![SEO-Monatsrückblick April 2025: Google AIOs, ChatGPT Search, AI Mode + mehr [Search Camp 371]](https://blog.bloofusion.de/wp-content/uploads/2025/05/Search-Camp-Canva-371.png)
![SEO for NGO: Mehr organischer Traffic für Organisationen? [Search Camp 370]](https://blog.bloofusion.de/wp-content/uploads/2025/03/Search-Camp-Canva-370.png)
![Deals: 140.000x positiv bewertet - Absoluter Bestseller bei Amazon - gut für eure Kleidung! [Anzeige]](https://images.cgames.de/images/gamestar/4/bester-fusselrasierer-philips-fusselrasierer-gadget-kleidung-wie-neu-angebot-amazon-bestseller-angebot_6353027.jpg?#)
![Deals: Mähroboter im Angebot - Husqvarna verweist die Mähroboter-Platzhirsche auf ihren Platz! [Anzeige]](https://images.cgames.de/images/gamestar/4/husqvarna-automower-305e-nera-09052025-teaser_6353140.jpg?#)
![Deals: Blackbeard's Schiff - BlueBrixx haut wieder ein kolossales Set raus – mit 40 Kanonen [Anzeige]](https://images.cgames.de/images/gamestar/4/bluebrixx-queen-annes-revenge-blackbeard-schiff-teaser-1_6353154.jpg?#)
:quality(80)/p7i.vogel.de/wcms/20/6f/206f15caf0b7f916e88095e97c2c7a75/0124588013v4.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/c4/f4/c4f4a3c873e25da77e5e9eaa6b7789cb/0122088267v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/8d/9c/8d9cb4d105e8311e66c07a34fdf5e1cf/0124569131v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/6e/46/6e4646cc0d842626b2e9d03bafec3b93/0124365984v1.jpeg?#)
MS365: Papier schützt keine Daten – Warum juristische Freibriefe in die Irre führen
Es ist ein wiederkehrendes und zunehmend besorgniserregendes Muster: Zahlreiche Beratungsunternehmen, Kanzleien und selbsternannte Datenschutzexperten erklären Organisationen wie Unternehmen, Behörden und Bildungseinrichtungen den Einsatz von Microsoft 365 für datenschutzkonform – allein auf Grundlage von Verträgen, Datenschutzhinweisen und den Aussagen von Microsoft selbst. Dabei wird regelmäßig ausgeblendet, dass es am Ende nicht um juristische Konstrukte, sondern um […]
Es ist ein wiederkehrendes und zunehmend besorgniserregendes Muster: Zahlreiche Beratungsunternehmen, Kanzleien und selbsternannte Datenschutzexperten erklären Organisationen wie Unternehmen, Behörden und Bildungseinrichtungen den Einsatz von Microsoft 365 für datenschutzkonform – allein auf Grundlage von Verträgen, Datenschutzhinweisen und den Aussagen von Microsoft selbst.
Dabei wird regelmäßig ausgeblendet, dass es am Ende nicht um juristische Konstrukte, sondern um die Daten von Menschen geht: Beschäftigte, Schüler, Studierende, Bürgerinnen und Bürger, deren personenbezogene Informationen tagtäglich verarbeitet werden. Sie haben ein Recht darauf, dass ihre Daten nicht durch Scheinbewertungen oder unbelegte Versprechen auf’s Spiel gesetzt werden.
Papier ist geduldig – und das wissen auch die Anbieter
Microsoft veröffentlicht regelmäßig neue Verträge, Zusicherungen und sogenannte Compliance-Erklärungen. Darin wird beteuert, wie sehr man den Datenschutz achte, wie ernst die Einhaltung der DSGVO genommen werde und welche Maßnahmen man angeblich getroffen habe, um Datenflüsse rechtskonform zu gestalten. Diese Erklärungen klingen auf dem Papier überzeugend und erfüllen formal die Erwartungen vieler Entscheidungsträger. Doch genau hier liegt das Problem.
Verträge und Datenschutzhinweise sind rechtlich notwendig, aber sie sind kein Beweis für die tatsächliche Datenverarbeitung. Sie sind Absichtserklärungen, keine technischen Nachweise. Sie sagen nichts darüber aus, was die Software im praktischen Einsatz tatsächlich tut. Was auf dem Papier zugesichert wird, lässt sich nur durch technische Analysen verifizieren – oder widerlegen.
Die Verantwortung der Prüfenden – und ihre Verweigerung
Statt diese Überprüfung einzufordern und durchzuführen, verlassen sich viele Beratungsunternehmen und Kanzleien ausschließlich auf die Aussagen des Anbieters. Sie erstellen umfangreiche juristische Gutachten, in denen die vertraglichen Konstrukte und Marketingaussagen von Microsoft durchdekliniert werden. Sie erklären den Einsatz von Microsoft 365 für »datenschutzkonform«, ohne auch nur eine einzige technische Messung durchgeführt zu haben.
Diese Praxis ist fahrlässig und unseriös. Sie vermittelt Organisationen eine trügerische Sicherheit und blendet die technischen Realitäten vollständig aus. Denn die entscheidende Frage bleibt unbeantwortet: Was passiert tatsächlich, wenn Microsoft 365 genutzt wird?
