Verschlüsselung bei Microsoft 365 - Wer hat Zugriff auf meine Daten?

Verschlüsselung bei Microsoft – Wer hat Zugriff auf meine Daten?

Die Frage höre ich tatsächlich immer wieder – und das völlig zu Recht. Denn Datenschutz, Datenintegrität und vor allem die Gesetzeskonformität sind keine Kür, sondern Pflicht. Und auch wenn man „in der Cloud“ arbeitet, möchte man selbstverständlich wissen: Wer kann meine Daten sehen – und unter welchen Umständen?

Ein häufig gehörter Satz, der bei vielen Unbehagen auslöst:

„US-Geheimdienste können amerikanische Unternehmen dazu verpflichten, umfassenden Zugriff auf Kundendaten zu gewähren – ohne Begründung oder Benachrichtigung.“

Zum Glück: Wir sind Kunden der europäischen Microsoft mit Sitz in Irland

Auch in Europa können Behörden Datenzugriffe oder sogar Maßnahmen wie eine Live-Handyortung beim Netzbetreiber anordnen.
Und ja – ohne Angabe konkreter Gründe. Denn weder T-Mobile noch Microsoft müssen wissen, ob es sich um einen Gewalttäter, einen Spion oder einen Mafiaboss handelt.

Aber gerade weil diese Unsicherheit oft für Verunsicherung sorgt, hier die wichtigsten Informationen zum Thema Datenzugriff und Verschlüsselung bei Microsoft – kompakt und verständlich:

Kurzfassung: Wie Microsoft Daten verschlüsselt

• Im Ruhezustand („at rest“) und während der Übertragung („in transit“) sind alle Daten verschlüsselt.
  Microsoft nutzt dafür moderne Standards wie AES-256 (für gespeicherte Daten) und TLS 1.2+ (für die Übertragung).

• Die Verschlüsselungsschlüssel werden standardmäßig von Microsoft verwaltet.
  Das bedeutet: Bei einer rechtlich einwandfreien Behördenanfrage wäre ein Zugriff technisch möglich.
  Allerdings:

  • Jeder Zugriff unterliegt strengen Genehmigungsprozessen,

  • wird protokolliert,

  • und ist nicht durch den Microsoft-Support frei durchführbar.

• Für europäische Kunden erfolgt die Schlüsselverwaltung durch eine europäische Microsoft-Tochtergesellschaft, in der Regel mit Standort in Irland – DSGVO-konform und transparent.

• Wer maximale Kontrolle wünscht, kann mit einem eigenen Verschlüsselungsschlüssel arbeiten (z. B. über „Customer Key“ oder „Double Key Encryption“).
  In diesem Fall hat nicht einmal Microsoft selbst Zugriff auf die Daten – auch nicht bei Behördenanfragen.
  Wichtig: Wer den Schlüssel verliert, kann auch von Microsoft keine Unterstützung erwarten.

Quellen von Microsoft

• Microsoft Trust Center
  Informationen zu Datenhaltung, Verschlüsselung, Datenschutz, NIS2, Compliance etc.
  https://www.microsoft.com/trust-center

• Microsoft Service Trust Portal
  Zugriff auf Zertifikate, Whitepapers und Compliance-Dokumente (Microsoft-Konto erforderlich)
  https://servicetrust.microsoft.com