[{"data":1,"prerenderedAt":931},["ShallowReactive",2],{"navigation-docs_de":3,"/blog/nis2-dsgvo-microsoft-paradox-posts_de":50,"/blog/nis2-dsgvo-microsoft-paradox-surround-posts_de":920},[4],{"title":5,"path":6,"stem":7,"children":8,"page":49},"De","/","de",[9],{"title":10,"path":11,"stem":12,"children":13,"page":49},"Docs","/docs","de/1.docs",[14,24],{"title":15,"path":16,"stem":17,"children":18},"Einführung","/docs/getting-started","de/1.docs/1.getting-started/1.index",[19,20],{"title":15,"path":16,"stem":17,"children":-1},{"title":21,"path":22,"stem":23,"children":-1},"Migrations-Fahrplan","/docs/getting-started/migration-fahrplan","de/1.docs/1.getting-started/2.migration-fahrplan",{"title":25,"path":26,"stem":27,"children":28,"page":49},"Technologien","/docs/technologien","de/1.docs/2.technologien",[29,33,37,41,45],{"title":30,"path":31,"stem":32,"children":-1},"Nextcloud","/docs/technologien/nextcloud","de/1.docs/2.technologien/1.nextcloud",{"title":34,"path":35,"stem":36,"children":-1},"Matrix / Element","/docs/technologien/matrix","de/1.docs/2.technologien/2.matrix",{"title":38,"path":39,"stem":40,"children":-1},"ONLYOFFICE","/docs/technologien/onlyoffice","de/1.docs/2.technologien/3.onlyoffice",{"title":42,"path":43,"stem":44,"children":-1},"Ubuntu Linux","/docs/technologien/ubuntu","de/1.docs/2.technologien/4.ubuntu",{"title":46,"path":47,"stem":48,"children":-1},"Keycloak","/docs/technologien/keycloak","de/1.docs/2.technologien/5.keycloak",false,{"id":51,"title":52,"authors":53,"badge":59,"body":61,"date":878,"description":879,"extension":880,"faq":881,"howto":895,"image":912,"meta":914,"navigation":915,"path":916,"seo":917,"stem":918,"__hash__":919},"posts_de/de/3.blog/10.nis2-dsgvo-microsoft-paradox.md","NIS2 und DSGVO mit Microsoft 365 – Das Compliance-Paradox deutscher Unternehmen",[54],{"name":55,"to":56,"avatar":57},"europioneer Team","https://europioneer.io",{"src":58},"/favicon.svg",{"label":60},"Compliance",{"type":62,"value":63,"toc":851},"minimark",[64,68,99,117,124,129,134,153,156,203,207,229,233,248,274,280,284,299,310,313,344,348,424,435,439,443,454,458,477,481,492,496,515,519,528,532,536,547,551,562,566,573,673,698,702,724,728,735,773,788,792,803,817,820,826,829,834],[65,66,52],"h1",{"id":67},"nis2-und-dsgvo-mit-microsoft-365-das-compliance-paradox-deutscher-unternehmen",[69,70,71,72,76,77,80,81,84,85,88,89,92,93,98],"p",{},"Deutsche und europäische Aufsichtsbehörden ziehen 2026 die Schrauben an: ",[73,74,75],"strong",{},"NIS2"," verpflichtet ab dem NIS2UmsuCG rund ",[73,78,79],{},"29.000 deutsche Unternehmen"," zu strenger Informationssicherheit. Die ",[73,82,83],{},"DSGVO"," straft Datenpannen mit bis zu ",[73,86,87],{},"4 % des Weltjahresumsatzes",". Das ",[73,90,91],{},"BSI"," fordert mit ",[94,95,97],"a",{"href":96},"/blog/bsi-grundschutz-microsoft-365","IT-Grundschutz und C5"," nachweisbare Kontrolle über jede Datenverarbeitung.",[69,100,101,102,105,106,109,110,116],{},"Und gleichzeitig läuft die komplette Infrastruktur der meisten Unternehmen auf ",[73,103,104],{},"Microsoft 