Zurück zum Newsroom

Microsoft 365 im Public Sector: Wenn Daten über 100 Grenzen wandern

21. Oktober 2025

Immer mehr Behörden integrieren Microsoft 365 in ihre Systemlandschaften – getrieben von Effizienzdruck, Digitalisierungszielen und der Erwartung moderner Services. Doch ausgerechnet dort, wo Daten besonders sensibel sind, bricht das technische Fundament unter der rechtlichen Last zusammen.

Die Migration der schottischen Polizei auf Microsoft 365 hat das deutlich gemacht: Datenverarbeitung über nationale Grenzen hinweg, ohne transparente Kontrolle – ein System, das Anforderungen an Datenhoheit, Zugriffsbeschränkung und Rechtskonformität strukturell unterläuft.

Microsoft 365 Datenverwaltung: Risiko für Behörden

Wie ComputerWeekly berichtet, wurde im Rahmen des M365-Migrationsprojekts bei der schottischen Polizei offengelegt, dass Microsoft Daten potenziell in über 100 Ländern verarbeiten kann – darunter auch Staaten, die aus sicherheits- oder datenschutzrechtlicher Sicht kritisch bewertet werden. Das Problem liegt im Design der Hyperscale-Cloud: Replikation und Failover-Mechanismen verteilen Daten automatisch über Regionen hinweg, ohne dass Nutzer:innen kontrollieren können, wo ihre Informationen tatsächlich liegen. Diese technische Architektur führt direkt zur zentralen Frage der Governance: Wer kontrolliert, welche Daten wohin repliziert werden – und wie lässt sich das rechtlich absichern?

Für Behörden mit gesetzlichen Vorgaben zur Datenlokalisierung – wie im Fall Schottlands – ist das ein erhebliches Governance-Problem. So verlangt das dortige Strafverfolgungsgesetz, dass bestimmte Daten nur innerhalb nationaler Grenzen verarbeitet werden dürfen. Microsoft verweigerte in diesem Kontext konkrete Angaben zu den Datenflüssen und zur internen Risikoabwägung bezüglich sensibler Informationen in Drittstaaten.

Auch in der Schweiz wächst die Skepsis gegenüber der M365-Nutzung in Kantonsverwaltungen – etwa in Zürich, Bern, Basel-Stadt und Luzern. Der zentrale Streitpunkt bleibt gleich: fehlende Transparenz bei der Datenverarbeitung und die potenzielle Abhängigkeit von einem ausser europäischen Anbieter mit Hauptsitz in den USA.

Microsoft 365 Cloud-Architektur & Kontrolle

Die Cloud-Infrastruktur von Microsoft 365 bietet umfangreiche Automatisierung, zentrale Administration und enge Integration mit Azure-Diensten. Doch genau diese technische Komplexität erschwert es Behörden, regulatorische Kontrollpflichten umzusetzen. Denn Datenflüsse, Rollen- und Berechtigungsebenen sowie Logging-Mechanismen bleiben weitgehend im Verantwortungsbereich des Anbieters – nicht beim Nutzer bzw. bei der Nutzerin.

Microsoft verweist zwar auf seine EU Data Boundary Initiative, die Datenverarbeitung auf EU-Rechenzentren beschränken soll. Doch Metadaten, Support-Prozesse und Telemetriedaten bleiben davon ausgenommen. Damit bleibt der Zugriff Dritter rechtlich und technisch möglich.

Für kritische Infrastrukturen und öffentliche Auftraggeber bedeutet das: Der Betrieb in einer Public Cloud kann technologisch sinnvoll, regulatorisch aber unzureichend sein – insbesondere in Hinblick auf Datenhoheit, Zugriffskontrolle und Auditierbarkeit. Genau hier beginnt die eigentliche Debatte um digitale Souveränität. Die Frage ist nicht, ob Cloud-Dienste genutzt werden dürfen – sondern ob sie so gestaltet sind, dass Kontrolle und Compliance technisch gewährleistet bleiben.

Digitale Souveränität im Public Sector

Die Diskussion um Microsoft 365 steht exemplarisch für ein zentrales Thema moderner IT-Governance: Digitale Souveränität entsteht durch technisches Design, transparente Datenarchitekturen und kontrollierbare Infrastruktur.

Gerade im Public Sector und in regulierten Branchen wie Gesundheitswesen, Energieversorgung oder Finanzdienstleistung sind Compliance-Vorgaben essenziell – ebenso wie die Fähigkeit, Datenflüsse technisch und organisatorisch kontrollierbar zu machen.

Nur modular aufgebaute, API-basierte Systeme mit klarer Datenverantwortung lassen sich so gestalten, dass sie regulatorischen Anforderungen standhalten.

Moderne, Cloud-native Architekturen mit konfigurierbarer Data Residency, mandantenfähiger Verschlüsselung (BYOK/HYOK) und granularer Zugriffskontrolle ermöglichen es, gesetzliche Auflagen zu erfüllen, ohne auf Skalierbarkeit und Automatisierung zu verzichten. Doch die technische Umsetzung allein reicht nicht aus – sie entfaltet ihre Wirkung erst im rechtlichen Rahmen.

Microsoft 365 und Datenschutz

Datenschutzbedenken und fehlende Kontrollmechanismen haben längst politische Konsequenzen. In mehreren europäischen Ländern – darunter Frankreich, Deutschland und die Schweiz – stehen M365-Projekte in der öffentlichen Kritik.

