| 29. März 2026 | 5 Min.

Microsoft 365 Sicherheit und DSGVO: Was Geschäftsführer wissen müssen

Jens Hagel in IT-Sicherheit

Inhalt in Kürze

Deutsche Aufsichtsbehörden verhängten 2025 DSGVO-Bußgelder von insgesamt 46,9 Millionen Euro — fehlende technisch-organisatorische Maßnahmen sind ein häufiger Grund
Microsoft 365 ist DSGVO-konform nutzbar, aber nur bei korrekter Konfiguration — Standardeinstellungen reichen nicht
11 Sicherheitsmaßnahmen, die jedes KMU in Microsoft 365 sofort umsetzen sollte
Business Premium enthält Defender, Intune und Conditional Access — und macht separate Sicherheitslösungen überflüssig

Microsoft 365 speichert Ihre E-Mails, Dokumente, Kontakte und Kalender. Es ist das digitale Herz Ihres Unternehmens. Aber wie sicher ist es? Und was müssen Sie für die DSGVO beachten?

DSGVO und Microsoft 365: Die Pflichten des Geschäftsführers

Ein weit verbreiteter Irrtum: „Unsere Daten liegen bei Microsoft, also ist Microsoft für den Datenschutz verantwortlich.” Falsch. Die DSGVO sagt klar: Sie als Unternehmen sind der Verantwortliche. Microsoft ist der Auftragsverarbeiter.

Das bedeutet: Sie müssen sicherstellen, dass Microsoft 365 in Ihrem Unternehmen DSGVO-konform konfiguriert ist. Laut CMS verhängten deutsche Datenschutzbehörden 2025 Bußgelder von insgesamt 46,9 Millionen Euro. Ein häufiger Verstoß: unzureichende technisch-organisatorische Maßnahmen bei Cloud-Diensten.

Pflichten als Geschäftsführer:

Sie brauchen einen Auftragsverarbeitungsvertrag (AVV) mit Microsoft — den stellt Microsoft automatisch bereit. Prüfen Sie aber zusätzlich: Wo liegen Ihre Daten? Welche Dienste nutzen Sie? Sind die Sicherheitseinstellungen korrekt?

11 Sicherheitsmaßnahmen für Microsoft 365

Diese Einstellungen sollte jedes Unternehmen aktivieren — egal ob Business Basic, Standard oder Premium:

Sofort umsetzen (kostenlos in jedem Paket)

MFA für alle Nutzer aktivieren. Multi-Faktor-Authentifizierung ist der wirksamste Schutz gegen Accountübernahmen. Microsoft bietet das kostenlos an — es muss nur eingeschaltet werden.
Security Defaults aktivieren. Ein Klick im Azure AD aktiviert grundlegende Sicherheitsrichtlinien: MFA, blockierte Legacy-Authentifizierung, Schutz vor Brute-Force-Angriffen.
Audit-Protokollierung einschalten. Damit sehen Sie, wer wann auf welche Daten zugegriffen hat. Pflicht für DSGVO-Nachweisbarkeit.
Externe Freigaben einschränken. Standardmäßig können Nutzer SharePoint- und OneDrive-Dateien mit jedem teilen. Schränken Sie das auf die eigene Organisation oder genehmigte Domains ein.
Spam- und Phishing-Filter konfigurieren. Exchange Online Protection ist enthalten — aber die Standardeinstellungen sind zu lasch. Verschärfen Sie die Filter für Phishing und Malware.

Mit Business Premium (erweiterte Sicherheit)

Conditional Access einrichten. Zugriff nur von verwalteten Geräten, nur aus bestimmten Ländern, nur mit MFA. Beispiel: Zugriff auf SharePoint nur aus Deutschland und nur mit aktuellem Antivirus.
Defender for Business aktivieren. Endpoint-Schutz für alle PCs und Macs — zentral verwaltet, automatische Updates, Bedrohungserkennung in Echtzeit.
Intune für Geräteverwaltung. Welche Apps dürfen auf Firmengeräten installiert werden? Was passiert, wenn ein Laptop verloren geht? Intune ermöglicht Remote Wipe und Richtlinien.
DLP-Richtlinien (Data Loss Prevention). Verhindern Sie, dass sensible Daten (Kreditkartennummern, Gesundheitsdaten, Personalakten) per E-Mail nach außen gehen.
Sensitivity Labels. Dokumente als „Vertraulich" oder „Intern" kennzeichnen. Vertrauliche Dokumente können nicht weitergeleitet oder kopiert werden.
Regelmäßige Security Reviews. Alle drei Monate die Sicherheitseinstellungen prüfen: Neue Nutzer, geänderte Berechtigungen, aktuelle Bedrohungen.

