Wenn Datenschutz zur Glaubenssache wird: Hessens fragwürdiger Microsoft-Deal

 Gepostet am November 18, 2025  |  11 Minuten  |  2181 Wörter  |  Stefan Fahl
Code

Wenn Datenschutz zur Glaubenssache wird: Hessens fragwürdiger Microsoft-Deal

 Gepostet am November 18, 2025  |  11 Minuten  |  2181 Wörter  |  Stefan Fahl

Am 15. November 2025 verkündete Alexander Roßnagel, Hessens Beauftragter für Datenschutz und Informationsfreiheit, eine Entscheidung, die vielen wie ein verspäteter Aprilscherz vorkommen dürfte: Microsoft 365 sei nun datenschutzkonform nutzbar. Nach monatelangen Verhandlungen mit dem Konzern aus Redmond habe man die Grundsatzfragen des Datenschutzes zufriedenstellend gelöst. Das klingt zunächst beruhigend – bis man erfährt, was genau untersucht wurde. Oder besser: was nicht untersucht wurde.

Die Prüfung, die keine war

Roßnagels Behörde hat Microsoft 365 niemals technisch geprüft. Nicht ein einziges Mal. Die Software, die in Tausenden Behörden und Unternehmen sensible Daten verarbeiten soll, wurde nicht auf ihre tatsächlichen Datenflüsse analysiert. Niemand hat nachgesehen, welche Informationen wo landen, welche Telemetriedaten gesammelt werden, welche Verbindungen zu welchen Servern bestehen. Als heise online nachfragte, antwortete Roßnagel erstaunlich offen: „Dazu sind wir personell überhaupt nicht in der Lage."

Lesen Sie diesen Satz nochmal. Eine Datenschutzbehörde erklärt eine Cloud-Software für rechtskonform, obwohl sie personell nicht in der Lage ist, diese Software zu prüfen. Das ist ungefähr so, als würde ein TÜV-Prüfer ein Auto durchwinken, weil der Hersteller versichert hat, die Bremsen funktionierten einwandfrei – eine Inspektion selbst sei leider nicht möglich, aber die Grundsatzfragen seien ja geklärt.

Was Roßnagel als „Lösung der Grundsatzfragen" bezeichnet, bestand aus etwa einem Dutzend Treffen mit Microsoft-Vertretern. Man hat geredet. Verhandelt. Dokumente ausgetauscht. Microsoft hat Zusicherungen gemacht, neue Verträge vorgelegt, ein 120-seitiges M365-Kit mit Mustervorlagen erstellt. All das mag juristisch relevant sein – aber es ersetzt keine unabhängige technische Analyse.

Was 2022 noch undenkbar war

Die Ironie der Geschichte: Noch vor drei Jahren sah die Welt ganz anders aus. Im November 2022 kam die Datenschutzkonferenz (DSK), das Gremium aller deutschen Datenschutzbeauftragten, zu einem vernichtenden Urteil. Nach 14 mehrstündigen Sitzungen mit Microsoft-Vertretern stellte die DSK fest: Ein datenschutzkonformer Betrieb von Microsoft 365 sei auf Basis des damaligen Datenschutznachtrags nicht nachweisbar.

Die DSK listete sieben konkrete Probleme auf. Microsoft verarbeite Kundendaten für eigene Zwecke, ohne dies ausreichend transparent zu machen. Die Art und der Zweck der Datenverarbeitung seien unklar. Die Löschung personenbezogener Daten sei nicht nachvollziehbar. Daten würden unzulässig in die USA übermittelt. Die Liste war lang und detailliert – das Ergebnis jahrelanger Bemühungen, Microsoft zur Kooperation zu bewegen.

Was hat sich seitdem geändert? Microsoft hat seine Verträge überarbeitet, zusätzliche Dokumente bereitgestellt, Erklärungen nachgereicht. Das US Data Privacy Framework wurde verabschiedet, ein neues Datenschutzabkommen zwischen der EU und den USA. Microsoft betont nun, Daten weitgehend in Europa zu verarbeiten. Klingt gut – aber wurde es überprüft? Nein.

Die Kunst der Verantwortungsdelegation

Microsofts Strategie ist clever. Anstatt die Software von vornherein datenschutzkonform zu gestalten, überlässt man die Verantwortung den Kunden. Im M365-Kit finden sich Vorlagen für Datenschutz-Folgenabschätzungen, Muster für Verarbeitungsverzeichnisse, Anleitungen für Konfigurationen. Die Botschaft ist klar: Wer Microsoft 365 datenschutzkonform nutzen will, muss selbst dafür sorgen.

