Microsoft 365 für Steuerkanzleien: Lizenz, AVV und DSGVO nach Schrems II

Microsoft 365 ist 2026 in den meisten Steuerkanzleien angekommen — meistens nicht als geplante Strategie, sondern als Folge eines Office-2019- oder Office-2021-Endes. Wer beim nächsten Office-Wechsel nicht in Microsoft 365 landet, wird über kurz oder lang doch dort enden, weil die On-Premises-Welt von Microsoft schrittweise zurückgebaut wird. Die wichtigeren Fragen sind: Welcher Plan? Welche DSGVO-Konstellation? Und wie geht das mit dem Mandantengeheimnis nach § 203 StGB zusammen?

Welcher Plan: Business Standard, Business Premium oder Apps for Business?

Microsoft bietet für kleinere und mittlere Unternehmen drei relevante Pläne unterhalb der Enterprise-Lizenzen:

• Microsoft 365 Apps for Business — nur die Desktop-Apps (Word, Excel, Outlook, PowerPoint) plus OneDrive. Kein Exchange Online, kein Teams im Geschäftskontext.
• Microsoft 365 Business Standard — Apps for Business plus Exchange Online (50 GB Postfach), Teams, SharePoint Online.
• Microsoft 365 Business Premium — Business Standard plus Microsoft Defender for Business, Intune (Geräteverwaltung), Conditional Access und erweiterte Compliance-Features.

Für eine Steuerkanzlei ist die Antwort fast immer Business Premium. Die in Business Standard enthaltenen Tools sind funktional ausreichend, decken aber nicht die Sicherheitsanforderungen ab, die wir für eine Kanzlei mit Zugriff auf Mandantendaten als untere Schmerzgrenze betrachten. Insbesondere:

• Conditional Access ermöglicht es, den Zugriff auf Kanzleidaten auf bestimmte Geräte und Standorte zu beschränken.
• Intune verwaltet Notebooks und Smartphones zentral und kann ein Gerät bei Diebstahl remote löschen.
• Defender for Business ergänzt klassischen Virenschutz um Endpoint Detection and Response (EDR) — entscheidend für Ransomware-Abwehr, siehe auch unseren Beitrag zum Ransomware-Schutz.

Der Aufpreis Business Premium vs. Business Standard beträgt etwa 12 € pro Nutzer und Monat. Für eine 8-Personen-Kanzlei sind das gut 1.150 € jährlich — ein Bruchteil der Kosten, die ein einziger Sicherheitsvorfall verursachen würde.

Auftragsverarbeitungsvertrag (AVV) mit Microsoft Irland

Wer Microsoft 365 in einer Kanzlei einsetzt, ist datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO) und Microsoft ist Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Daraus folgt zwingend der Abschluss eines AVV nach Art. 28 DSGVO.

Microsoft stellt den AVV als Data Protection Addendum (DPA) zur Verfügung — Vertragspartner ist in aller Regel Microsoft Ireland Operations Ltd. mit Sitz in Dublin. Das DPA wird beim Kauf der Lizenzen automatisch akzeptiert und ist über das Microsoft-Trust-Center jederzeit als PDF abrufbar. Wir empfehlen, eine signierte Kopie des aktuellen DPA in der Kanzlei abzulegen — die Außenprüfung wird gelegentlich danach fragen.

Wichtige Punkte des DPA:

• Microsoft verarbeitet personenbezogene Daten nur nach Weisung des Verantwortlichen.
• Microsoft verpflichtet seine Subunternehmer zu den gleichen Standards (Liste der genehmigten Subunternehmer ist im Trust Center einsehbar).
• Microsoft setzt technische und organisatorische Maßnahmen nach Art. 32 DSGVO um, dokumentiert in ISO 27001-, ISO 27018- und SOC-2-Zertifizierungen.
• Microsoft meldet Datenpannen innerhalb der gesetzlichen Frist nach Art. 33 DSGVO.

