Der Einsatz von Microsoft 365 in kleinen und mittleren Unternehmen (KMU) ist ein kontrovers diskutiertes Thema – insbesondere mit Blick auf den Datenschutz und die DSGVO. Während Aufsichtsbehörden Bedenken äußern, sehen viele Unternehmen darin eine moderne und sichere Lösung für ihre IT. In diesem Beitrag zeige ich, warum Microsoft 365 gerade für KMU eine pragmatische und datenschutzgerechte Option sein kann – wenn man weiß, worauf es ankommt.
Cloud vs. On-Premise: Die Realität in kleinen Unternehmen
In vielen KMU sieht die IT-Struktur oft gruselig aus. Der sprichwörtliche „Server unter dem Schreibtisch der Sekretärin“ ist leider keine Ausnahme, sondern oft Realität. Staub, fehlende Klimatisierung, kein Zugriffsschutz, keine USV, veraltete Backup-Lösungen, Dazu kommen weitere Risiken wie schwache physische Sicherheit, unzureichende Wartung, fehlende Notfallkonzepte uvm. Das habe ich in knapp zwei Jahrzehnten als Inhaber eines IT-Systemhauses quasi täglich erlebt.
Dem gegenüber stehen moderne Cloud-Dienste wie Microsoft 365: hochverfügbare Rechenzentren mit professioneller Absicherung, georedundant, zertifiziert, kontinuierlich gewartet. Für KMU, die nicht selbst in solche Infrastrukturen investieren können oder wollen, bedeutet das einen echten Sicherheitsgewinn.
Die Cloud ist in also in vielen Fällen die professionellere – und sicherere – Lösung.
Vorteile der Microsoft-Rechenzentren im Mittelstand
Microsoft betreibt weltweit Rechenzentren mit höchsten Sicherheitsstandards, auch in der EU. Für kleine Unternehmen bedeutet das: Zugriff auf professionelle Infrastruktur ohne eigene Investitionen. Und mit modernen Verwaltungs- und Sicherheitsfunktionen (z. B. Conditional Access, Multi-Faktor-Authentifizierung) lässt sich das Datenschutzniveau zusätzlich anheben.
Ein vergleichbares Sicherheitsniveau mit eigener IT im Haus dürfte für KMU weder finanziell noch personell darstellbar sein.
Datenschutz und Telemetriedaten: Die Position der Aufsichtsbehörden
Ein häufiger Kritikpunkt: die Erhebung von Telemetriedaten. Tatsächlich sammelt Microsoft auch bei Microsoft 365 Daten über die Nutzung der Software – in erster Linie zur Verbesserung der Dienste. Die Datenschutzkonferenz (DSK) kam 2022 zu dem Schluss, dass Microsoft 365 nicht DSGVO-konform einsetzbar sei – insbesondere wegen unklarer Datenverarbeitung und möglicher Übermittlungen in Drittländer.
Wichtig zu wissen: Auch klassische On-Premise-Installationen wie Windows Server oder Exchange senden Daten an Microsoft – sei es zur Aktivierung, für Updates oder zur Lizenzüberprüfung. Die Vorstellung, dass On-Premise automatisch „offline“ bedeutet, ist längst überholt. Wer auf Microsoft setzt, hat diese Verbindung so oder so.
Microsoft 365 datenschutzkonform nutzen: Was in der Praxis möglich ist
Entgegen der DSK sind wir der Meinung, das ein datenschutzkonformer – zumindest ein datenschutzfreundlicher – Einsatz von Microsoft 365 prinzipiell möglich ist. Er setzt jedoch fundierte Vorbereitung voraus:
- Abschluss eines AV-Vertrags mit Microsoft
gezielte Konfiguration der Dienste (z. B. Telemetriedaten minimieren) - Einsatz von Compliance-Features (z. B. DLP, Sensitivity Labels)
- Datenschutz-Folgenabschätzung (DSFA)
Welche Tools helfen beim Datenschutz mit Microsoft 365?
Microsoft stellt mittlerweile zahlreiche Funktionen und umfangreiche Dokumentationen zur Verfügung, die bei der datenschutzkonformen Nutzung helfen können: Audit-Logs, eDiscovery, Verschlüsselung auf Nutzerebene uvm.
Das Microsoft Compliance Center ist eine gute Anlaufstelle für Infos.
Auch Drittanbietertools können sinnvoll sein – etwa zur Analyse von Datenflüssen oder zur Ergänzung von Löschkonzepten.
Digitale Souveränität oder pragmatische Sicherheit?
Natürlich ist die Frage nach digitaler Souveränität berechtigt. Das die zentralen Tools im Unternehmen von den großen US-Konzernen kommen, ist sicher nicht ganz unproblematisch. Aber das geht ja schon beim Windows-Betriebssystem oder den Handys los.
Wer maximale Unabhängigkeit will, müsste auf Open-Source-Lösungen und eigene Infrastruktur setzen. Doch das ist für die meisten KMU schlicht unrealistisch. Und selbst dann bleibt immer ein Rest an Abhängigkeit – etwa durch Sicherheitsupdates oder externe Dienstleister.
Für viele Unternehmen ist es sinnvoller, sich auf pragmatische Sicherheit zu konzentrieren: ein hohes Maß an Datenschutz und IT-Sicherheit durch bewusste Nutzung von Microsoft 365 – anstatt einer Scheinsouveränität mit einem Server im Besenschrank.
Fazit: Microsoft 365 ist kein Datenschutz-No-Go, sondern eine Chance - wenn man's richtig macht.
Als Datenschutzberater mit einem Blick für die Realität im KMU-Alltag sage ich ganz klar: Perfektion gibt es nicht – weder On-Premise noch in der Cloud. Ja, es gibt offene datenschutzrechtliche Fragen bei M365, insbesondere im Hinblick auf Telemetrie und Datenübermittlung. Aber: Diese betreffen auch klassische On-Premise-Lösungen.
Natürlich haben wir immer die datenschutzrechtlichen Anforderungen im Blick, aber unser Ziel als Berater ist nicht starres Schwarz-Weiß-Denken. Wir sind pragmatisch genug, und wissen, welche Lösungen bei Unternehmen gefordert werden und empfehlen die Variante, die technisch und wirtschaftlich sinnvoll ist. Dann helfen wir unseren Kunden gerne bei der datenschutzfreundlichen Ausgestaltung.
Wenn wir also die Wahl haben zwischen einem unsicheren selbst zusammengeschraubten Server in der hintersten Ecke des Putzmittelraums und einer professionell betriebenen Cloud-Infrastruktur, dann ist die Entscheidung eindeutig.
Und frühzeitig die oder den DSB in einem solchen Projekt mit einzubeziehen, ist grundsätzlich immer eine gute Idee 😉
