NIS2 und DSGVO mit Microsoft 365 – Das Compliance-Paradox deutscher Unternehmen

Deutsche und europäische Aufsichtsbehörden ziehen 2026 die Schrauben an: NIS2 verpflichtet ab dem NIS2UmsuCG rund 29.000 deutsche Unternehmen zu strenger Informationssicherheit. Die DSGVO straft Datenpannen mit bis zu 4 % des Weltjahresumsatzes. Das BSI fordert mit IT-Grundschutz und C5 nachweisbare Kontrolle über jede Datenverarbeitung.

Und gleichzeitig läuft die komplette Infrastruktur der meisten Unternehmen auf Microsoft 365 – einer Closed-Source-Plattform eines US-Konzerns, der per CLOUD Act jederzeit gezwungen werden kann, sämtliche Kundendaten an US-Behörden auszuliefern.

Das ist kein Compliance-Risiko. Das ist ein systemischer Selbstwiderspruch. Und 2026 platzt er.

Die drei Säulen des Compliance-Drucks 2026

1. NIS2 – ab März 2026 voll wirksam

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Oktober 2024 in der EU in Kraft. Deutschland hat das NIS2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet. Betroffen sind rund 29.000 Unternehmen in den Sektoren Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Produktion und vielen weiteren – plus deren gesamte Lieferkette.

Die zentralen Pflichten:

• Risikomanagement für Informationssicherheit (Art. 21 NIS2)
• Lieferkettensicherheit – Sie haften für die Sicherheitslücken Ihrer Cloud-Anbieter
• Meldepflicht bei Sicherheitsvorfällen: erste Meldung in 24 Stunden, Vollmeldung in 72 Stunden
• Geschäftsleitungshaftung – Vorstand und Geschäftsführer haften persönlich
• Bußgelder bis 10 Mio. € oder 2 % des Weltjahresumsatzes

2. DSGVO – Schrems III in Vorbereitung

Die DSGVO ist seit 2018 scharf. 2026 verschärft sich die Auslegung weiter: Aufsichtsbehörden in Berlin, NRW, Hessen und Baden-Württemberg haben Microsoft 365 in öffentlichen Einrichtungen und Schulen untersagt oder davon abgeraten. Max Schrems' dritte Klage gegen das EU-US Data Privacy Framework (DPF) läuft – ein Urteil zugunsten der Kläger gilt als wahrscheinlich.

3. BSI IT-Grundschutz und C5 – nachweisbare Kontrolle gefordert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verlangt im IT-Grundschutz-Kompendium und im C5-Kriterienkatalog für Cloud-Dienste nachweisbare Kontrolle über:

• Schlüsselverwaltung – wer hält die kryptografischen Schlüssel?
• Rechenzentrumsstandort – in EU/EWR, Drittland-frei?
• Zugriffsmöglichkeiten Dritter – auch durch ausländische Behörden?
• Lückenlose Auditierbarkeit – inklusive Quellcode bei kritischen Komponenten?

Bei Microsoft 365 ist die ehrliche Antwort auf jede dieser Fragen: Nein, das können wir nicht garantieren.

Das Scheunentor: Microsoft 365 unter dem CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) verpflichtet jeden US-Konzern dazu, Daten weltweit an US-Behörden herauszugeben – unabhängig vom Serverstandort. Frankfurt, Dublin, Amsterdam – irrelevant. Wenn Microsoft die Daten technisch und vertraglich kontrolliert, muss Microsoft sie liefern.

Microsoft hat das 2025 vor dem französischen Senat unter Eid bestätigt: Es gibt keine Garantie, dass Daten aus der „EU Data Boundary" niemals in die USA gelangen. Die zweite Trump-Administration hat 2025 zusätzlich per Executive Order die richterliche Kontrolle über CLOUD-Act-Anfragen praktisch ausgehebelt.

Das bedeutet für jedes Unternehmen, das Microsoft 365 nutzt:

1. Ihre E-Mails, Teams-Chats, OneDrive-Dateien, SharePoint-Dokumente sind theoretisch jederzeit für US-Behörden zugänglich.
2. Sie wissen es nicht, wenn eine Anfrage kommt – Gag Orders verbieten die Information der Betroffenen.
3. Sie können es nicht verhindern, weil Microsoft den Schlüssel hält.

Das Paradox in einer Tabelle

Wer behauptet, mit Microsoft 365 gleichzeitig NIS2- und DSGVO-konform zu sein, lügt sich in die Tasche. Aufsichtsbehörden wissen das. Versicherer wissen das. Und im Schadensfall wird es ein Gericht wissen.

Häufige Fragen zur Microsoft-365-Compliance

Schützt die Microsoft EU Data Boundary vor dem CLOUD Act?

Nein. Die EU Data Boundary speichert Daten in EU-Rechenzentren. Sie ändert nichts am CLOUD Act. Microsoft Corp. (USA) bleibt rechtlich verantwortlich. Microsoft hat das 2025 vor dem französischen Senat unter Eid bestätigt.

Reichen Standardvertragsklauseln (SCCs) für rechtssichere Microsoft-365-Nutzung?

Nein. SCCs (Standard Contractual Clauses) wurden vom EuGH in Schrems II nur dann als gültig anerkannt, wenn der Datenexporteur zusätzliche Schutzmaßnahmen trifft, die den US-Behördenzugriff effektiv verhindern. Bei Microsoft 365 ist das technisch unmöglich – das hat der EDPB 2021 in seinen Recommendations 01/2020 klargestellt.

