In der Schweiz sowie in Deutschland und Frankreich steht zurzeit insbesondere Microsoft 365 in der Kritik der Datenschützer. So untersagte etwa das französische Bildungsministerium im vergangenen November den Einsatz der kostenlosen Angebote von Microsoft 365 an Schulen mit der Begründung, dass sie gegen die europäische Datenschutz-Grundverordnung (EU-DSGVO) verstossen würden.

In Deutschland kam indes die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zum Schluss, dass Microsoft 365 grundsätzlich nicht als datenschutzkonform angesehen werden könne. Microsoft hingegen sieht das anders: Die Datenschutzbehörden würden in ­ihrer Kritik keinen Betroffenenschutz mehr verfolgen, sondern den ­«Datenschutz zum dogmatischen Selbstzweck» erheben.

In der Schweiz sorgte derweil die Zürcher Kantonsregierung für Auf­sehen: Im April 2022 bewilligte der Regierungsrat Microsoft 365 für die kantonale Verwaltung. Dominika Blonski, die Datenschutzbeauftragte des Kantons Zürich, hatte den Beschluss abgesegnet – stellt jedoch klar: Trotz dieses Entscheids habe die Kantonsverwaltung keinen Freipass zur Nutzung von Microsoft 365. Sensible Daten dürften keinesfalls einem rechtswidrigen Zugriff von anderen Behörden ausgesetzt werden – und das könne die Microsoft-Cloud nicht garantieren, sagt Blonski im Interview. Generell liege das Problem darin, dass Micro­soft den Markt der Office-Produkte dominiere, sagt die Zürcher Datenschutzbeauftragte und ergänzt: «Die Schweiz hat im Rahmen der Diskussionen um die digitale Souveränität auch zu erörtern, wie solche Abhängigkeiten aufgebrochen werden können.»

KMUs sollten allerdings nicht nur auf die richtigen Einstellungen achten, sondern auch auf den Servicevertrag mit Microsoft. Ausserdem empfiehlt es sich laut Korostylev insbesondere für KMUs, eine Cloud-Exit-Strategie in der Hinterhand zu haben und zu beachten, dass Microsoft ab 2025 ausschliesslich cloudbasierte Bereitstellungsmodelle anbieten will.