Der Weg in die sichere und souveräne Microsoft-365-Welt

27. November 2025

Datenschutz und Cloud-Souveränität sind keine Gegensätze –
wenn man es richtig macht.

Einleitung: Zwischen Angst und Aufbruchsstimmung

So komplex die datenschutzrechtliche Situation manchem Datenschutzbeauftragten erscheint: Manchmal liegt die Lösung nicht in einer rechtlichen Prüfung, sondern im technischen Setup. Wer das ignoriert, läuft Gefahr, die digitale Transformation des Unternehmens zu blockieren.

Die Realität ist eindeutig: Die Digitalisierung ist längst kein Zukunftsversprechen mehr, sondern gelebter Alltag. Microsoft 365 (M365) ist für viele Unternehmen nicht nur ein Produktivitäts-Tool, sondern eine Lebensader geworden. Aber der Preis ist hoch: Datenschutzrisiken, Cloud-Abhängigkeit und die ständige Angst vor dem „großen Bruder“ USA machen die Nutzung für viele unsicher. Zwar haben einige Unternehmen und Behörden inzwischen auf Open-Source-Office-Anwendungen umgestellt, was durchaus ein großer Sprung ist. Aber nicht alle wollen oder können diesen Weg mitgehen.

Somit lautet die zentrale Frage: Wie gelingt der Spagat zwischen moderner Technologie und Datenschutz-Anforderungen?

Die verschlüsselte Cloud-Nutzung

Bei der verschlüsselten Cloud-Nutzung wird die Funktionalität des Sharepoint- und des Exchange-
Servers nicht beeinträchtigt, da die Indizierung und damit verbundene Suchfunktion vom Softwarehersteller nachgebildet werden (siehe Grafik). Somit gibt es tatsächlich keine Einschränkungen zur “normalen” Microsoft-365-Welt.

Abb. 1: Microsoft 365 im Standardbetrieb: Die Daten werden im Klartext bei Microsoft gespeichert

Warum der Weg in die Cloud (fast) unausweichlich ist

Microsoft nimmt seinen Anwendern zunehmend die Wahlfreiheit. Die On-Premises-Produkte sterben langsam aus. Exchange 2016, SharePoint 2019 oder Windows 10: Sicherheitsupdates werden entweder gar nicht mehr oder zu spät bereitgestellt. In Zeiten von Zero-Day-Exploits und Cyberkriminalität ist das äußerst riskant.

Während Admins die letzten Patches einspielen, werden die Systeme von Kleinunternehmen und Mittelstand (KMU) täglich Tausenden Angriffen ausgesetzt. Parallel dazu mangelt es an Fachkräften. Wer kann da ernsthaft behaupten, man könne „mal eben“ alles in Eigenregie managen? Die Cloud ist daher nicht einfach nur eine Option – sie ist faktisch der einzige gangbare Weg. Denn welches mittelständische Unternehmen kann es sich leisten, ein Security-Team mit 24/7-Betrieb aufzubauen, das auf Augenhöhe mit Microsoft oder AWS spielt?

Microsoft 365 – zwischen Heilsbringer und Datenschutz-Alptraum

Microsoft 365 ist längst nicht mehr nur „Word, Excel, PowerPoint“. Es ist Kollaboration, Kommunikation, Speicher, Security und Workflow in einer Plattform. In vielen Unternehmen steht die Software für Produktivität. Wer es richtig einsetzt, bekommt Skalierbarkeit, moderne Arbeitsmodelle und eine Infrastruktur, die früher nur Konzernen vorbehalten war.

Abb. 2: Microsoft 365 im sicheren Betrieb: Die Daten werden unter eigener Hoheit mit eigenen Systemen verschlüsselt

Doch die Kehrseite: Telemetriedaten, die in die USA wandern. Der US Cloud Act öffnet US-Behörden Tür und Tor zu in den USA gespeicherten Daten. Und die im Paket enthaltene E5-Lizenz bietet keine 100-prozentige Sicherheit. Denn Microsoft behält den Schlüssel.

Die harte Realität im Mittelstand

Viele KMU haben in den vergangenen zehn Jahren ihre IT-Infrastruktur zusammengebastelt: Da laufen Windows-Clients auf Macs, da sind ein paar NAS-Systeme eingerichtet, irgendwo gibt es noch einen virtualisierten Server, dazu hier und da eine Nextcloud-Instanz oder ein Stackfield-Testballon. Und nicht selten nutzen Mitarbeiter Softwares, von denen die Compliance-Abteilung gar nichts weiß.

