Microsoft hat zwischen August und September 2025 ein neues M365-Kit für Datenschutz vorgestellt und gleichzeitig die überarbeitete Version des Microsoft Products and Services Data Protection Addendum (DPA) veröffentlicht (Stand: September 2025).
Neues M365-Kit: Praxishilfe für DSGVO-Compliance
Im Microsoft Service Trust Portal steht nun das M365-Kit zur Verfügung, das insbesondere kleinen und mittleren Unternehmen helfen soll, datenschutzrechtliche Anforderungen effizient umzusetzen. Die Datensammlung wurde in Abstimmung mit den Datenschutzaufsichtsbehörden in Bayern und Hessen erstellt.
Das Kit enthält folgende Dokumente:
- Deckblatt – Übersicht und Einführung
- Verzeichnis der Verarbeitungstätigkeiten mit Beispieleinträgen (Art. 30 DSGVO)
- Beispielhafte Schwellwertanalysen – Hilfestellung zur Entscheidung über eine Datenschutz-Folgenabschätzung
- Rechtsgrundlagen für typische M365-Einsatzszenarien
- Muster-Datenschutzerklärung als Vorlage zur Erfüllung der Informationspflichten
- Erläuterungen zur Anonymisierung – technisch und rechtlich
Das M365-Kit gilt als wichtiger Schritt zur Praxistauglichkeit. Es liefert erstmals offizielle Musterdokumente in Abstimmung mit deutschen Aufsichtsbehörden – ersetzt aber nicht eine individuelle rechtliche Bewertung eines Einzelfalls.
Überarbeitetes Data Protection Addendum (DPA)
Die neue Version des DPA ist laut Microsoft im September 2025 erschienen. Die exakten Regelungen im Detail sollten anhand des veröffentlichten Dokuments geprüft werden.
- EU Data Act
Mit Inkrafttreten des EU Data Act am 12. September 2025 erhalten Unternehmen und Verbraucher neue Rechte in Bezug auf Cloud-Daten und Portabilität. Mehr dazu lesen Sie in unserem Blogbeitrag: Data Act als Herausforderung für den Datenschutz kommt ab September 2025 auf Unternehmen zu.
Erstmals sind Bestimmungen aus dem EU Data Act (Verordnung (EU) 2023/2854) ausdrücklich im DPA enthalten. Microsoft führt den Begriff „Exportable Data and Digital Assets (EDDA)“ („Exportierbare Daten und digitale Vermögenswerte”) ein und regelt Rechte beim Wechsel des Anbieters (Switching).
- Erweiterung der EU-Datengrenze (EU Data Boundary)
Die Europäische Freihandelsassoziation (EFTA) wurde zu den Standorten hinzugefügt, an denen Microsoft Kundendaten und personenbezogene Daten speichert und verarbeitet sowie ruhende Professional Services-Daten für EU-Datengrenzen-Dienste speichert.
- Telekommunikationsdaten
Dem Abschnitt zu den Telekommunikationsdaten wurde eine Formulierung hinzugefügt, die auf die Verpflichtung des Kunden hinweist, die Zustimmung des Endbenutzers einzuholen.
Es gibt noch weitere Änderungen, wie die Verpflichtung von Microsoft hinsichtlich der digitalen Resilienz in der EU etc., die Sie in dem neuen Dokument finden können.
Fazit
Für Unternehmen ergeben sich durch das neue DPA keine grundsätzlichen Änderungen, doch die Anpassungen bieten Chancen, Datenschutz und Compliance zu optimieren. Das neue M365-Kit kann dabei eine wertvolle praktische Unterstützung sein.