Aktuell NIS-2-Richtlinie: Neue Cybersicherheitspflichten für Unternehmen — sind Sie vorbereitet? Mehr erfahren →

· machCon · Datenschutz  · 4 min read

Microsoft Data Protection Addendum 2026

Die wichtigsten Änderungen und Erkenntnisse aus dem Microsoft Data Protection Addendum 2026 auf einem Blick

Die wichtigsten Änderungen und Erkenntnisse aus dem Microsoft Data Protection Addendum 2026 auf einem Blick

Microsoft Data Protection Addendum 2026: Was Unternehmen jetzt wirklich wissen müssen

Die Nutzung von Microsoft 365 ist in vielen Unternehmen fest gang und gebe. Umso wichtiger ist es, die datenschutzrechtlichen Rahmenbedingungen im Blick zu behalten und regelmäßig zu prüfen, ob die eigene Nutzung noch rechtlich sicher ist. Dazu unterstützt das Microsoft Data Protection Addendum (DPA).

Mit der neuesten Aktualisierung vom 22. Mai 2026 hat Microsoft erneut Anpassungen vorgenommen. Auf den ersten Blick wirken viele davon redaktionell. Bei genauerer Betrachtung zeigen sich jedoch relevante Weiterentwicklungen. Insbesondere im Bereich Künstliche Intelligenz, Subprozessoren und regulatorischer Flexibilisierung haben Veränderungen stattgefunden. In diesem Beitrag erklären wir, was sich konkret geändert hat, was das für Unternehmen bedeutet und welche Maßnahmen jetzt sinnvoll sind.

Einordnung des Microsoft DPA

Beim Microsoft Data Protection Addendum handelt es sich um das Vertragswerk zur Regelung der Verarbeitung personenbezogener Daten bei der Nutzung von Microsoft-Diensten. Es ist kein Auftragsverarbeitungsvertrag im Sinne der DSGVO, sondern ein umfassendes Rahmenwerk, das unterschiedliche Verarbeitungskonstellationen abdeckt.

Dabei gilt weiterhin: Microsoft agiert je nach Verarbeitungssituation sowohl als Auftragsverarbeiter als auch als eigenständiger Verantwortlicher. Diese duale Rollenverteilung erfordert eine differenzierte datenschutzrechtliche Bewertung durch die nutzenden Unternehmen.

Die wichtigsten Punkte im DPA 2026

Neue Regelung zu KI-bezogenen Subprozessoren

Eine der wichtigsten Änderungen betrifft den Umgang mit Subprozessoren im Bereich der Künstlichen Intelligenz. Microsoft verkürzt die Vorabankündigungsfrist für neue KI-bezogene Subprozessoren auf 30 Tage. Gleichzeitig erhalten Kunden die Möglichkeit, den Einsatz eines solchen Subprozessors für einen Übergangszeitraum von mindestens sechs Monaten zu deaktivieren. Für Unternehmen bedeutet das konkret, dass sie verkürzte Prüf- und Reaktionszeiten haben, ein erhöhter Abstimmungsbedarf zwischen Datenschutz, IT und Einkauf notwendig ist und, dass die Anforderungen an das Vendor- und Risikomanagement steigen.

Anpassungen beim Umgang mit staatlichen und behördlichen Zugriffen

Dieser Punkt ist zwar nicht neu, dennoch sehr wichtig anzumerken. Das DPA 2026 konkretisiert den Umgang mit staatlichen und behördlichen Zugriffsanfragen. Microsoft hält an seiner bisherigen Linie fest, solche Anfragen rechtlich zu prüfen und falls möglich anzufechten. Die entsprechenden Prozesse werden insbesondere im Zusammenspiel mit internationalen Datenzugriffen und Drittstaatenanforderungen weiter präzisiert. Für Unternehmen bleibt entscheidend, dass die rechtliche Verantwortung hierdurch nicht vollständig ausgelagert werden kann. Eine eigene Risikobewertung bleibt erforderlich.

Kontinuität bei EU Data Boundary und EU-Regulatorik

Die bereits 2025 eingeführten und erweiterten Regelungen zur EU Data Boundary sowie zur Integration europäischer Vorgaben (insbesondere EU Data Act) bleiben im Kern bestehen und werden fortgeführt. Parallel zeigen aktuelle Entwicklungen, dass insbesondere KI-gestützte Dienste und Copilot-Funktionalitäten weiterhin in Teilen Datenflüsse außerhalb der EU Data Boundary beinhalten können, etwa in pseudonymisierter Form. Die EU Data Boundary reduziert also Risiken. Jedoch ersetzt sie keine vollständige datenschutzrechtliche Bewertung der tatsächlichen Datenflüsse.