Das Problem: Die meisten Behörden und Unternehmen sind damit hoffnungslos überfordert. Wenn schon die Datenschutzbehörde eines Bundeslandes nicht die Kapazität hat, Microsoft 365 technisch zu prüfen – wie sollen das dann einzelne Schulen, Kommunalverwaltungen oder mittelständische Unternehmen schaffen? Die Antwort ist einfach: Sie können es nicht. Sie verlassen sich darauf, was Microsoft in seinen Dokumenten verspricht, und hoffen, dass sie die richtigen Einstellungen gewählt haben.

Roßnagel betont, die richtigen Konfigurationen seien entscheidend. Sein 120-seitiges Gutachten soll dabei helfen. Doch wer garantiert, dass diese Konfigurationen auch dauerhaft eingehalten werden? Wer überprüft, ob Updates die Einstellungen verändern? Wer kontrolliert, ob Microsoft seine Versprechen einhält? Die Antwort ist ernüchternd: niemand. Die Behörde hat ja bereits eingeräumt, dazu personell nicht in der Lage zu sein.

Das ungelöste Problem: Der CLOUD Act

Ein fundamentales Problem wird in der gesamten Diskussion konsequent ausgeblendet: der US CLOUD Act. Dieses Gesetz verpflichtet US-Unternehmen, auf Anordnung amerikanischer Behörden Zugang zu Daten zu gewähren – unabhängig davon, wo diese Daten physisch gespeichert sind. Microsofts Zusicherung, Daten würden nun in Europa verarbeitet, ändert daran nichts.

Ein Microsoft-Manager räumte vor kurzem in Frankreich ein, dass Microsoft einen Zugriff durch US-Behörden nicht verhindern kann. Diese Aussage ist bemerkenswert ehrlich – und entlarvend. Alle vertraglichen Zusicherungen, alle Datenschutzabkommen sind nichts wert, wenn ein US-Gericht Microsoft zur Herausgabe zwingt.

Das EU-US Data Privacy Framework, auf das sich Roßnagel beruft, steht bereits unter Beschuss. Max Schrems, der Datenschutzaktivist, der bereits zwei Vorgängerabkommen zu Fall gebracht hat, arbeitet an Schrems III. Die Probleme, die der Europäische Gerichtshof in seinen bisherigen Urteilen festgestellt hat – unverhältnismäßige Zugriffsrechte für US-Geheimdienste, fehlender Rechtsschutz für EU-Bürger – bestehen im Kern weiter fort.

Personalmangel als Ausrede

Besonders bemerkenswert ist die Begründung für die fehlende technische Prüfung. Roßnagel erklärt freimütig, seine Behörde sei personell nicht in der Lage, Cloud-Dienste zu analysieren. Das mag stimmen – aber es ist keine Rechtfertigung, die Software trotzdem für konform zu erklären. Es ist das Eingeständnis, dass die Aufsicht ihrer Aufgabe nicht nachkommen kann.

Wenn eine Kontrollbehörde nicht mehr kontrollieren kann, hat sie ein grundsätzliches Problem. Die Lösung kann nicht sein, auf Kontrolle zu verzichten und sich stattdessen auf Gespräche mit dem zu Kontrollierenden zu verlassen. Das widerspricht dem Prinzip unabhängiger Aufsicht. Eine Behörde, die nicht prüfen kann, darf nicht abnicken. Sie muss entweder Ressourcen fordern, um ihrer Aufgabe nachzukommen – oder deutlich machen, dass eine abschließende Bewertung ohne technische Analyse unmöglich ist.

Stattdessen sendet Hessen ein fatales Signal: Wer groß und komplex genug ist, entzieht sich faktisch der Kontrolle. Microsoft ist kein kleiner Anbieter, dessen Produkte man mal eben durchleuchten kann. Die Cloud-Dienste sind riesig, intransparent, ständig im Wandel. Eine Behörde, die zugibt, damit überfordert zu sein, sollte besonders vorsichtig sein – nicht besonders großzügig.

Die Alternativen, die keiner will

Das Tragische: Es gibt Alternativen. OpenDesk, eine quelloffene, europäische Plattform, steht bereit. Entwickelt vom Zentrum für Digitale Souveränität, kombiniert sie bewährte Open-Source-Tools zu einer funktionsfähigen Office-Suite. Die Bundesregierung hat rund 45 Millionen Euro in die Entwicklung investiert. Seit Oktober 2024 ist Version 1.0 verfügbar.

Der Internationale Strafgerichtshof in Den Haag hat angekündigt, Microsoft zu verlassen. Die Bundeswehr, das Robert Koch-Institut, zahlreiche Kommunen setzen auf OpenDesk. Die Software funktioniert, sie ist überprüfbar, sie unterliegt keinem US-Gesetz. Daten können auf eigenen Servern liegen, unter deutscher Rechtsprechung, ohne Umwege über den Atlantik.

