Microsoft Office 2024 – und die Frage nach Datenschutz und digitaler Souveränität

18.09.2025

Die neueste Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat in der IT-Community und bei Datenschützern für Aufmerksamkeit gesorgt: Das BSI hat Empfehlungen zur sicheren Konfiguration der Microsoft-Office-Produkte unter Windows veröffentlicht. (bsi.bund.de) Diese richten sich vor allem an größere Organisationen, die Microsoft Office über Gruppenrichtlinien verwalten, können aber auch von technisch versierten Einzelanwendern genutzt werden. (heise.de)

Die Empfehlungen beinhalten Einstellungen und Maßnahmen, die das IT-Sicherheitsniveau erhöhen sollen – konkret: Makros und VBA möglichst deaktivieren, unnötige Funktionen abschalten, automatische Updates sicherstellen, Datenübertragungen reduzieren, Telemetrie kritisch prüfen. Damit reagiert das BSI auf eine lange Reihe von Kritikpunkten und Forderungen, die schon seit Jahren diskutiert werden.

Doch so sehr diese Empfehlungen begrüßenswert sind – sie berühren mitten in einen Konflikt, der schon vielfach in Deutschland, aber auch in der EU geführt wird: die Frage, ob und wie Microsoft-Produkte, insbesondere Cloud-Dienste und Online-Komponenten von Office / Microsoft 365, mit den strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO) vereinbar sind.

DSGVO, Drittstaatentransfer & US-Recht – wo liegt das Problem?

Ein zentraler Kern der Kritik in Deutschland lautet:

• Daten dürfen nach DSGVO nicht ohne Weiteres in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, es sei denn, es gibt eine eindeutige Rechtsgrundlage (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln, EU-US Datenschutzrahmen).
• US-Gesetze wie der Cloud Act oder andere Geheimdienstbefugnisse werden häufig genannt: US-behördliche Zugriffe auf Daten, selbst wenn sie in EU-Rechenzentren gespeichert sind, werden als Risiko gesehen. (n-tv.de)
• Die Datenschutzkonferenz (DSK, also die Konferenz der Datenschutzbehörden von Bund und Ländern) hat mehrfach festgestellt, dass Microsoft 365 / Office-Onlinedienste in ihrer aktuellen Ausgestaltung nicht datenschutzkonform betrieben werden können. (dr-datenschutz.de)

Ein Beispiel: In Schulen wurde der Einsatz von Microsoft Office 365 in manchen Bundesländern pauschal verboten, weil nach Auffassung der zuständigen Datenschutzbehörden keine ausreichende Gewähr gegeben war, dass sämtliche datenschutzrechtliche Anforderungen erfüllt sind. (ifun.de)

Ein anderes Beispiel: Das Land Niedersachsen hat Lösungen verhandelt, mit denen Microsoft Teams datenschutzrechtlich genutzt werden darf, nachdem Verträge und Datenschutzzusätze angepasst wurden – insbesondere mit Zusicherungen, dass Daten in Europa bzw. innerhalb eines EU-Boundary gespeichert und verarbeitet werden. (stiftungdatenschutz.org)

Die Empfehlungen des BSI im Detail

Was genau empfiehlt also das BSI für Office 2024 (und teilweise auch Office 2021)? Hier die wichtigsten Punkte:

1. Deaktivierung unnötiger Funktionen
   Besonders ins Visier genommen werden Makros und VBA.
   • Makros sind kleine Programme, die in Office-Dokumenten eingebettet sein können und Aufgaben automatisieren.
   • VBA (Visual Basic for Applications) ist die Programmiersprache, mit der diese Makros erstellt werden.
     Beide sind praktisch, weil sie Abläufe automatisieren – aber zugleich ein häufiges Einfallstor für Angriffe, da Schadsoftware über Makros in Dokumente eingeschleust werden kann. Deshalb empfiehlt das BSI, Makros standardmäßig zu deaktivieren.
2. Gruppenrichtlinien nutzen
   Vor allem in größeren Organisationen soll über Gruppenrichtlinien gesteuert werden, statt über individuelle Einstellungen. So lassen sich Konfigurationen konsistent und umfassend durchsetzen.
3. Updates und Sicherheitspatches sicherstellen
   Automatische Updates sind wichtig, da Office-Produkte häufig Angriffspunkte bieten – durch bekannte Schwachstellen, durch neue Zero-Day-Lücken, durch Phishing oder Social Engineering.
4. Reduktion von Datenübertragungen an Microsoft
   Unnötige Telemetrie, Diagnosedaten und andere Übertragungen sollen soweit wie möglich reduziert oder abgeschaltet werden. Daten, die zwingend übertragen werden, sollen möglichst kontrolliert sein.
5. Sensibilisierung für Restrisiken
   Das BSI warnt ausdrücklich: Selbst bei Umsetzung all dieser Maßnahmen verbleiben Risiken („Restrisiken“) – etwa, weil bestimmte Datenübertragungen oder Funktionen nicht vollständig abschaltbar sind.
6. Feinsteuerung je Anwendung
   Word, Excel, Outlook, PowerPoint etc. haben unterschiedliche Schwachstellen und Nutzungsmuster; die Empfehlungen behandeln Teilbereiche spezifisch (z. B. Access, Makros bei Excel, Vorlagen, die extern geladen werden).