Reicht clientseitige Verschlüsselung (BYOK / Customer Lockbox) für DSGVO-Konformität?

Nein. Microsoft hält bei BYOK (Bring Your Own Key) und Customer Lockbox trotzdem Zugriffsmöglichkeiten, weil Indexierung, Suche, Anti-Spam und KI-Features (Copilot) entschlüsselten Zugriff brauchen. Echte Ende-zu-Ende-Verschlüsselung gibt es in Microsoft 365 nicht – sonst würde Copilot nicht funktionieren.

Gilt die NIS2-Richtlinie auch für kleine Unternehmen?

NIS2 trifft direkt alle mittleren und großen Unternehmen in den 18 Sektoren. Aber auch kleine Unternehmen sind betroffen, wenn sie Teil einer Lieferkette zu NIS2-pflichtigen Unternehmen sind. Ihr Großkunde wird Sie vertraglich verpflichten – wenn er noch keinen NIS2-Anhang schickt, kommt er.

Welche Bußgelder drohen bei NIS2-Verstößen?

Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – der höhere Wert gilt. Zusätzlich haftet die Geschäftsleitung unter NIS2 persönlich.

So migrieren Sie NIS2- und DSGVO-konform – der Compliance-Migrationspfad

Schritt 1: Datenfluss-Audit (sofort, 2–4 Wochen) {#step-1}

• Welche personenbezogenen / geschäftskritischen Daten gehen in welche US-Dienste?
• Wer in Ihrer Lieferkette unterliegt NIS2?
• Welche Datenkategorien sind besonders schutzbedürftig (Personal, Finanzen, Forschung, Gesundheit)?

Schritt 2: Risikoanalyse nach BSI-Standard 200-3 (4–8 Wochen) {#step-2}

• Bewertung jedes Datenflusses gegen NIS2 Art. 21, DSGVO Art. 32, BSI-Grundschutz-Bausteine
• Dokumentation für die Aufsichtsbehörden – im Ernstfall Ihr Haftungsschild

Schritt 3: Migrationsplan auf souveräne Open-Source-Infrastruktur {#step-3}

Konkrete Ersetzungen, die wir bei europioneer für KMU und öffentliche Stellen umsetzen:

Alle gehostet bei Hetzner, OVHcloud, Scaleway oder IONOS – oder On-Premise. Teil des EUROSTACK für digitale Souveränität. Volle Schlüsselhoheit. Quellcode auditierbar. Keine US-Jurisdiktion.

Schritt 4: Stufenmigration ohne Produktivitätseinbruch (8–16 Wochen) {#step-4}

Wir migrieren in Wellen pro Abteilung, in der Regel 8–16 Wochen für ein KMU mit 20–100 Mitarbeitern. E-Mail-Adressen bleiben, Daten werden 1:1 übernommen, Mitarbeiter werden geschult. Festpreis, dokumentierte Compliance-Spuren für DSGVO/NIS2/BSI-Audits inklusive. Eine detaillierte Kosten-Gegenüberstellung Microsoft 365 vs. Open Source zeigt, warum die Migration sich meist auch finanziell innerhalb von 12 Monaten amortisiert.

Wer jetzt nicht handelt, zahlt doppelt

Die Migrationskosten 2026 sind kalkulierbar. Die Kosten für Untätigkeit sind es nicht:

• DSGVO-Bußgeld nach Schrems III: bis 4 % Weltjahresumsatz
• NIS2-Bußgeld: bis 10 Mio. € oder 2 % Weltjahresumsatz
• Persönliche Haftung der Geschäftsleitung unter NIS2
• Schadensersatzansprüche betroffener Personen unter DSGVO Art. 82
• Reputationsschaden bei Meldung eines Vorfalls an Kunden und Behörden
• Versicherungs-Ausschluss: Cyber-Versicherer zahlen nicht bei vorsätzlicher Compliance-Verletzung

Und der Notfall-Aufpreis für eine Migration nach einem Schrems-III-Urteil liegt erfahrungsgemäß bei dem 3- bis 5-fachen einer geplanten Migration.

Fazit: Souveränität ist kein Luxus, sondern Compliance

Die EU verlangt mit NIS2, DSGVO und BSI-Grundschutz von Unternehmen genau das, was Microsoft 365 strukturell nicht liefern kann: Kontrolle, Auditierbarkeit, Drittstaaten-Schutz.

Wer behauptet, beides ginge gleichzeitig, betreibt Compliance-Theater. Die Frage ist nicht mehr, ob Sie migrieren – sondern ob Sie es planen oder ob der erste Bußgeldbescheid Sie dazu zwingt.

Wir haben den Migrationspfad standardisiert. Souveräne EU-Infrastruktur, transparenter Festpreis, Compliance-Dokumentation für DSGVO, NIS2 und BSI inklusive.

Kostenloses Compliance-Erstgespräch vereinbaren →

Verwandte Beiträge:

• CLOUD Act 2026 – Warum US-Cloud rechtlich nicht mehr tragbar ist
• Schrems III – Was das EuGH-Urteil 2026/2027 bedeutet
• EUROSTACK – Die digitale Souveränität Europas