Doch OpenDesk hat einen entscheidenden Nachteil: Es ist nicht Microsoft. Es erfordert Umstellung, Schulung, Mut. Und genau daran mangelt es. Die Trägheit des Systems ist enorm. Microsoft ist bekannt, ist etabliert, ist bequem. Warum etwas Neues wagen, wenn der Datenschutzbeauftragte grünes Licht gibt?

Roßnagel erwähnt in seinem Bericht am Rande, es sei durchaus sinnvoll, die Abhängigkeit von einzelnen Anbietern zu reduzieren. Diese Formulierung ist bemerkenswert vorsichtig für jemanden, der gerade eine Software abgesegnet hat, die genau diese Abhängigkeit zementiert. Wer einmal auf Microsoft 365 setzt, kommt so leicht nicht mehr raus. Die Daten, die Workflows, die Gewohnheiten – alles ist auf das Microsoft-Ökosystem ausgerichtet.

Andere Bundesländer, ähnliche Probleme

Hessen steht nicht allein. In fast allen Bundesländern gibt es ähnliche Diskussionen. Bayern plant, fast eine Milliarde Euro über fünf Jahre in Microsoft-Cloud und Microsoft-Produkte zu investieren. Nordrhein-Westfalen duldet Microsoft 365 an Schulen, obwohl die Datenschutzbeauftragte kritisch bleibt. Hamburg plant Tausende Verwaltungsarbeitsplätze mit der Microsoft-Suite auszustatten.

Nur Schleswig-Holstein geht einen anderen Weg. Das nördlichste Bundesland hat begonnen, von Microsoft Office auf LibreOffice umzusteigen. Eine bewusste Entscheidung für digitale Souveränität, gegen Abhängigkeit. Die Umstellung ist aufwändig, keine Frage. Aber sie zeigt, dass es möglich ist.

Die entscheidende Frage ist: Warum tun es nicht mehr? Warum akzeptieren Behörden und Verwaltungen eine Situation, in der sie ihre IT-Infrastruktur einem US-Konzern anvertrauen, der US-Gesetzen unterliegt, dessen Datenverarbeitung niemand wirklich kontrollieren kann, dessen Geschäftsmodell auf der Sammlung und Auswertung von Nutzerdaten basiert?

Die Kosten des Wegsehens

Die wirtschaftliche Rechnung ist eindeutig. Microsoft 365 kostet – je nach Lizenzmodell und Funktionsumfang – zwischen wenigen Euro pro Nutzer und Monat für einfache Versionen bis zu 30-40 Euro für Enterprise-Lizenzen. Bei Tausenden von Nutzern summieren sich diese Beträge schnell. Jahr für Jahr. Geld, das aus Deutschland abfließt. Geld, das in amerikanische Konzernkassen fließt, statt europäische Alternativen zu finanzieren.

Zum Vergleich: Die 45 Millionen Euro, die in OpenDesk investiert wurden, wären bei flächendeckendem Einsatz schnell wieder eingespielt. Eine einmalige Investition statt jährlicher Lizenzgebühren. Quelloffener Code statt proprietärer Blackbox. Europäische Kontrolle statt US-Rechtsprechung.

Doch die versteckten Kosten gehen weit über Lizenzgebühren hinaus. Wer auf Microsoft 365 setzt, begibt sich in Abhängigkeit. Die Software wird ständig weiterentwickelt, Funktionen kommen und gehen, Preismodelle ändern sich. Microsoft entscheidet, welche Features verfügbar sind, welche Daten gesammelt werden, wie lange Daten vorgehalten werden. Kunden können verhandeln, bitten, hoffen – aber am Ende entscheidet der Konzern.

Diese Art von Abhängigkeit ist bei kritischer Infrastruktur inakzeptabel. Niemand würde auf die Idee kommen, die Wasserversorgung, die Stromnetze oder die Verkehrsinfrastruktur einem ausländischen Privatunternehmen zu überlassen, dessen Geschäftsmodell undurchsichtig ist. Warum akzeptieren wir es bei der digitalen Infrastruktur?

Die EU-Kommission und das große Schweigen

Interessanterweise ist Hessen nicht der einzige Fall fragwürdiger Microsoft-Freundlichkeit. Im März 2024 stellte der Europäische Datenschutzbeauftragte fest, dass die EU-Kommission selbst bei der Nutzung von Microsoft 365 gegen die DSGVO verstößt. Der Kommission wurde eine Frist bis Dezember 2024 gesetzt, die Probleme zu beheben.

