Datenschutzrisiko OneDrive ? Rechtslage, Risiken und Handlungsempfehlungen

Ob nach dem Sommerfest im Kollegium, dem letzten Teamausflug oder einem Workshop-Wochenende – oft folgt kurz darauf ein vertrauter Satz: „Die Bilder findest du in unserem OneDrive-Ordner.“ Was zunächst praktisch klingt, wirft bei genauerem Hinsehen datenschutzrechtlich heikle Fragen auf. Denn solche Bilder zeigen nicht selten klar erkennbare Personen – und zählen damit zu sogennten personenbezogenen Daten, die unter den Schutz des europäischen Rechtes genauer, der Datenschutz-Grundverordnung (DSGVO) fallen.

Natürlich fragt man sich: Wer sollte sich für ein harmloses Foto interessieren, auf dem ich beim Grillen neben Kollegen stehe? Doch der Blick in online geteilte OneDrive-Ordner offenbart ein anderes Bild: Arbeitsverträge, Gehaltsabrechnungen, Gesundheitsdaten oder vertrauliche Projektunterlagen sind keine Seltenheit. Informationen, die für Dritte – seien es Versicherer, Dienstleister oder wirtschaftlich interessierte Akteure – weit mehr als nur „nice to know“ sind.

Doch wo genau landen diese Daten? Auf welchem Server stehen sie – und in welchem Land? Wer kann, außer den eingeladenen Personen, potenziell noch darauf zugreifen?

Fragen wie diese führen zu einem zentralen Thema: Ist die Nutzung von Microsoft OneDrive mit europäischen Datenschutzstandards vereinbar? Besonders relevant sind hier die Vorgaben der DSGVO, das wegweisende EuGH-Urteil „Schrems II“ und der US CLOUD Act. Sie alle werfen Zweifel an der datenschutzrechtlichen Zulässigkeit auf – vor allem, wenn OneDrive geschäftlich oder in Organisationen eingesetzt wird.

Daten sind nicht gleich Daten. In unserer digitalen Welt kursieren täglich unzählige Informationen – in Mails, auf Bildern, in Cloud-Diensten. Doch nicht jede dieser Daten fällt automatisch unter den Schutz der DSGVO. Entscheidend ist, ob es sich um sogenannte personenbezogene Daten handelt.

Die Datenschutz-Grundverordnung (DSGVO) – seit 2018 das zentrale Datenschutzgesetz der EU – schützt alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen Name, Adresse, Telefonnummer, aber auch Fotos, IP-Adressen, Vertragsunterlagen, Gesundheitsdaten oder sogar Teampräsentationen mit mitarbeitenden Bezug.

Demgegenüber stehen nicht-personenbezogene Daten, also etwa rein technische Messwerte, anonymisierte Statistiken oder allgemeine Informationen ohne Personenbezug – diese fallen nicht unter die DSGVO und können in der Regel freier verarbeitet werden.

Wichtig ist auch der Kontext: Nutze ich OneDrive privat – z. B. zur Ablage von Urlaubsfotos im Familienkreis – greift oft die sogenannte Haushaltsausnahme. Anders sieht es aus, wenn dieselben Bilder im Rahmen einer schulischen Veranstaltung, eines Vereins oder eines Unternehmens geteilt werden. In diesen Fällen liegt eine nicht-private Datenverarbeitung vor – und damit gelten die vollen Anforderungen der DSGVO.

Wer personenbezogene Daten verarbeitet, trägt Verantwortung – unabhängig davon, ob es sich um ein Unternehmen, eine Schule oder eine Einzelperson handelt. Die DSGVO schreibt in solchen Fällen unter anderem vor:

Gerade bei Clouddiensten kann die Speicherung und Weitergabe personenbezogener Daten problematisch werden – besonders, wenn der Speicherort oder der Zugriff außerhalb der EU liegt. Genau hier liegt das Problem mit OneDrive.

Microsoft OneDrive gehört zu den am weitesten verbreiteten Cloud-Diensten – sowohl im privaten Bereich als auch in Unternehmen, Schulen und Organisationen. Die Grundidee: Dateien und Ordner werden nicht mehr lokal gespeichert, sondern über das Internet auf Servern von Microsoft abgelegt. Von dort aus können sie synchronisiert, geteilt oder gemeinsam bearbeitet werden – über verschiedene Geräte hinweg.

Technisch funktioniert OneDrive als zentrale Datenablage, auf die Nutzer:innen über ihren Microsoft-Account zugreifen. Die Daten werden dabei in Rechenzentren gespeichert – Microsoft betreibt weltweit hunderte solcher Standorte. Für europäische Nutzer:innen ist zunächst beruhigend: Standardmäßig werden OneDrive-Daten laut Microsoft in Rechenzentren innerhalb der EU gespeichert – etwa in Irland und den Niederlanden, kontrolliert wird das aber nicht.

Die Folge: Auch wenn Microsoft seine Infrastruktur verbessert hat und mit verschiedenen Zertifizierungen (z. B. ISO 27001) für Sicherheit wirbt, bleibt die zentrale Frage: Wer hat im Ernstfall Zugriff – und wo landen die Daten wirklich?