Fortbestehende Verantwortung bei Telekommunikationsdiensten Die Klarstellung aus 2025 hinsichtlich Telekommunikationsdiensten gilt weiterhin fort: Unternehmen sind selbst dafür verantwortlich, erforderliche Einwilligungen einzuholen, wenn Microsoft-Dienste als Telekommunikationsdienst genutzt werden. Diese Verpflichtung ist insbesondere bei erweiterten Teams-Szenarien (Telefonie, Integration mit öffentlichen Netzen) weiterhin von hoher praktischer Relevanz.

Handlungsempfehlungen für die Praxis

Vor diesem Hintergrund sollten Unternehmen das DPA-Update strukturiert einordnen und in ihre Compliance-Prozesse integrieren.

Vertragsdokumentation aktualisieren

  • Aktuelle DPA-Version (Stand Mai 2026) dokumentieren und Änderungen nachvollziehbar bewerten
  • Integration in bestehende Datenschutzdokumentation sicherstellen

Stärkung des Subprozessor-Managements

  • Monitoring von Subprozessor-Änderungen intensivieren
  • Reaktionsprozesse für neue KI-Subprozessoren definieren
  • Abstimmungsprozesse zwischen Fachbereichen, IT und Datenschutz etablieren

Bewertung von KI-Funktionalitäten

  • Einsatz von Microsoft Copilot und anderen KI-Diensten datenschutzrechtlich bewerten
  • Datenflüsse und mögliche Drittlandbezüge prüfen
  • Risiken im Rahmen von Datenschutz-Folgenabschätzungen berücksichtigen

Datenlokationsstrategie überprüfen

  • Nutzung der EU Data Boundary validieren
  • tatsächliche Datenverarbeitung (inkl. Telemetrie und KI-Verarbeitung) bewerten
  • interne Anforderungen mit den realen technischen Gegebenheiten abgleichen

Governance und Compliance weiterentwickeln

  • Zuständigkeiten zwischen IT, Recht und Datenschutz klar definieren
  • Prozesse regelmäßig aktualisieren und dokumentieren
  • Kommunikation zwischen Schnittstellen der IT, des Rechts und Datenschutzes stärken

Gesamtbewertung: Beschleunigung durch KI als neuer Treiber

Während frühere DPA-Updates vor allem durch regulatorische Anforderungen geprägt waren, zeigt sich im Jahr 2026 durch die zunehmende Integration von Künstlicher Intelligenz und die daraus folgende Veränderung der Dynamik der Datenverarbeitung ein neuer Treiber. Microsoft reagiert darauf mit flexibleren Regelungen (insbesondere im Bereich der Subprozessoren). Für Unternehmen bedeutet das jedoch weniger Vorlaufzeit, höhere Komplexität und steigende Anforderungen an interne Kontrollmechanismen. Wer diese Entwicklung unterschätzt, riskiert Lücken in seiner Datenschutz-Compliance.

Fazit

Das Microsoft Data Protection Addendum 2026 stellt keinen grundlegenden Umbruch dar, markiert jedoch eine wichtige Weiterentwicklung im Umgang mit modernen Cloud- und KI-Infrastrukturen. Für Unternehmen besteht kein unmittelbarer Anpassungsdruck im operativen Betrieb, aber ein steigender Bedarf an aktiver Steuerung und Bewertung Eine datenschutzkonforme Nutzung von Microsoft 365 setzt weiterhin voraus, dass das DPA nicht nur formal Bestandteil der Vertragsbeziehung ist, sondern aktiv analysiert, verstanden und in die eigene Compliance-Strategie integriert wird.

Share:
Zurück zum Blog

Ähnliche Beiträge

Alle Beiträge anzeigen »
ISO 27701: Datenschutzmanagement professionell umsetzen

ISO 27701: Datenschutzmanagement professionell umsetzen

Die international anerkannte Norm ISO 27701 – Privacy Information Management – ist von entscheidender Bedeutung für modernes Datenschutzmanagement. Sie erweitert die ISO 27001 um spezifische Anforderungen zum Schutz personenbezogener Daten.

Datenschutz bei Verstorbenen

Datenschutz bei Verstorbenen

Die DSGVO schützt nur lebende Personen. Aber was passiert mit den Daten eines Menschen nach seinem Tod? Wer darf darüber verfügen — und welche Rechte haben Angehörige?

Datenschutz bei Geburtstagslisten

Datenschutz bei Geburtstagslisten

Datenschutz bei Geburtstagslisten : Was ist erlaubt? Ob im beruflichen/privaten Feld, in Vereinen oder Schulen, Geburtstagslisten sind weit verbr...