MS 365 für Bildungseinrichtungen: Datenschutz Informationen

Als Microsoft Cloud Solution Provider unterstützen wir Bildungseinrichtungen bei der datenschutzkonformen Nutzung von Microsoft 365. Auf dieser Seite finden Sie die wichtigsten offiziellen Dokumente und Informationen zum Datenschutz.

Diese Informationen stellen keine Rechtsberatung dar. Für verbindliche rechtliche Auskünfte wenden Sie sich bitte an einen spezialisierten Datenschutz-Anwalt oder Ihren Datenschutzbeauftragten.

Offizielles Microsoft Data Protection Addendum (DPA)

Das Data Protection Addendum ist der Auftragsverarbeitungsvertrag von Microsoft und regelt die Verarbeitung personenbezogener Daten gemäß DSGVO.

Direktlink zum aktuellen DPA:

Kurz-URL: aka.ms/dpa
Vollständiger Link: Microsoft DPA Download-Seite

Aktuelle Version: September 2025 (Englisch und Deutsch verfügbar), Stand: 02.12.2025

Das DPA wird automatisch Vertragsbestandteil – eine gesonderte Vereinbarung ist nicht erforderlich. Archivierte Versionen sind ebenfalls über den Link verfügbar.

Besonderheit: Appendix D für öffentliche Einrichtungen

Die Version vom September 2025 enthält erstmals einen speziellen Appendix D für öffentliche Stellen (Behörden, staatliche Schulen, Regierungsorganisationen in der EU). Microsoft verpflichtet sich darin, staatliche Anordnungen zur Abschaltung von Online-Diensten rechtlich anzufechten und die digitale Souveränität öffentlicher Einrichtungen zu stärken.

Handreichung der Datenschutzaufsichtsbehörden

Im September 2023 haben sieben deutsche Datenschutzaufsichtsbehörden eine gemeinsame Handreichung veröffentlicht, die praktische Tipps für die datenschutzkonforme Nutzung von Microsoft 365 gibt.

Download der Handreichung:

Praxis-Tipps für Verträge mit Microsoft (PDF)

Beteiligte Aufsichtsbehörden:

Niedersachsen
Nordrhein-Westfalen
Baden-Württemberg
Bayern
Bremen
Hamburg
Rheinland-Pfalz

Inhalt der Handreichung (21 Seiten):

Erforderliche vertragliche Anpassungen zum DPA
Technische und organisatorische Maßnahmen
Weisungsbindung und Offenlegung von Daten
Löschung personenbezogener Daten
Information über Unterauftragsverarbeiter
Spezielle Hinweise für Bildungseinrichtungen

Wichtiger Hinweis: Die Handreichung empfiehlt den Abschluss von Zusatzvereinbarungen mit Microsoft. Microsoft hat jedoch mitgeteilt, dass keine individuellen Zusatzvereinbarungen mit einzelnen Schulen abgeschlossen werden.

Microsoft DSGVO-Informationen

Microsoft stellt umfangreiche Informationen zur DSGVO-Konformität bereit:

Microsoft Learn – DSGVO-Seite:

learn.microsoft.com/de-de/legal/gdpr

Zu finden sind hier:

Vertragliche Zusagen von Microsoft zur DSGVO
Allgemeine Datenschutzbestimmungen der Europäischen Union
Informationen zu Auftragsverarbeitern gemäß Artikel 28 DSGVO

Aktuelle Entwicklungen für öffentliche Einrichtungen

Hessen: Erste Genehmigung für Behörden

Als erstes Bundesland hat Hessen im November 2024 die Nutzung von Microsoft 365 für Behörden und öffentliche Einrichtungen unter strengen Auflagen genehmigt. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) stellt Handlungsempfehlungen bereit, die öffentliche Stellen bei der datenschutzkonformen Implementierung unterstützen.

Weitere Informationen:

CIO.de: Hessen erlaubt Microsoft 365 für Behörden

Niedersachsen: Lösung für öffentliche Verwaltung

Das Land Niedersachsen hat im April 2024 in enger Abstimmung mit dem Landesbeauftragten für den Datenschutz eine Anpassung des DPA mit Microsoft vereinbart. Microsoft hat zugesagt, die vereinbarten datenschutzrechtlichen Regelungen auch beim Austausch mit allen anderen Kunden der öffentlichen Verwaltung in Deutschland zu berücksichtigen.