365"," – einer ",[73,107,108],{},"Closed-Source-Plattform eines US-Konzerns",", der per ",[94,111,113],{"href":112},"/blog/cloud-act-2026",[73,114,115],{},"CLOUD Act"," jederzeit gezwungen werden kann, sämtliche Kundendaten an US-Behörden auszuliefern.",[69,118,119,120,123],{},"Das ist kein Compliance-Risiko. Das ist ein ",[73,121,122],{},"systemischer Selbstwiderspruch",". Und 2026 platzt er.",[125,126,128],"h2",{"id":127},"die-drei-säulen-des-compliance-drucks-2026","Die drei Säulen des Compliance-Drucks 2026",[130,131,133],"h3",{"id":132},"_1-nis2-ab-märz-2026-voll-wirksam","1. NIS2 – ab März 2026 voll wirksam",[69,135,136,137,140,141,144,145,148,149,152],{},"Die ",[73,138,139],{},"NIS2-Richtlinie (Network and Information Security Directive 2)"," ist seit Oktober 2024 in der EU in Kraft. Deutschland hat das ",[73,142,143],{},"NIS2-Umsetzungsgesetz (NIS2UmsuCG)"," verabschiedet. Betroffen sind rund ",[73,146,147],{},"29.000 Unternehmen"," in den Sektoren Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Produktion und vielen weiteren – plus deren ",[73,150,151],{},"gesamte Lieferkette",".",[69,154,155],{},"Die zentralen Pflichten:",[157,158,159,166,172,185,194],"ul",{},[160,161,162,165],"li",{},[73,163,164],{},"Risikomanagement"," für Informationssicherheit (Art. 21 NIS2)",[160,167,168,171],{},[73,169,170],{},"Lieferkettensicherheit"," – Sie haften für die Sicherheitslücken Ihrer Cloud-Anbieter",[160,173,174,177,178,181,182],{},[73,175,176],{},"Meldepflicht"," bei Sicherheitsvorfällen: erste Meldung in ",[73,179,180],{},"24 Stunden",", Vollmeldung in ",[73,183,184],{},"72 Stunden",[160,186,187,190,191],{},[73,188,189],{},"Geschäftsleitungshaftung"," – Vorstand und Geschäftsführer haften ",[73,192,193],{},"persönlich",[160,195,196,199,200],{},[73,197,198],{},"Bußgelder"," bis ",[73,201,202],{},"10 Mio. € oder 2 % des Weltjahresumsatzes",[130,204,206],{"id":205},"_2-dsgvo-schrems-iii-in-vorbereitung","2. DSGVO – Schrems III in Vorbereitung",[69,208,136,209,211,212,216,217,220,221,228],{},[73,210,83],{}," ist seit 2018 scharf. 2026 verschärft sich die Auslegung weiter: Aufsichtsbehörden in Berlin, NRW, Hessen und Baden-Württemberg haben Microsoft 365 in ",[94,213,215],{"href":214},"/blog/microsoft-365-schulen","öffentlichen Einrichtungen und Schulen"," ",[73,218,219],{},"untersagt oder davon abgeraten",". Max Schrems' ",[94,222,224,225],{"href":223},"/blog/schrems-iii-eugh-urteil","dritte Klage gegen das ",[73,226,227],{},"EU-US Data Privacy Framework (DPF)"," läuft – ein Urteil zugunsten der Kläger gilt als wahrscheinlich.",[130,230,232],{"id":231},"_3-bsi-it-grundschutz-und-c5-nachweisbare-kontrolle-gefordert","3. BSI IT-Grundschutz und C5 – nachweisbare Kontrolle gefordert",[69,234,235,236,239,240,243,244,247],{},"Das ",[73,237,238],{},"Bundesamt für Sicherheit in der Informationstechnik (BSI)"," verlangt im ",[73,241,242],{},"IT-Grundschutz-Kompendium"," und im ",[73,245,246],{},"C5-Kriterienkatalog"," für Cloud-Dienste nachweisbare Kontrolle