Als Geschäftsführer haften Sie persönlich für die Einhaltung von DSGVO Art. 32 — nicht nur Ihr Unternehmen. Die verbreitete Annahme, Microsoft übernehme die Compliance-Verantwortung, ist falsch. Microsoft sichert seine Infrastruktur. Für die Konfiguration Ihres Tenants sind Sie als Verantwortlicher zuständig.
Was Art. 32 DSGVO tatsächlich fordert
„Geeignete technische Maßnahmen" bedeutet: Ihr Tenant muss konfiguriert sein, nicht nur konfigurierbar. Microsoft stellt die Werkzeuge bereit — die Aktivierung und korrekte Einrichtung liegt beim Verantwortlichen. Eine vorhandene, aber nicht aktivierte Sicherheitsfunktion bietet keinen Schutz im Sinne des Art. 32.
Die Norm fordert Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie die Fähigkeit zur raschen Wiederherstellung nach einem Vorfall. Das hängt davon ab, was in Ihrer Umgebung tatsächlich eingeschaltet ist. Die BSI-Empfehlungen zur Absicherung von Cloud-Diensten konkretisieren diese Anforderungen für Unternehmen, die M365 einsetzen.
Typische Lücken in M365-Tenants
- Multi-Faktor-Authentifizierung nicht für alle Nutzer erzwungen
- Audit-Log-Aufbewahrung unter dem regulatorischen Mindestmaß
- Keine Data-Loss-Prevention für sensible Datenkategorien
Diese Lücken haben direkte Art.-32-Relevanz. Sie sind keine technischen Randfälle, sondern Standardzustände, die Microsoft für maximale Kompatibilität ausliefert. Compliance erfordert, dass Sie diese Standardzustände aktiv anpassen.
Was passiert, wenn eine Lücke festgestellt wird
Aufsichtsbehörden können nach einem Vorfall oder einer Beschwerde ermitteln. Bußgelder nach Art. 83 DSGVO erreichen bei schwerwiegenden Verstößen 4 % des weltweiten Jahresumsatzes, bei Art.-32-Verstößen bis zu 2 %. Die Behörde wird fragen, welche technischen Maßnahmen in Kraft waren — und ob sie tatsächlich konfiguriert waren.
Besonders relevant für Steuerberater und Rechtsanwälte: § 203 StGB stellt die unbefugte Offenbarung von Privatgeheimnissen unter Strafe — auch durch fahrlässig mangelhafte IT-Sicherheit. Ein Datenverlust infolge einer bekannten, unadressierten Lücke ist für den Geschäftsführer nicht nur ein DSGVO-Problem, sondern kann persönliche strafrechtliche Konsequenzen nach sich ziehen. Ihr Datenschutzbeauftragter kann Sie über die konkrete Risikobewertung für Ihren Sektor beraten.
Der praktische Einstiegspunkt
Sie können nicht reparieren, was Sie nicht sehen können. Eine technische Bestandsaufnahme Ihres M365-Tenants zeigt, welche Art.-32-relevanten Kontrollen aktiv, teilweise konfiguriert oder fehlend sind. Die meisten Lücken können durch reine Konfigurationsänderungen geschlossen werden — ohne neue Software oder zusätzliche Lizenzen.
Die Bestandsaufnahme erzeugt auch Dokumentation, die Sie einem Datenschutzbeauftragten oder einer Aufsichtsbehörde vorlegen können. Diese Dokumentation ist selbst Teil des Compliance-Nachweises.
Prüfen Sie jetzt, ob Ihr M365-Mandant die Anforderungen des Art. 32 erfüllt. Jetzt kostenfrei testen — unverbindlich, Ergebnis in 48 Stunden.