Empfehlungen für Schulen

Für öffentliche Schulen (staatliche/kommunale Trägerschaft):

DPA prüfen: Machen Sie sich mit dem aktuellen DPA vertraut (siehe oben)
Handreichung studieren: Nutzen Sie die Handreichung der Datenschutzbehörden als Orientierungshilfe
Landesentwicklungen beachten: Verfolgen Sie die Entwicklungen in Ihrem Bundesland (Hessen, Niedersachsen als Vorreiter)
Datenschutzbeauftragten einbeziehen: Sprechen Sie mit Ihrem schulischen oder kommunalen Datenschutzbeauftragten
Technische Maßnahmen umsetzen:
- Telemetrie- und Diagnosedaten minimieren
- Datenspeicherung nur in EU-Rechenzentren
- Keine privaten Microsoft-Accounts verwenden

Für private Schulen (freie Trägerschaft):

Die gleichen Empfehlungen gelten grundsätzlich auch für private Schulen. Beachten Sie jedoch, dass der spezielle Appendix D für öffentliche Einrichtungen nicht automatisch für private Träger gilt.

Datenschutz-Folgenabschätzung (DSFA)

Für den Einsatz von Microsoft 365 mit personenbezogenen Daten von Schülern und Lehrkräften ist in der Regel eine Datenschutz-Folgenabschätzung erforderlich. Diese sollte folgende Punkte umfassen:

Art und Umfang der Datenverarbeitung
Zwecke der Verarbeitung
Risiken für die Rechte und Freiheiten der Betroffenen
Geplante Abhilfemaßnahmen

Häufig gestellte Fragen (FAQ)

Benötigen wir einen separaten Vertrag mit Microsoft?

Nein, das aktuelle DPA wird automatisch Bestandteil Ihres Lizenzvertrags. Sie müssen nichts zusätzlich unterschreiben.

Was ist mit der geforderten Zusatzvereinbarung aus der Handreichung?

Microsoft hat mitgeteilt, dass keine individuellen Zusatzvereinbarungen mit einzelnen Schulen abgeschlossen werden. Die Entwicklungen in Hessen und Niedersachsen zeigen jedoch, dass auf Landesebene Lösungen möglich sind.

Gilt das DPA auch für CSP-Lizenzen?

Ja, das DPA gilt für alle kommerziellen Microsoft-Lizenzen, einschließlich der über Cloud Solution Provider (CSP) bezogenen Education-Lizenzen.

Wo werden unsere Daten gespeichert?

Microsoft speichert Kundendaten für EU-Kunden grundsätzlich in europäischen Rechenzentren (EU Data Boundary). Die EU Data Boundary umfasst seit September 2025 auch die EFTA-Staaten (Schweiz, Norwegen, Island, Liechtenstein).

Was ist mit Drittlandtransfers in die USA?

Microsoft Ireland ist der Vertragspartner für EU-Kunden und nutzt EU-Standardvertragsklauseln für eventuelle Drittlandtransfers. Ein Transfer Impact Assessment (TIA) liegt vor und kann im Microsoft Service Trust Portal eingesehen werden.

Service Trust Portal

Für detaillierte technische Informationen, Compliance-Berichte und das Transfer Impact Assessment (TIA) steht das Microsoft Service Trust Portal zur Verfügung:

Service Trust Portal:

servicetrust.microsoft.com

Nach Anmeldung mit Ihren Microsoft 365-Zugangsdaten finden Sie dort:

Compliance-Zertifizierungen (ISO 27001, ISO 27018, etc.)
Auditberichte
Transfer Impact Assessment (unter DSGVO)
Weitere Datenschutzdokumente

Weitere Ressourcen

Microsoft Datenschutz für Bildung:

Microsoft Education – Cybersecurity

Datenschutzkonferenz (DSK):

Beschluss zu Microsoft 365 vom November 2022

Rechtliche Hinweise

Informationscharakter:
Diese Seite stellt lediglich eine Zusammenstellung öffentlich verfügbarer Informationen und Dokumente zum Datenschutz bei Microsoft 365 dar. Die Informationen dienen als erste Orientierungshilfe und ersetzen keine individuelle Rechtsberatung.

Keine Haftung:
CERTNET GmbH übernimmt keine Haftung für die Richtigkeit, Aktualität oder Vollständigkeit der bereitgestellten Informationen. Dies gilt insbesondere für: – Änderungen in der Rechtsprechung oder Gesetzgebung – Aktualisierungen des Microsoft Data Protection Addendum – Neue Bewertungen durch Datenschutzaufsichtsbehörden – Inhalte verlinkter externer Websites

Verantwortlichkeit der Bildungseinrichtungen:
Gemäß Art. 24 DSGVO ist jede Bildungseinrichtung als Verantwortlicher selbst dafür zuständig, die Einhaltung der datenschutzrechtlichen Grundsätze nachzuweisen. Die hier bereitgestellten Informationen entbinden nicht von dieser Pflicht zur eigenverantwortlichen Prüfung und Dokumentation.

Beratungsempfehlung:
Wir empfehlen dringend, vor der Implementierung von Microsoft 365 – Ihren behördlichen oder betrieblichen Datenschutzbeauftragten – die zuständige Datenschutzaufsichtsbehörde Ihres Bundeslandes – einen spezialisierten Fachanwalt für Datenschutzrecht zu konsultieren.

Stand: Dezember 2024 | Änderungen vorbehalten