über:",[157,249,250,256,262,268],{},[160,251,252,255],{},[73,253,254],{},"Schlüsselverwaltung"," – wer hält die kryptografischen Schlüssel?",[160,257,258,261],{},[73,259,260],{},"Rechenzentrumsstandort"," – in EU/EWR, Drittland-frei?",[160,263,264,267],{},[73,265,266],{},"Zugriffsmöglichkeiten Dritter"," – auch durch ausländische Behörden?",[160,269,270,273],{},[73,271,272],{},"Lückenlose Auditierbarkeit"," – inklusive Quellcode bei kritischen Komponenten?",[69,275,276,277],{},"Bei Microsoft 365 ist die ehrliche Antwort auf jede dieser Fragen: ",[73,278,279],{},"Nein, das können wir nicht garantieren.",[125,281,283],{"id":282},"das-scheunentor-microsoft-365-unter-dem-cloud-act","Das Scheunentor: Microsoft 365 unter dem CLOUD Act",[69,285,286,287,290,291,294,295,298],{},"Der ",[73,288,289],{},"US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018)"," verpflichtet jeden US-Konzern dazu, Daten ",[73,292,293],{},"weltweit"," an US-Behörden herauszugeben – ",[73,296,297],{},"unabhängig vom Serverstandort",". Frankfurt, Dublin, Amsterdam – irrelevant. Wenn Microsoft die Daten technisch und vertraglich kontrolliert, muss Microsoft sie liefern.",[69,300,301,302,305,306,309],{},"Microsoft hat das 2025 vor dem ",[73,303,304],{},"französischen Senat"," unter Eid bestätigt: ",[73,307,308],{},"Es gibt keine Garantie, dass Daten aus der „EU Data Boundary\" niemals in die USA gelangen."," Die zweite Trump-Administration hat 2025 zusätzlich per Executive Order die richterliche Kontrolle über CLOUD-Act-Anfragen praktisch ausgehebelt.",[69,311,312],{},"Das bedeutet für jedes Unternehmen, das Microsoft 365 nutzt:",[314,315,316,332,338],"ol",{},[160,317,318,321,322,321,325,321,328,331],{},[73,319,320],{},"Ihre E-Mails",", ",[73,323,324],{},"Teams-Chats",[73,326,327],{},"OneDrive-Dateien",[73,329,330],{},"SharePoint-Dokumente"," sind theoretisch jederzeit für US-Behörden zugänglich.",[160,333,334,337],{},[73,335,336],{},"Sie wissen es nicht",", wenn eine Anfrage kommt – Gag Orders verbieten die Information der Betroffenen.",[160,339,340,343],{},[73,341,342],{},"Sie können es nicht verhindern",", weil Microsoft den Schlüssel hält.",[125,345,347],{"id":346},"das-paradox-in-einer-tabelle","Das Paradox in einer Tabelle",[349,350,351,364],"table",{},[352,353,354],"thead",{},[355,356,357,361],"tr",{},[358,359,360],"th",{},"Compliance-Anforderung",[358,362,363],{},"Realität mit Microsoft 365",[365,366,367,376,384,392,400,408,416],"tbody",{},[355,368,369,373],{},[370,371,372],"td",{},"NIS2 Art. 21: Kontrolle über Lieferkette",[370,374,375],{},"Microsoft = Single Point of Failure für >90 % der DE-Wirtschaft",[355,377,378,381],{},[370,379,380],{},"NIS2: 24-h-Meldepflicht bei Incidents",[370,382,383],{},"Microsoft meldet Breaches teils erst Monate später (siehe Midnight Blizzard 2024)",[355,385,386,389],{},[370,387,388],{},"DSGVO Art. 44: Drittlandsübermittlung nur mit Garantien",[370,390,391],{},"CLOUD Act bricht jede vertragliche Garantie",[355,393,394,397],{},[370,395,396],{},"DSGVO Art. 32: Stand der Technik",[370,398,399],{},"Closed-Source-Code = keine