AVV mit Microsoft 365: Pflicht-Anpassungen 2026
TL;DR
- Microsoft Standard-DPA reicht NICHT für DSGVO-Compliance — 6 Pflicht-Anpassungen erforderlich
- EU Data Boundary aktivieren (seit 02/2024) — alle Daten + Telemetrie in EU
- Copilot-Tenant-Isolation: Sensitive Labels + Rollen-Beschränkung
- ~150 US-Sub-Verarbeiter in eigenem AVV-Anhang dokumentieren + DPF-Annex
- Right-to-Audit + Telemetrie-Reduktion auf „Required" + SOC-2-Validierung
Hauptartikel: Hauptartikel: AVV-Vorlage Art. 28 DSGVO — der vollständige Pillar-Artikel zum Thema.
1. Warum der Microsoft-Standard-AVV nicht reicht
Das Microsoft Online Services Data Protection Addendum deckt die Kern-Pflichten aus Art. 28 DSGVO ab, lässt aber sechs Konfigurations- und Vertrags-Lücken offen. Jede Lücke muss in eigenen Anhängen und operativen Settings geschlossen werden, bevor der AVV als audit-ready gelten kann. KMU sollten den Standard-AVV als Ausgangspunkt behandeln, nicht als fertigen Vertrag.
2. EU Data Boundary aktivieren
Microsoft EU Data Boundary (live seit 02/2024) hält Kundendaten und den Großteil der Telemetrie innerhalb der EU-Rechenzentren. Aktivierung über das Microsoft-365-Admin-Center als Tenant-Setting, Aktivierungs-Datum im Verzeichnis der Verarbeitungstätigkeiten dokumentieren. Ohne diesen Schritt fließen Daten weiterhin in US-Regionen für Support und Diagnostik.
3. Copilot-Tenant-Isolation durchsetzen
Copilot kann auf alle Tenant-Daten zugreifen, sofern keine Einschränkungen bestehen. Sensitive Labels für personenbezogene Daten setzen, Copilot-Zugang nach Rollen einschränken, breites Indexieren von HR- oder Finance-Shares deaktivieren. Die Labeling-Policy als Teil des TOM-Katalogs dokumentieren.
4. US-Sub-Verarbeiter dokumentieren + DPF-Status
Microsoft nutzt etwa 150 US-Sub-Verarbeiter. Einen aktuellen Anhang mit jedem Sub-Verarbeiter pflegen, monatlich aus dem Trust Center aktualisieren. Microsoft ist DPF-zertifiziert, ein Transfer Impact Assessment (TIA)-Anhang bleibt aber empfohlen — der EDSA hat im März 2026 bestätigt, dass Verantwortliche Prüfpflichten auch unter einem Angemessenheits-Beschluss behalten.
5. Right-to-Audit-Klausel erweitern
Microsoft erlaubt nur SOC-2-Bericht-Einsicht statt Vor-Ort-Audits. Entweder die Einschränkung schriftlich mit dokumentierter Begründung akzeptieren oder den AVV mit einer ISO-27001-Zertifikats-Validierungsklausel ergänzen. Aufsichtsbehörden akzeptieren beide Ansätze, wenn die Wahl dokumentiert ist.
6. Telemetrie auf 'Required' beschränken
Die Standard-Diagnostic-Data-Stufe von Microsoft überträgt Datei-Metadaten in die USA (bekanntes Thema aus dem LG-München-Verfahren). Telemetrie auf die Stufe 'Required' via Gruppenrichtlinie oder Intem auf allen Endpunkten beschränken und die Konfiguration im TOM-Konzept dokumentieren.
7. Review-Zyklus + Versionskontrolle
Der AVV bleibt gültig bis zur Beendigung des Hauptvertrages, doch Microsoft aktualisiert die Bedingungen periodisch. Die AVV-Version vierteljährlich im Microsoft Trust Center prüfen, Version und Datum in der Compliance-Doku protokollieren und das Verzeichnis der Verarbeitungstätigkeiten anpassen, sobald sich Sub-Verarbeiter-Kategorien wesentlich ändern.