Lizenzen für Microsoft 365 sind oft vorhanden, aber nur halbherzig implementiert. Parallelstrukturen entstehen, Daten liegen in fünf verschiedenen Systemen und fordern Auditoren beim ISO-27001-Check heraus.

Der Königsweg: Eigene Verschlüsselung

Die entscheidende Frage lautet also: Wie lässt sich die Power von Microsoft 365 nutzen, ohne in der “DSGVO-Hölle” zu landen? Die Antwort ist so simpel wie unbequem: Unternehmen müssen die Schlüssel in der Hand behalten.

Das bedeutet: Keine Daten im Klartext an Microsoft geben. Notwendig ist eine echte, souveräne Verschlüsselung – verwaltet im eigenen Rechenzentrum oder bei einem vertrauenswürdigen deutschen Provider.

Mittlerweile gibt es Anbieter, die Daten in der Microsoft-365-Welt verschlüsseln, ohne dass die Funktionalität leidet. Dabei erhalten die Nutzer einen eigenen DSGVO-konformen Schlüssel und mit begleitenden Randsystemen gibt es auch noch eine Exit-Strategie. Wer so arbeitet, kann notfalls binnen Tagen aus der Cloud raus.

Abb. 3: Microsoft Outlook ohne aktiviertes Verschlüsselungsgateway (das würde Microsoft sehen)
Abb. 4: Mail ohne aktiviertes Verschlüsselungsgateway (das würde Microsoft sehen)

Privacy & Security „by Design“ – kein Luxus, sondern Pflicht

Verschlüsselung allein reicht aber nicht. Datenschutz erfordert ein Gesamtpaket aus juristischen, technischen und organisatorischen Maßnahmen. Dazu sollten gehören:

  • Bedingter Zugriff über den webbasierten Entra Admin Center – damit nur autorisierte Geräte und Standorte ins System dürfen.
  • Dezidierte und fein abgestufte Berechtigungen.
  • Endpoint-Security: Endgeräte konsequent absichern
  • Deaktivierung der Telemetriedaten
  • Die richtigen Lizenzpakete

Diese Maßnahmen sind nicht nur „nice to have“. Sie sind Pflicht. Die NIS2-Richtlinie lässt hier keinen Spielraum mehr. Unternehmen müssen handeln.

Abb. 5: Verschlüsselte Cloud-Nutzung (Abdruck erfolgt mit freundlicher Genehmigung der Eperi GmbH)

Nächster Schritt: Die Riskoanalyse (DSFA)

Setzt man nun die eben beschriebenen Punkte um, so ergibt sich in Bezug auf die DSFA im Allgemeinen nur noch ein (sehr) geringes Risiko für das Abgreifen von Daten. Einziger Unsicherheitsfaktor bleiben die Verträge mit Microsoft, worauf Mittelständler aber keinen wirklichen Einfluss nehmen können. Durch die Verschlüsselung entfallen viele Kritikpunkte (etwa bezüglich der TOM).

Strategische Perspektive: Europa first?

Claudia Plattner, Präsidentin des BSI, hat die entscheidenden Fragen auf den Punkt gebracht:

  • Welche Technologien nutzen wir „out of the box“?
  • Wo brauchen wir echte europäische Eigenständigkeit?
  • Welche außereuropäischen Systeme können wir so absichern, dass wir die Kontrolle behalten?1

FAZIT: Vom Verhinderer zum Gestalter

Die Cloud kommt und On-Premise-Angebote sterben über kurz oder lang aus, zumindest in der Art wie wir sie heute kennen. Wer das ignoriert, läuft in Sicherheitsprobleme, denn KMU können die Sicherheitsanforderungen von heute und erst recht nicht von morgen selbständig stemmen. Aber Datenschutz und Cloud sind kein Widerspruch. Mit souveräner Verschlüsselung, klaren Governance-Strukturen und konsequenter Security-Architektur lässt sich beides vereinen.

Über den Autor

Thomas Floß


ist seit 1996 Datenschutz- und Informationssicherheitsberater und Geschäftsführer der Floß GmbH. Als Datenschutzfachmann durchlief er eine Reihe von Zertifizierungen und ist Ausbilder an der Ulmer Akademie für Datenschutz und IT-Sicherheit.

1 www.security-insider.de/experten-diskussion-digitale-souveraenitaeteuropa-a-e3669e2bc43031a558372920c21f35c1/ (zuletzt abgerufen am14.10.2025).

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.