unabhängige Prüfung möglich",[355,401,402,405],{},[370,403,404],{},"BSI IT-Grundschutz APP.5.2: Schlüsselhoheit",[370,406,407],{},"Microsoft hält die Schlüssel, nicht der Kunde",[355,409,410,413],{},[370,411,412],{},"BSI C5: Standortkontrolle",[370,414,415],{},"„EU Data Boundary\" ohne CLOUD-Act-Schutz wertlos",[355,417,418,421],{},[370,419,420],{},"BSI: Auditierbarkeit",[370,422,423],{},"Quellcode nicht einsehbar, Audits nur durch MS-Partner",[69,425,426,427,430,431,434],{},"Wer behauptet, mit Microsoft 365 ",[73,428,429],{},"gleichzeitig"," NIS2- und DSGVO-konform zu sein, ",[73,432,433],{},"lügt sich in die Tasche",". Aufsichtsbehörden wissen das. Versicherer wissen das. Und im Schadensfall wird es ein Gericht wissen.",[125,436,438],{"id":437},"häufige-fragen-zur-microsoft-365-compliance","Häufige Fragen zur Microsoft-365-Compliance",[130,440,442],{"id":441},"schützt-die-microsoft-eu-data-boundary-vor-dem-cloud-act","Schützt die Microsoft EU Data Boundary vor dem CLOUD Act?",[69,444,445,446,449,450,453],{},"Nein. Die ",[73,447,448],{},"EU Data Boundary"," speichert Daten in EU-Rechenzentren. ",[73,451,452],{},"Sie ändert nichts am CLOUD Act."," Microsoft Corp. (USA) bleibt rechtlich verantwortlich. Microsoft hat das 2025 vor dem französischen Senat unter Eid bestätigt.",[130,455,457],{"id":456},"reichen-standardvertragsklauseln-sccs-für-rechtssichere-microsoft-365-nutzung","Reichen Standardvertragsklauseln (SCCs) für rechtssichere Microsoft-365-Nutzung?",[69,459,460,461,464,465,468,469,472,473,476],{},"Nein. ",[73,462,463],{},"SCCs (Standard Contractual Clauses)"," wurden vom EuGH in Schrems II nur dann als gültig anerkannt, wenn der Datenexporteur ",[73,466,467],{},"zusätzliche Schutzmaßnahmen"," trifft, die den US-Behördenzugriff ",[73,470,471],{},"effektiv verhindern",". Bei Microsoft 365 ist das ",[73,474,475],{},"technisch unmöglich"," – das hat der EDPB 2021 in seinen Recommendations 01/2020 klargestellt.",[130,478,480],{"id":479},"reicht-clientseitige-verschlüsselung-byok-customer-lockbox-für-dsgvo-konformität","Reicht clientseitige Verschlüsselung (BYOK / Customer Lockbox) für DSGVO-Konformität?",[69,482,483,484,487,488,491],{},"Nein. Microsoft hält bei BYOK (Bring Your Own Key) und Customer Lockbox ",[73,485,486],{},"trotzdem Zugriffsmöglichkeiten",", weil Indexierung, Suche, Anti-Spam und KI-Features (Copilot) entschlüsselten Zugriff brauchen. ",[73,489,490],{},"Echte Ende-zu-Ende-Verschlüsselung gibt es in Microsoft 365 nicht"," – sonst würde Copilot nicht funktionieren.",[130,493,495],{"id":494},"gilt-die-nis2-richtlinie-auch-für-kleine-unternehmen","Gilt die NIS2-Richtlinie auch für kleine Unternehmen?",[69,497,498,499,502,503,506,507,510,511,514],{},"NIS2 trifft direkt alle ",[73,500,501],{},"mittleren und großen Unternehmen"," in den ",[73,504,505],{},"18 Sektoren",". Aber auch ",[73,508,509],{},"kleine Unternehmen"," sind betroffen, wenn sie Teil einer ",[73,512,513],{},"Lieferkette"," zu NIS2-pflichtigen Unternehmen sind. Ihr Großkunde wird Sie vertraglich verpflichten – wenn er noch keinen NIS2-Anhang schickt, kommt er.",[130,516,518],{"id":517},"welche-bußgelder-drohen-bei-nis2-verstößen","Welche Bußgelder drohen bei NIS2-Verstößen?",[69,520,521,522,525,526,152],{},"Bis zu ",[73,523,524],{},"10 Mio. € oder 2 % des weltweiten Jahresumsatzes"," – der höhere Wert gilt. Zusätzlich haftet die Geschäftsleitung unter NIS2 ",[73,527,193],{},[125,529,531],{"id":530},"so-migrieren-sie-nis2-und-dsgvo-konform-der-compliance-migrationspfad","So migrieren Sie NIS2- und DSGVO-konform – der Compliance-Migrationspfad",[130,533,535],{"id":534},"schritt-1-datenfluss-audit-sofort-24-wochen-step-1","Schritt 1: Datenfluss-Audit (sofort, 2–4 Wochen) {#step-1}",[157,537,538,541,544],{},[160,539,540],{},"Welche personenbezogenen / geschäftskritischen Daten gehen in welche US-Dienste?",[160,542,543],{},"Wer in Ihrer Lieferkette unterliegt NIS2?",[160,545,546],{},"Welche Datenkategorien sind besonders schutzbedürftig (Personal, Finanzen, Forschung, Gesundheit)?",[130,548,550],{"id":549},"schritt-2-risikoanalyse-nach-bsi-standard-200-3-48-wochen-step-2","Schritt 2: Risikoanalyse nach BSI-Standard 200-3 (4–8 Wochen) {#step-2}",[157,552,553,556],{},[160,554,555],{},"Bewertung jedes Datenflusses gegen NIS2 Art. 21, DSGVO Art. 32, BSI-Grundschutz-Bausteine",[160,557,558,559],{},"Dokumentation für die Aufsichtsbehörden – im Ernstfall Ihr ",[73,560,561],{},"Haftungsschild",[130,563,565],{"id":564},"schritt-3-migrationsplan-auf-souveräne-open-source-infrastruktur-step-3","Schritt 3: Migrationsplan auf souveräne Open-Source-Infrastruktur {#step-3}",[69,567,568,569,572],{},"Konkrete Ersetzungen, die wir bei ",[94,570,571],{"href":6},"europioneer"," für KMU und öffentliche Stellen umsetzen:",[349,574,575,585],{},[352,576,577],{},[355,578,579,582],{},[358,580,581],{},"Microsoft-Komponente",[358,583,584],{},"Souveräne Open-Source-Alternative",[365,586,587,595,606,617,625,633,641,649,657,665],{},[355,588,589,592],{},[370,590,591],{},"Outlook + Exchange",[370,593,594],{},"Mailcow / Stalwart Mail + SOGo",[355,596,597,600],{},[370,598,599],{},"Teams (Chat & Video)",[370,601,602],{},[94,603,605],{"href":604},"/blog/microsoft-teams-alternative","Element / Matrix + Element Call",[355,607,608,611],{},[370,609,610],{},"OneDrive / SharePoint",[370,612,613],{},[94,614,616],{"href":615},"/blog/nextcloud-vs-onedrive-sharepoint","Nextcloud Hub",[355,618,619,622],{},[370,620,621],{},"Word / Excel / PowerPoint",[370,623,624],{},"ONLYOFFICE / Collabora",[355,626,627,630],{},[370,628,629],{},"OneNote",[370,631,632],{},"Nextcloud Notes / Joplin Server",[355,634,635,638],{},[370,636,637],{},"Active Directory",[370,639,640],{},"Keycloak + Univention Corporate Server",[355,642,643,646],{},[370,644,645],{},"LastPass / Authenticator",[370,647,648],{},"Vaultwarden",[355,650,651,654],{},[370,652,653],{},"Power Automate",[370,655,656],{},"n8n (self-hosted)",[355,658,659,662],{},[370,660,661],{},"Microsoft Defender",[370,663,664],{},"Wazuh + Suricata + ClamAV",[355,666,667,670],{},[370,668,669],{},"Azure",[370,671,672],{},"OpenStack / Proxmox auf EU-Hardware",[69,674,675,676,321,679,321,682,685,686,689,690,694,695],{},"Alle gehostet bei ",[73,677,678],{},"Hetzner",[73,680,681],{},"OVHcloud",[73,683,684],{},"Scaleway"," oder ",[73,687,688],{},"IONOS"," – oder On-Premise. Teil des ",[94,691,693],{"href":692},"/blog/eurostack-digitale-souveraenitaet","EUROSTACK für digitale Souveränität",". ",[73,696,697],{},"Volle Schlüsselhoheit. Quellcode auditierbar. Keine US-Jurisdiktion.",[130,699,701],{"id":700},"schritt-4-stufenmigration-ohne-produktivitätseinbruch-816-wochen-step-4","Schritt 4: Stufenmigration ohne Produktivitätseinbruch (8–16 Wochen) {#step-4}",[69,703,704,705,708,709,321,712,321,715,718,719,723],{},"Wir migrieren in ",[73,706,707],{},"Wellen pro Abteilung",", in der Regel 8–16 Wochen für ein KMU mit 20–100 Mitarbeitern. ",[73,710,711],{},"E-Mail-Adressen bleiben",[73,713,714],{},"Daten werden 1:1 übernommen",[73,716,717],{},"Mitarbeiter werden geschult",". Festpreis, dokumentierte Compliance-Spuren für DSGVO/NIS2/BSI-Audits inklusive. Eine detaillierte ",[94,720,722],{"href":721},"/blog/microsoft-vs-opensource","Kosten-Gegenüberstellung Microsoft 365 vs. Open Source"," zeigt, warum die Migration sich meist auch finanziell innerhalb von 12 Monaten amortisiert.",[125,725,727],{"id":726},"wer-jetzt-nicht-handelt-zahlt-doppelt","Wer jetzt nicht handelt, zahlt doppelt",[69,729,730,731,734],{},"Die Migrationskosten 2026 sind kalkulierbar. Die Kosten für ",[73,732,733],{},"Untätigkeit"," sind es nicht:",[157,736,737,743,749,755,761,767],{},[160,738,739,742],{},[73,740,741],{},"DSGVO-Bußgeld"," nach Schrems III: bis 4 % Weltjahresumsatz",[160,744,745,748],{},[73,746,747],{},"NIS2-Bußgeld",": bis 10 Mio. € oder 2 % Weltjahresumsatz",[160,750,751,754],{},[73,752,753],{},"Persönliche Haftung der Geschäftsleitung"," unter NIS2",[160,756,757,760],{},[73,758,759],{},"Schadensersatzansprüche"," betroffener Personen unter DSGVO Art. 82",[160,762,763,766],{},[73,764,765],{},"Reputationsschaden"," bei Meldung eines Vorfalls an Kunden und Behörden",[160,768,769,772],{},[73,770,771],{},"Versicherungs-Ausschluss",": Cyber-Versicherer zahlen nicht bei vorsätzlicher Compliance-Verletzung",[69,774,775,776,779,780,783,784,787],{},"Und der ",[73,777,778],{},"Notfall-Aufpreis"," für eine Migration ",[73,781,782],{},"nach"," einem Schrems-III-Urteil liegt erfahrungsgemäß ",[73,785,786],{},"bei dem 3- bis 5-fachen"," einer geplanten Migration.",[125,789,791],{"id":790},"fazit-souveränität-ist-kein-luxus-sondern-compliance","Fazit: Souveränität ist kein Luxus, sondern Compliance",[69,793,794,795,798,799,802],{},"Die EU verlangt mit NIS2, DSGVO und BSI-Grundschutz von Unternehmen ",[73,796,797],{},"genau das",", was Microsoft 365 strukturell ",[73,800,801],{},"nicht liefern kann",": Kontrolle, Auditierbarkeit, Drittstaaten-Schutz.",[69,804,805,806,809,810,813,814,152],{},"Wer behauptet, beides ginge gleichzeitig, betreibt ",[73,807,808],{},"Compliance-Theater",". Die Frage ist nicht mehr, ",[73,811,812],{},"ob"," Sie migrieren – sondern ",[73,815,816],{},"ob Sie es planen oder ob der erste Bußgeldbescheid Sie dazu zwingt",[69,818,819],{},"Wir haben den Migrationspfad standardisiert. Souveräne EU-Infrastruktur, transparenter Festpreis, Compliance-Dokumentation für DSGVO, NIS2 und BSI inklusive.",[69,821,822],{},[94,823,825],{"href":824},"/contact?subject=NIS2-Migration","Kostenloses Compliance-Erstgespräch vereinbaren →",[827,828],"hr",{},[69,830,831],{},[73,832,833],{},"Verwandte Beiträge:",[157,835,836,841,846],{},[160,837,838],{},[94,839,840],{"href":112},"CLOUD Act 2026 – Warum US-Cloud rechtlich nicht mehr tragbar ist",[160,842,843],{},[94,844,845],{"href":223},"Schrems III – Was das EuGH-Urteil 2026/2027 bedeutet",[160,847,848],{},[94,849,850],{"href":692},"EUROSTACK – Die digitale Souveränität Europas",{"title":852,"searchDepth":853,"depth":853,"links":854},"",2,[855,861,862,863,870,876,877],{"id":127,"depth":853,"text":128,"children":856},[857,859,860],{"id":132,"depth":858,"text":133},3,{"id":205,"depth":858,"text":206},{"id":231,"depth":858,"text":232},{"id":282,"depth":853,"text":283},{"id":346,"depth":853,"text":347},{"id":437,"depth":853,"text":438,"children":864},[865,866,867,868,869],{"id":441,"depth":858,"text":442},{"id":456,"depth":858,"text":457},{"id":479,"depth":858,"text":480},{"id":494,"depth":858,"text":495},{"id":517,"depth":858,"text":518},{"id":530,"depth":853,"text":531,"children":871},[872,873,874,875],{"id":534,"depth":858,"text":535},{"id":549,"depth":858,"text":550},{"id":564,"depth":858,"text":565},{"id":700,"depth":858,"text":701},{"id":726,"depth":853,"text":727},{"id":790,"depth":853,"text":791},"2026-05-20T00:00:00.000Z","NIS2, DSGVO und BSI fordern strikte Datenkontrolle. Gleichzeitig laufen 90 % der Unternehmen auf US-Cloud, die per CLOUD Act offen wie ein Scheunentor ist. Warum die Compliance-Lüge 2026 platzt – und was Sie jetzt tun müssen.","md",[882,884,886,888,890,892],{"q":495,"a":883},"NIS2 erfasst direkt mittlere und große Unternehmen in 18 Sektoren. Kleine Unternehmen sind über die Lieferkette gebunden, sobald sie an NIS2-regulierte Auftraggeber liefern – diese geben die Pflichten vertraglich an ihre Zulieferer weiter.",{"q":442,"a":885},"Nein. Die EU Data Boundary speichert Daten in EU-Rechenzentren, ändert aber nichts an der Tatsache, dass Microsoft Corp. (USA) rechtlich verantwortlich ist und dem CLOUD Act unterliegt. Microsoft hat dies 2025 vor dem französischen Senat unter Eid bestätigt.",{"q":457,"a":887},"Nein. Der EuGH hat in Schrems II klargestellt, dass SCCs nur mit zusätzlichen Schutzmaßnahmen gelten, die US-Behördenzugriff effektiv verhindern. Für Microsoft 365 ist das technisch unmöglich – der EDPB hat das in den Recommendations 01/2020 ausdrücklich bestätigt.",{"q":480,"a":889},"Nein. Microsoft benötigt entschlüsselten Zugriff für Indexierung, Suche, Anti-Spam und Copilot. Echte Ende-zu-Ende-Verschlüsselung gibt es in Microsoft 365 nicht – Copilot würde sonst nicht funktionieren.",{"q":518,"a":891},"Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – der höhere Wert