Werden Diagnosedaten oder Telemetrie übertragen? Finden Verbindungen zu Servern in Drittländern statt? Werden personenbezogene Daten für eigene Zwecke von Microsoft verarbeitet? All diese Fragen lassen sich nicht durch Vertragswerke beantworten, sondern nur durch unabhängige technische Analysen, wie beispielsweise die Auswertung des Datenverkehrs.
Eine bequeme, aber gefährliche Strategie
Die Beratungsbranche hat sich längst darauf spezialisiert, Organisationen vermeintliche Lösungen zu verkaufen, die sich bequem anhören, aber in Wirklichkeit keine Substanz haben. Es ist einfach, auf Grundlage von Vertragsdokumenten und Herstellererklärungen eine »konforme« Bewertung abzugeben. Es ist aufwändiger, Zeit und Expertise in eine fundierte technische Analyse zu investieren.
Genau diesen Aufwand scheuen viele – oder sie verfügen schlicht nicht über die nötige technische Kompetenz, um eine fundierte Bewertung überhaupt durchführen zu können. Stattdessen wird auf Herstellerangaben und juristische Formulierungen vertraut, weil es einfacher, schneller und wirtschaftlich lukrativer ist, Scheinlösungen zu verkaufen, als sich der technisch unbequemen Realität zu stellen.
Diese Entwicklung ist brandgefährlich, denn sie führt dazu, dass Organisationen ihre Entscheidungen auf unzureichenden Grundlagen treffen. Sie wiegen sich in Sicherheit, obwohl zentrale Fragen ungeklärt bleiben. Im Ernstfall – etwa bei einer Datenschutzprüfung durch Aufsichtsbehörden – stehen sie dann ohne belastbare Fakten da.
Dabei liegt es längst offen auf dem Tisch: Öffentliche Prüfberichte, etwa aus Baden-Württemberg, haben wiederholt gezeigt, dass sich Microsofts Zusicherungen nicht mit dem tatsächlichen Verhalten der Software decken. Dennoch werden weiterhin Gutachten auf reiner Aktenlage erstellt und verkauft – ohne jede technische Überprüfung.
Datenschutz ist ein technisches und rechtliches Thema
Es muss klar sein: Datenschutz ist nicht allein eine juristische Frage. Er lässt sich nicht verhandeln oder durch Papierversprechen absichern, sondern erfordert eine tatsächliche Kontrolle der eingesetzten Technologien. Nur wenn beide Seiten – die rechtliche und die technische – geprüft und zusammengeführt werden, ist eine seriöse Bewertung möglich.
Wer sich bei einer Datenschutzbewertung ausschließlich auf Vertragswerke stützt und technische Analysen ignoriert oder bewusst ausblendet, handelt fahrlässig und unverantwortlich. Er verkauft Scheinlösungen, die in der Realität keinen Bestand haben und bei der ersten ernsthaften Prüfung – etwa durch Datenschutzaufsichtsbehörden oder unabhängige technische Analysen – wie ein Kartenhaus in sich zusammenfallen.
Die vermeintliche Rechtssicherheit, die von solchen Gutachten und Stellungnahmen suggeriert wird, hält keiner Überprüfung stand. Sie ist nichts weiter als eine juristische Fassade, die nur so lange trägt, wie niemand genauer hinschaut. Sobald die tatsächlichen Datenflüsse offengelegt und analysiert werden, zeigt sich schnell, wie wenig Substanz hinter den großspurigen Versprechungen steckt. Was zuvor als rechtssicher verkauft wurde, entpuppt sich als unhaltbare Behauptung, die einzig auf den unüberprüften Herstellerangaben und den Interessen von Vertrieb und Marketing basiert – und mit der technischen Realität nicht übereinstimmt.
Was jetzt zu tun ist
Mein Appell richtet sich an alle Verantwortlichen in Unternehmen, Behörden und Bildungseinrichtungen: Lassen Sie sich nicht mit juristischen Gutachten abspeisen, die keine technischen Nachweise enthalten. Fragen Sie nach der tatsächlichen technischen Funktionsweise der eingesetzten Dienste. Verlangen Sie nachvollziehbare Analysen des Datenverkehrs – unabhängig, überprüfbar und dokumentiert.
Akzeptieren Sie keine Aussagen, die allein auf den Behauptungen des Anbieters oder auf Vertragsformulierungen beruhen. Und lassen Sie sich auch keine Datenschutz-Folgenabschätzungen (DSFA) vorlegen, die ausschließlich auf Aktenlage erstellt wurden – ohne jede technische Überprüfung der realen Datenverarbeitung.
Datenschutz entsteht nicht durch Verträge, Gutachten oder juristisches Geschwurbel. Er lässt sich nicht herbeireden oder auf dem Papier erzeugen. Datenschutz ist ein fortlaufender Prozess, der auf überprüfbaren technischen Fakten beruhen muss. Alles andere ist Augenwischerei und bietet keine echte Sicherheit – weder für Organisationen noch für die Menschen, deren Daten verarbeitet werden.
Nur wer technische und rechtliche Bewertungen zusammenführt und tatsächliche Nachweise einfordert, handelt verantwortungsbewusst und im Interesse der betroffenen Menschen, deren Daten geschützt werden müssen. Denn am Ende zählt nicht das Versprochene – sondern das, was die Software tatsächlich tut. Nur so lässt sich sicherstellen, dass der Datenschutz nicht nur behauptet, sondern auch nachweisbar umgesetzt wird.