Microsoft verweist auf Zertifizierungen und Compliance-Nachweise wie ISO 27001, SOC 2 oder die EU-Standardvertragsklauseln. Doch diese reichen nicht aus, wenn staatliche Daten theoretisch dem Zugriff einer ausländischen Regierung unterliegen. Der Kern des Problems liegt nicht in der Technologie selbst, sondern im Governance-Modell:

Wer kontrolliert, wo Daten verarbeitet werden, wer Zugriff hat, wie Schlüssel verwaltet werden und ob Logs durch Dritte überprüfbar sind – das entscheidet über digitale Souveränität.

Public Sector Organisationen agieren damit in einem Spannungsfeld: Einerseits der Druck zu effizienteren, kollaborativen Plattformen – andererseits ein regulatorischer Rahmen, der keine Datenflüsse ins Unbekannte erlaubt. Diese rechtlichen Spannungen lassen sich jedoch nicht durch politische Beschlüsse lösen, sondern nur durch technische Governance: Erst wenn Datenlokalisierung, Zugriffskontrolle und Schlüsselverwaltung technisch durchgesetzt werden, entsteht tatsächliche Souveränität.

Technische Governance in Microsoft 365

Microsoft 365 erfordert kein Misstrauen – aber technische Governance. Ohne ergänzende Architekturmassnahmen bleiben zentrale Fragen zu Datenlokalisierung, Zugriff und Verschlüsselung unbeantwortet. Erst durch gezielte Kontrolle über Schlüsselmanagement, Logging und Berechtigungen wird aus einer Cloud-Plattform eine rechtssichere Infrastruktur.

In der Praxis lässt sich technische Governance etwa über Tenant Restriction Policies, Conditional Access und den Einsatz von Sovereign Cloud Connectors umsetzen – Mechanismen, die Kontrolle und Nachvollziehbarkeit auf Infrastrukturebene verankern.

Dazu gehören:

  • Durchsetzbarkeit von Datenlokalisierung
  • Vollständige Auditierbarkeit von Datenflüssen
  • Unabhängiges Key Management
  • Zugriffskontrolle bis zur Root-Ebene

Nur so lässt sich rechtssichere digitale Infrastruktur im Public Sector betreiben.

Handlungsempfehlungen für den Public Sector

Microsoft 365 kann im öffentlichen Sektor nur dann rechtskonform betrieben werden, wenn technische Governance nicht nachträglich ergänzt, sondern von Beginn an in die Architektur eingebettet wird. Entscheidend ist, Zuständigkeiten und Kontrollmechanismen eindeutig zu definieren – unabhängig davon, ob der Betrieb in einer Public, Private oder Hybrid Cloud erfolgt.

Empfehlenswert ist ein mehrschichtiges Sicherheits- und Governance-Modell, das:

  • kryptografische Verfahren und Schlüsselverwaltung innerhalb der eigenen Domäne verankert,
  • Datenklassifizierung und Zugriffskontrolle automatisiert durchsetzt,
  • Protokollierung und Überwachung als eigenständige Funktionsebene implementiert und
  • Integrationen über API-Schnittstellen streng nach Compliance-Anforderungen steuert.

So entsteht eine technische Grundlage, auf der Microsoft 365 nicht als Risiko, sondern als regulierbare Infrastruktur betrieben werden kann – mit überprüfbarer Verantwortung und klarer Nachvollziehbarkeit aller Datenflüsse.

M365 im Einsatz.
Wissen Sie, wo Ihre Daten sind?

Daten in über 100 Ländern – für viele Behörden keine Option. CONVOTIS schafft Architekturen, die sicherstellen, dass Kontrolle, Verschlüsselung und Zugriffshoheit nicht bei Dritten liegen, sondern dort, wo sie hingehören.

Kontakt aufnehmen

Mehr Beiträge aus der Kategorie

Von Legacy zu SaaS: Wie nachhaltige Cloud-Migrationen gelingen
Cloud Solutions

Von Legacy zu SaaS: Wie nachhaltige Cloud-Migrationen gelingen

Mehr erfahren
Open Source Cloud Stack: Architekturprinzip für digitale Souveränität in regulierten Umfeldern
Cloud Solutions

Open Source Cloud Stack: Architekturprinzip für digitale Souveränität in regulierten Umfeldern

Mehr erfahren
Umstieg auf Open Source: Ein zentraler Schritt zur digitalen Souveränität
Cloud Solutions

Umstieg auf Open Source: Ein zentraler Schritt zur digitalen Souveränität

Mehr erfahren
Microsoft bestätigt Zugriffsmöglichkeiten durch US-Behörden auf EU-Daten
Cloud Solutions

Microsoft bestätigt Zugriffsmöglichkeiten durch US-Behörden auf EU-Daten

Mehr erfahren
Digitale Souveränität beginnt am Endgerät – nicht in der Cloud
Cloud Solutions

Digitale Souveränität beginnt am Endgerät – nicht in der Cloud

Mehr erfahren
Warum die Herkunft des Cloud-Providers entscheidend ist
Cloud Solutions

Warum die Herkunft des Cloud-Providers entscheidend ist

Mehr erfahren

Finden Sie Ihre Lösung

To top