46,9 Mio. €

DSGVO-Bußgelder in DE 2025

Sicherheitsmaßnahmen Pflicht

99 %

der Angriffe durch MFA verhinderbar

Microsoft Security Copilot: KI für IT-Sicherheit

Microsoft Security Copilot ist ein KI-gestütztes Tool, das Sicherheitsvorfälle analysiert und Handlungsempfehlungen gibt. Für KMU relevant: Security Copilot hilft IT-Administratoren, Bedrohungen schneller zu erkennen und zu reagieren — auch ohne ein eigenes Security-Team.

Was Security Copilot kann:

Sicherheitswarnungen in natürlicher Sprache erklären
Ungewöhnliche Anmeldeaktivitäten identifizieren
Empfehlungen zur Behebung von Schwachstellen geben

Exchange Server: Warum Sie in die Cloud wechseln sollten

Wenn Sie noch einen lokalen Exchange Server betreiben: Wechseln Sie. Lokale Exchange Server sind ein dauerhaftes Sicherheitsrisiko — jede ungepatchte Schwachstelle ist ein offenes Einfallstor. Microsoft selbst empfiehlt die Migration auf Exchange Online.

Vorteile des Wechsels:

Automatische Sicherheitsupdates durch Microsoft
Redundante Datenhaltung in EU-Rechenzentren
Kein Hardware-Wartungsaufwand
Bessere Spam- und Phishing-Erkennung

Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 Prozent der Angriffe wirkungslos.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

DSGVO-Checkliste für Microsoft 365

AVV mit Microsoft vorhanden. Automatisch über das Microsoft Trust Center verfügbar.
Datenresidenz geprüft. Daten in EU-Rechenzentren (Frankfurt, Berlin, Niederlande).
Verzeichnis der Verarbeitungstätigkeiten aktualisiert. Microsoft 365 als Verarbeitungstätigkeit dokumentiert.
Technisch-organisatorische Maßnahmen dokumentiert. MFA, Verschlüsselung, Zugriffskontrollen, Audit-Logs.
Löschkonzept vorhanden. Was passiert mit Daten ausgeschiedener Mitarbeiter? Wie lange werden E-Mails aufbewahrt?
Mitarbeiter geschult. Datenschutz-Basics: Keine sensiblen Daten per Chat teilen, Phishing erkennen, Geräte sperren.

Das Wichtigste: Microsoft 365 ist sicher — wenn Sie es konfigurieren. Standardeinstellungen reichen nicht für DSGVO-Konformität. MFA, Audit-Logs, eingeschränkte Freigaben und regelmäßige Reviews sind Pflicht. Mit Business Premium bekommen Sie zusätzlich Defender, Intune und Conditional Access.

IT-Sicherheit ist Chefsache. Sprechen Sie mit uns.

15 Minuten. Kostenlos. Ihre aktuelle Sicherheitslage — ehrlich bewertet.

Erstgespräch buchen →

Ihr nächster Schritt

Sie möchten wissen, wie sicher Ihre Microsoft-365-Umgebung wirklich ist? Wir führen einen Security-Check durch und zeigen Ihnen, welche Einstellungen fehlen.

Jens Hagel

Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2025 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Gespräch buchen Über uns

Inhalt

Alle Kundenstimmen

4,9

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Security-Check anfragen 040 284 10 26-0

Häufig gestellte Fragen

Microsoft 365 kann DSGVO-konform betrieben werden. Microsoft stellt dafür Auftragsverarbeitungsverträge (AVV) bereit und bietet EU-Datenresidenz. Aber: Die korrekte Konfiguration liegt beim Unternehmen — Standardeinstellungen reichen nicht.

Mindestens: MFA für alle Nutzer, Conditional Access Policies, DLP-Richtlinien für sensible Daten, Audit-Protokollierung aktivieren und Exchange Online Protection konfigurieren. Mit Business Premium kommen Intune und Defender dazu.

Defender for Business ist ein Endpoint-Schutz, der in Microsoft 365 Business Premium enthalten ist. Er schützt PCs, Macs und Mobilgeräte vor Malware, Ransomware und Phishing — und wird zentral über das Microsoft 365 Admin Center verwaltet.

Wenn Ihr Unternehmen mehr als 20 Mitarbeiter hat, die regelmäßig personenbezogene Daten verarbeiten, brauchen Sie einen Datenschutzbeauftragten — unabhängig von Microsoft 365. Dieser sollte auch die M365-Konfiguration prüfen.

Für deutsche Kunden speichert Microsoft Daten in EU-Rechenzentren — primär in Deutschland (Frankfurt, Berlin) und den Niederlanden. Sie können die Datenresidenz im Admin Center prüfen und konfigurieren.