Zusammenfassung
Der Microsoft-365-AVV ist DSGVO-tauglich nur nach sechs Anpassungen: EU Data Boundary, Copilot-Isolation, Sub-Verarbeiter-Anhang, DPF/TIA-Nachweis, erweiterte Right-to-Audit und Telemetrie-Beschränkung. Jede dieser Maßnahmen ist ein konfigurierbarer Kontrollpunkt, keine zu ignorierende Vertragsklausel. Plan B (EU-Alternativen) im Test-Modus laufen lassen für den Fall eines DPF-Kippens.
Häufig gestellte Fragen
MS-Standard-AVV reicht für DSGVO-Compliance?
Nein, reicht nicht. Der Microsoft-Standard-AVV deckt die Kern-Pflichten aus Art. 28 DSGVO ab, lässt aber 6 kritische Punkte offen: EU Data Boundary muss aktiv konfiguriert werden, DPF-Garantie für US-Sub-Verarbeiter braucht eigenes Annex, Copilot-Tenant-Isolation ist Pflicht (sonst kann Copilot auf alle Tenant-Daten zugreifen), Telemetrie-Konfiguration auf 'Required' beschränken, Sub-Verarbeiter-Liste mit ~150 US-Anbietern monatlich aktualisieren, Right-to-Audit-Klausel ergänzen (MS erlaubt nur SOC-2-Bericht-Einsicht). Diese Anpassungen sind in eigenen Anhängen zu dokumentieren.
Wer haftet bei einem Sub-Verarbeiter-Vorfall?
Microsoft als Hauptauftragsverarbeiter ist Ihnen gegenüber primär verantwortlich (Art. 28 Abs. 4 DSGVO). MS gibt die AV-Pflichten an Sub-Verarbeiter weiter — z.B. an Hyperscaler-Region-Operations oder Telemetrie-Anbieter. Bei Vorfall haften Sie als Verantwortlicher gegenüber Betroffenen, MS gegenüber Ihnen, der Sub-Verarbeiter gegenüber MS (Kette). Praxis: Schadenersatz-Forderung an MS, MS regressiert intern. Bei systemischen Sub-Verarbeiter-Problemen kann der DPF-Status kippen — daher Plan B aktiv halten.
Was tun, wenn das Data Privacy Framework (DPF) gekippt wird?
Schritt 1: Sofort EU-Alternative-Migration starten — Stack-IT (Schwarz-Gruppe), IONOS Cloud oder MagentaBusiness Cloud sind M365-funktional vergleichbar. Schritt 2: Übergangsfristen historisch 0-3 Monate (Privacy Shield 2020). Schritt 3: SCC 2021/914 + TIA als Backup-Garantien aktivieren. Schritt 4: Datenflüsse minimieren — sensitive Daten sofort in EU-Region verschieben. Empfehlung: Plan B vorbereiten, EU-Alternative im Test-Modus laufen lassen. Migrationsdauer M365 → Stack-IT: 2-6 Monate.
Welche Microsoft-365-Funktionen sind besonders DSGVO-kritisch?
Top-3-Risiken: 1) Copilot — kann tenant-weit auf alle Daten zugreifen ohne Sensitive-Labels. 2) Telemetrie — Standard-Diagnostic-Data-Level sendet Datei-Metadaten an MS (LG München-Risiko). 3) E-Mail-Archive in Exchange Online — bei aktiver Litigation Hold kein Löschen möglich. Lösung: Sensitive Labels für PII setzen, Telemetrie auf 'Required' beschränken (via GPO/Intune), Copilot-Zugang nach Rollen einschränken, Customer Lockbox aktivieren.
Müssen wir den AVV jährlich neu unterzeichnen?
Nein, der AVV bleibt gültig bis zur Kündigung des Hauptvertrages. ABER: Microsoft aktualisiert die DPA-Bedingungen periodisch. Sie sollten quartalsweise die DPA-Version prüfen (im Microsoft Trust Center) und Änderungen ins eigene VVT übernehmen. Bei wesentlichen Änderungen (z.B. neue Sub-Verarbeiter-Kategorien) Schriftform empfohlen. Audit-Tipp: Datum + Version der aktuell gültigen DPA in der eigenen Compliance-Doku festhalten.
Quellen
- Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
- Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
- Commission Implementing Decision (EU) 2023/1795 — EU-US Data Privacy Framework (Stand: 02.05.2026)
- EDPB Binding Decision 1/2023 — Meta Facebook Datentransfer USA (Stand: 02.05.2026)
- EuG T-553/23 — Latombe v Kommission (DPF-Klage abgewiesen) (Stand: 02.05.2026)