gilt. Zusätzlich haftet die Geschäftsleitung unter NIS2 persönlich.",{"q":893,"a":894},"Wie lange dauert eine Migration von Microsoft 365 auf souveräne Open-Source-Infrastruktur?","Für ein KMU mit 20–100 Mitarbeitern in der Regel 8–16 Wochen, gestaffelt pro Abteilung. E-Mail-Adressen bleiben erhalten, Daten werden 1:1 übernommen, Mitarbeiter werden geschult.",{"name":896,"description":897,"totalTime":898,"steps":899},"NIS2- und DSGVO-konforme Migration von Microsoft 365 auf souveräne Open-Source-Infrastruktur","Vierstufiger Migrationspfad nach BSI-Methodik – von Datenfluss-Audit über Risikoanalyse bis zur dokumentierten Stufenmigration ohne Produktivitätseinbruch.","P16W",[900,903,906,909],{"name":901,"text":902},"Datenfluss-Audit","Erfassen, welche personenbezogenen und geschäftskritischen Daten in welche US-Dienste fließen, NIS2-Stellung in der Lieferkette ermitteln, besonders schutzbedürftige Datenkategorien (HR, Finanzen, Forschung, Gesundheit) markieren. Dauer 2–4 Wochen.",{"name":904,"text":905},"Risikoanalyse nach BSI-Standard 200-3","Jeden Datenfluss gegen NIS2 Art. 21, DSGVO Art. 32 und die einschlägigen BSI-Grundschutz-Bausteine bewerten und dokumentieren. Das Dokument ist im Schadensfall der Haftungsschild gegenüber Aufsichtsbehörden. Dauer 4–8 Wochen.",{"name":907,"text":908},"Migrationsplan auf souveräne Open-Source-Stack-Komponenten","Konkrete 1:1-Ersetzungen festlegen — Mailcow/Stalwart statt Exchange Online, Element/Matrix statt Teams, Nextcloud + ONLYOFFICE statt OneDrive/SharePoint/Office, Keycloak statt Entra ID, Vaultwarden statt LastPass. Hosting bei Hetzner, OVHcloud, Scaleway, IONOS oder On-Premise.",{"name":910,"text":911},"Stufenmigration in Wellen pro Abteilung","In 8–16 Wochen wellenweise migrieren — E-Mail-Adressen bleiben, Daten werden 1:1 übernommen, Mitarbeiter werden geschult. Compliance-Dokumentation für DSGVO-, NIS2- und BSI-Audits läuft durchgehend mit.",{"src":913},"https://images.unsplash.com/photo-1563013544-824ae1b704d3?w=1200&q=80",{},true,"/de/blog/nis2-dsgvo-microsoft-paradox",{"title":52,"description":879},"de/3.blog/10.nis2-dsgvo-microsoft-paradox","pLXSUSg-9sWFS4IvFmq9fZB5wuawhuLWcCgZQNHHTHc",[921,926],{"title":922,"path":923,"stem":924,"description":925,"children":-1},"Microsoft 365 vs. Open Source – Der große Kostenvergleich für KMU","/de/blog/microsoft-vs-opensource","de/3.blog/1.microsoft-vs-opensource","Was kostet Microsoft 365 wirklich? Wir rechnen durch, was KMU mit 20 Mitarbeitern durch einen Wechsel zu Open Source sparen können.",{"title":927,"path":928,"stem":929,"description":930,"children":-1},"BSI IT-Grundschutz und Microsoft 365 – Warum die Kombination unmöglich konform sein kann","/de/blog/bsi-grundschutz-microsoft-365","de/3.blog/11.bsi-grundschutz-microsoft-365","Das BSI verlangt im IT-Grundschutz-Kompendium nachweisbare Kontrolle über Schlüssel, Standort und Audit. Microsoft 365 erfüllt keinen einzigen kritischen Baustein vollständig. Die Bausteine OPS.2.2, APP.5.2 und CON.3 zeigen warum – inklusive Migrationspfad.",1779405614706]