass: 

✅ die Konfiguration datenschutzkonform nach revDSG (und falls erforderlich DSGVO) ist, 
✅ die aktuellen EU- und Schweizer Datenschutzanforderungen berücksichtigt werden, 
✅ alle Massnahmen dokumentiert und prüfbar sind. 

Damit wird Microsoft 365 nicht nur formal, sondern auch in der Praxis datenschutzkonform nutzbar – sicher, zukunftsfest und auditiert. 

➡️ Mehr zu Compliance365 

Fazit 

Die Entscheidung der EU-Kommission ist ein wichtiges Signal, dass Microsoft bei Datenschutzfragen nachgebessert hat. Für Unternehmen gilt jedoch: Die Verantwortung bleibt beim Anwender. 

Wer Microsoft 365 nutzt, muss die Plattform aktiv anpassen und absichern, um die Vorgaben des revidierten Datenschutzgesetzes (revDSG) zu erfüllen. 

Unser Tipp: 
Setzen Sie auf eine geprüfte, praxisnahe Lösung wie Compliance365 – damit Ihre Microsoft-365-Nutzung nicht nur formal, sondern wirklich datenschutzkonform nach Schweizer Recht ist. 

Quellen:

1. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) 
   https://www.edoeb.admin.ch 

1. Bundesgesetz über den Datenschutz (revDSG) 
   https://www.fedlex.admin.ch/eli/cc/2022/491/de 

1. Europäische Kommission – Stellungnahme zum Datenschutz bei Microsoft 365 
   https://ec.europa.eu