Wer hat im Ernstfall Zugriff – und wo landen die Daten wirklich? Diese scheinbar einfache Frage führt uns mitten hinein in ein juristisches Dickicht, das selbst passionierte Datenschutzbeauftragte nervös die Stirn runzeln lässt. Denn auch wenn Microsoft versichert, die Daten in europäischen Rechenzentren zu speichern, endet die Geschichte damit längst nicht.

Ein zentraler Konfliktpunkt: der US CLOUD Act. Dieses Gesetz verpflichtet amerikanische Unternehmen, auf Anfrage US-Behörden Zugriff auf gespeicherte Daten zu gewähren – und zwar unabhängig davon, ob diese Daten in Texas oder in Frankfurt lagern. Mit anderen Worten: Auch wenn sich die OneDrive-Server in der EU befinden, können US-Behörden mit den richtigen Anfragen durchaus uneingeschränkten Zugriff erhalten.

Spätestens seit dem EuGH-Urteil Schrems II aus dem Jahr 2020 ist klar: Solche Zugriffsmöglichkeiten sind mit europäischen Datenschutzstandards nicht vereinbar. Der Europäische Gerichtshof kippte damals das sogenannte Privacy Shield, das eigentlich den Datentransfer zwischen der EU und den USA regeln sollte. Der Grund: unzureichender Schutz vor Überwachung durch US-Behörden. Seitdem befinden sich viele US-Dienste – OneDrive inklusive – in einer Art rechtlichem Schwebezustand.

Zwar wurde 2023 mit dem Trans-Atlantic Data Privacy Framework ein neuer Versuch gestartet, die transatlantische Datenbrücke zu flicken. Doch die Kritik daran ist groß – Datenschützer:innen zweifeln, ob dieses neue Konstrukt die Anforderungen des EuGH tatsächlich erfüllt oder einfach nur alter Wein in neuen Schläuchen ist.

Und die Praxis? Zahlreiche Landesdatenschutzbehörden raten Schulen, Behörden oder öffentlichen Einrichtungen inzwischen ausdrücklich davon ab, OneDrive oder andere Microsoft-Dienste zu nutzen. Der Grund ist immer derselbe: Man könne schlicht nicht garantieren, dass die Daten wirklich in Europa bleiben – oder dass niemand aus Übersee mitlesen kann.

Die bittere Pointe: Selbst wer sich Mühe gibt, DSGVO-konform zu arbeiten, steht schnell mit einem Bein im datenschutzrechtlichen Abseits – einfach, weil der Cloud-Dienst der Wahl aus dem falschen Land kommt.

Die Diskussion um die DSGVO-Konformität von OneDrive ist nicht nur ein theoretisches Thema für Jurist:innen, sondern hat längst die Aufmerksamkeit der Datenschutzaufsichtsbehörden auf sich gezogen.

Trotz dieser Feststellung erfolgt bisher vom EuGH keine Richtlinie, welche der verschieden Cloud Provider DSGVO konform nutzbar sind, weder Urteile und Strafen gegen Provider die gegen die Richtlinien verstoßen.

Die seitens der europäischen Datenschutzbehörde benannten Probleme treffen speziell bei Microsoft OneDrive theoretisch alle zu.

Nach all den juristischen Stolperfallen und internationalen Datenschutzkonflikten drängt sich eine Frage auf: „Und jetzt? Alles löschen und zurück zur Aktenschrank-Romantik?“ – Nicht ganz.

Tatsächlich gibt es Wege, wie man OneDrive vorsichtiger, bewusster und datenschutzfreundlicher nutzen kann. Zwar macht es die Plattform einem nicht immer leicht, aber mit ein paar Einstellungen und etwas gesundem Menschenverstand lassen sich viele Risiken zumindest eindämmen.

Wer wirklich auf Nummer sicher gehen will, kann besonders kritische Daten vor dem Hochladen lokal verschlüsseln (z. B. mit Tools wie Cryptomator oder VeraCrypt). So bleibt selbst im Worst Case der Inhalt geschützt – auch wenn die Datei irgendwie ihren Weg in die falschen Hände findet.

Die DSGVO verlangt ein hohes Maß an Verantwortung im Umgang mit personenbezogenen Daten – und das zurecht. Sie gibt Einzelpersonen die Kontrolle zurück und verpflichtet Organisationen, den Schutz dieser Daten aktiv umzusetzen.

Doch beim Einsatz von Cloud-Diensten wie OneDrive zeigt sich ein grundlegendes Problem: Die rechtliche Lage ist nach wie vor unklar. Trotz internationaler Vereinbarungen bleibt die Frage offen, wie sicher Daten tatsächlich sind, wenn sie über Grenzen hinweg verarbeitet werden – insbesondere im transatlantischen Raum.

Diese Unsicherheit ist nicht nur theoretisch: Sie schafft praktische Hürden für den digitalen Alltag – in Unternehmen, Bildungseinrichtungen und Verwaltungen. Sie verlangsamt Prozesse, verhindert Innovationen und setzt datenschutzbewusste Nutzer:innen oft einer Grauzone aus, in der weder Transparenz noch Verlässlichkeit gegeben sind.

Solange dieser Zustand anhält, bleibt Datenschutz in vielen Bereichen ein Balanceakt – zwischen Komfort, rechtlichen Anforderungen und technischem Anspruch.

Der Schutz sensibler Informationen sollte aber kein optionaler Nebeneffekt sein, sondern ein fester Bestandteil digitaler Verantwortung.