Lebensnotwendigkeit vs. digitale Souveränität – Die Position des BSI

Das BSI erkennt an, dass Microsoft-Produkte in vielen Organisationen unverzichtbar sind. Praxistauglichkeit, Verbreitung, Interoperabilität – all das spricht dafür, dass ein vollständiger Verzicht auf Microsoft Office ohne massive Umstellungs- und Kompatibilitätsprobleme kaum machbar wäre. In einem Beitrag heißt es, technologische Abhängigkeiten ließen sich nicht kurzfristig auflösen. (n-tv.de)

Die BSI-Präsidentin Claudia Plattner fordert daher, dass Deutschland und Europa Strategien entwickeln, wie diese Abhängigkeiten kontrolliert werden können. Dazu gehört:

• Auswahl und Kontrolle der Technologien, die man verwendet,
• Sicherstellen, dass Nutzer die Kontrolle über Schlüssel und über Telemetrie/Diagnosedaten haben,
• mehr Einsatz von europäischen oder deutschen Anbietern, wo verfügbar.

Das BSI sieht darin eine Art pragmatischen Weg: Man kann Microsoft nicht von heute auf morgen ersetzen – aber man kann die Risiken mindern und eine Strategie zur digitalen Souveränität verfolgen.

Datenschutzbehörden, Verbote & Praxisbeispiele

Dass die DSGVO und deutscher Datenschutz in Bezug auf Microsoft Office nicht nur ein theoretisches Problem sind, zeigt sich an einigen Entscheidungen und Praktiken:

• Datenschutzkonferenz (DSK): Sie kam im Abschlussbericht zur Arbeitsgruppe „Microsoft-Onlinedienste“ zu dem Schluss, dass Microsoft 365 in seiner damaligen Form nicht datenschutzkonform betrieben werden kann.
• Schulen: In verschiedenen Bundesländern wurden Microsoft Office 365 / Onlinedienste in Bildungseinrichtungen verboten oder stark eingeschränkt.
• Land Niedersachsen: Dort konnte durch Verhandlungen mit Microsoft und Anpassungen an Datenschutzverträgen eine Lösung gefunden werden.

Diese Praxis zeigt, dass es nicht nur Warnungen gibt, sondern in manchen Fällen auch konkrete Maßnahmen, Einschränkungen oder Umstellungen.

Kritik und „Was wäre möglich?“ – Alternativen und Handlungsspielräume

Während das BSI mit seinen Empfehlungen ein wichtiges Signal setzt und pragmatische Maßnahmen beschreibt, bleiben Fragen und Kritik:

1. Reicht das?
   Die Empfehlungen sind gut und notwendig – aber sie greifen nicht alle Risiken auf, besonders im Bereich des Datenflusses in Drittstaaten / US-Gesetze.
2. Komplexität und Aufwand
   Kleine und mittlere Unternehmen, Behörden mit limitiertem IT-Personal oder Schulen haben oft nicht die Kapazitäten, alle empfohlenen Einstellungen umzusetzen.
3. Praxistauglichkeit vs. Funktionalität
   Manche Komfort-Funktionen (Cloud-Kollaboration, Echtzeit-Teamwork, Vorlagen oder Add-Ins) werden durch Einschränkungen unattraktiv.
4. Alternativen sind möglich
   Es gibt Beispiele, wie Organisationen auf Open Source oder andere Softwareumgebungen gesetzt haben. Ein konkretes Beispiel:Österreichs Bundesheer stellt auf LibreOffice um. (heise.de)LibreOffice bietet viele Funktionen für Texte, Tabellen, Präsentationen und kann lokal betrieben werden, ohne Cloud-Komponenten. Unterschiede gibt es bei Bedienkomfort, Kompatibilität und speziellen Add-Ons – aber für viele Einsatzszenarien sind Alternativen durchaus realistisch.

Ein differenzierter Blick ist nötig

Die Veröffentlichung der BSI-Empfehlungen zu Microsoft Office 2024 ist ein Schritt in die richtige Richtung: Sie bieten praktische, technische Maßnahmen, um Sicherheits- und Datenschutzrisiken zu reduzieren. In Kombination mit den Forderungen der Datenschutzbehörden ist klar, dass Microsoft-Produkte in ihrer Standardkonfiguration für viele Organisationen rechtlich und sicherheitstechnisch problematisch sind.

Gleichzeitig: Ein vollständiger Verzicht ist derzeit schwer machbar. Doch Handlungsspielräume existieren:

• Open-Source oder europäische Software prüfen,
• Microsoft Office sorgfältig konfigurieren,
• Datenschutzverträge regelmäßig prüfen und anpassen,
• Mitarbeiter sensibilisieren,
• langfristige Strategien zur digitalen Souveränität entwickeln.

Handlungsempfehlungen für Unternehmen und Behörden

1. Datenschutz-Folgenabschätzung (DSFA) durchführen.
2. Verträge und Zusatzvereinbarungen mit Microsoft prüfen.
3. BSI-Empfehlungen konsequent umsetzen.
4. Alternativen evaluieren (LibreOffice, OnlyOffice, europäische Anbieter).
5. Mitarbeiter schulen.
6. Langfristige Souveränitätsstrategie entwickeln.