Nach intensiven Verhandlungen wurde das Verfahren im Juli 2025 eingestellt. Die EU-Kommission hatte nachgebessert – zumindest auf dem Papier. Microsoft verpflichtete sich, personenbezogene Daten der Kommission nur dann weiterzugeben, wenn es EU- oder nationales Recht erlaubt. Klingt gut. Bleibt die Frage: Wie soll das technisch durchgesetzt werden? Wie verhindert Microsoft den Zugriff, wenn ein US-Gericht es anordnet?

Die Antwort bleibt man schuldig. Stattdessen erklärt man das Problem für gelöst und macht weiter wie bisher. Die Stiftung Datenschutz thematisiert in ihren Veranstaltungen regelmäßig die Frage: Ist die Kritik an Microsoft 365 berechtigt oder überzogen? Die Antwort müsste eigentlich klar sein – doch in der Praxis siegt der Pragmatismus über den Datenschutz.

Was jetzt zu tun ist

Die hessische Entscheidung ist ein Weckruf. Sie zeigt, dass Datenschutzbehörden am Limit operieren, dass die Ressourcen fehlen, um ihrer Aufgabe nachzukommen, dass der politische Wille fehlt, echte Alternativen durchzusetzen. Doch Resignation ist keine Option. Es gibt drei Wege, wie Datenschutz mehr sein kann als eine Papiertiger-Veranstaltung:

Erstens: Ressourcen bereitstellen. Datenschutzbehörden müssen in die Lage versetzt werden, ihrer Aufgabe nachzukommen. Wenn das Personal fehlt, um Cloud-Dienste technisch zu prüfen, muss Personal eingestellt werden. Datenschutz ist kein Luxus, sondern ein Grundrecht. Eine Behörde, die nicht prüfen kann, darf nicht prüfen lassen.

Zweitens: Rechtsdurchsetzung unterstützen. Organisationen wie NOYB leisten wichtige Arbeit, indem sie Datenschutzverstöße gerichtlich verfolgen. Max Schrems hat mit seinen Klagen bereits zwei Datenschutzabkommen zu Fall gebracht. Diese Arbeit braucht Unterstützung – finanziell und politisch.

Drittens: Alternativen fördern. OpenDesk und andere Open-Source-Lösungen müssen flächendeckend ausgerollt werden. Behörden, die umsteigen wollen, brauchen Unterstützung: Schulungen, technischen Support, Best Practices. Nur wenn Alternativen nicht nur existieren, sondern auch einfach nutzbar sind, werden sie akzeptiert.

Darüber hinaus brauchen wir eine gesellschaftliche Debatte über digitale Souveränität. Wir müssen uns fragen, ob wir bereit sind, die Kontrolle über unsere digitale Infrastruktur an US-Konzerne abzugeben. Ob wir akzeptieren, dass amerikanische Gesetze über europäische Daten bestimmen. Ob wir uns in Abhängigkeiten begeben, die wir in anderen Bereichen niemals akzeptieren würden.

Fazit: Wenn Aufsicht zur Farce wird

Die hessische Entscheidung ist mehr als ein bedauerlicher Einzelfall. Sie ist symptomatisch für ein systemisches Problem: Datenschutzbehörden, die ihrer Aufgabe nicht nachkommen können. Konzerne, die ihre Marktmacht ausspielen. Eine Politik, die den Weg des geringsten Widerstands geht. Das Ergebnis ist ein Datenschutz, der nur auf dem Papier existiert.

Eine Aufsichtsbehörde, die eine Software für konform erklärt, ohne sie je technisch geprüft zu haben, ist keine Aufsichtsbehörde mehr. Sie ist zur Verhandlungspartnerin geworden, abhängig vom guten Willen des Konzerns, den sie eigentlich kontrollieren sollte. Das ist keine unabhängige Kontrolle. Das ist Kapitulation.

Alexander Roßnagel mag ein integrer Jurist sein, der in guter Absicht handelt. Doch sein Gutachten löst keine Probleme – es verschleiert sie. Es suggeriert Rechtssicherheit, wo keine ist. Es verspricht Datenschutz, ohne ihn technisch nachgewiesen zu haben. Es delegiert Verantwortung an Behörden und Unternehmen, die damit überfordert sind.

Die Betroffenen – Bürger, Patienten, Schüler, alle, deren Daten in Microsoft 365 landen – bleiben ungeschützt. Sie müssen darauf vertrauen, dass Microsoft seine Versprechen einhält. Dass die richtigen Einstellungen gewählt wurden. Dass keine Updates die Konfigurationen verändern. Dass US-Behörden nicht zugreifen. Dass alles gut geht.

Das ist kein Datenschutz. Das ist Glaubenssache. Und Glaube hat in einer Rechtsordnung, die sich auf überprüfbare Fakten stützen sollte, nichts verloren.

Quellen und weiterführende Links:

Microsoft 365  Datenschutz  DSGVO  Hessen  Datenschutzbehörde  Digitale Souveränität 

Siehe auch