DSGVO nach Schrems II — was 2026 noch trägt

Der EuGH hat im “Schrems II”-Urteil (C-311/18, 16.07.2020) das EU-US Privacy Shield für ungültig erklärt. Seit dem 10.07.2023 gilt der Nachfolger, das EU-US Data Privacy Framework (DPF), das Microsoft als zertifiziertes Unternehmen nutzt. Damit ist eine Datenübermittlung in die USA auf dieser Grundlage zulässig — solange das DPF in Kraft bleibt. Es gibt allerdings bereits laufende Klagen, die die Wirksamkeit angreifen.

Für Steuerkanzleien empfehlen wir trotz DPF die folgenden zusätzlichen Schutzmaßnahmen:

1. EU Data Boundary aktivieren. Microsoft bietet seit 2023 die Möglichkeit, Mandantendaten ausschließlich in EU-Rechenzentren zu verarbeiten. Bei Neueinrichtung Tenant-Region “Germany” oder “Europe” wählen und EU Data Boundary explizit aktivieren.
2. Customer Lockbox aktivieren. Damit müssen Microsoft-Mitarbeiter für jeden Zugriff auf Mandantendaten eine explizite Genehmigung einholen.
3. BYOK (Bring Your Own Key). Über Customer Key oder Double Key Encryption können besonders sensible Daten so verschlüsselt werden, dass selbst Microsoft sie technisch nicht entschlüsseln kann.

Diese Konfigurationen reduzieren die Schrems-II-Risiken auf ein akzeptables Maß für Kanzleidaten — vollständig ausschließen lässt sich ein US-Zugriff über den CLOUD Act allerdings nie.

Mandantengeheimnis (§ 203 StGB) und externe IT

Steuerberater unterliegen dem strafbewehrten Mandantengeheimnis nach § 203 StGB. Seit der Reform von 2017 dürfen sie sich externer IT-Dienstleister bedienen — Microsoft eingeschlossen — sofern eine “Verschwiegenheitsverpflichtung” der Dienstleister sichergestellt ist und der konkrete Datenzugriff dem Auftrag entspricht.

Microsoft erfüllt die Anforderungen über das DPA und die zusätzlichen Berufsgeheimnis-Klauseln, die im Microsoft Cloud-Vertrag für Steuerberater und Rechtsanwälte enthalten sind. Wir empfehlen Kanzleien, das Zusatzdokument “Microsoft Professional Services Data Protection Addendum” oder das spezifische Berufsgeheimnis-Addendum explizit anzufordern und beim Vertrag abzulegen.

Mehr zum praktischen Umgang mit § 203 StGB in unserem Beitrag zum Mandantengeheimnis in der IT.

Tenant-Setup: was wir standardmäßig konfigurieren

Bei der Einrichtung eines neuen Microsoft 365-Tenants für eine Steuerkanzlei in unserem Haus konfigurieren wir mindestens:

• Tenant-Region Europa (typischerweise Germany) — entscheidet über den Standort der Postfächer.
• Multi-Factor Authentication (MFA) verpflichtend für alle Nutzer, FIDO2-Hardware-Keys für Berufsträger.
• Conditional Access: Zugriff nur von verwalteten Geräten oder aus DE-IPs.
• Sensitivity Labels: Klassifizierung “Mandant” mit automatischer Verschlüsselung.
• Audit-Log-Aktivierung mit mindestens 1 Jahr Aufbewahrung.
• Defender-Policies für Mail (Anti-Phishing, Safe Attachments, Safe Links).
• Backup auf separates System — wichtig: das Microsoft-365-eigene “Recycle Bin” ist KEIN Backup. Wir setzen für Kanzleien eine separate Drittlösung ein.
• Postfach-Aufbewahrung über Retention Policies konfiguriert für 10 Jahre (analog zu § 147 AO).

Die Einrichtung dauert in einer 8- bis 15-Personen-Kanzlei typischerweise 3 bis 5 Werktage — exklusive Datenmigration aus dem Altsystem.

Häufige Stolpersteine

• Lizenzen falsch zugeordnet. Microsoft kennt Nutzer-Lizenzen und Geräte-Lizenzen. Für eine Kanzlei sind fast immer Nutzer-Lizenzen richtig — Geräte-Lizenzen funktionieren nur in Schicht-Modellen.
• OneDrive als unstrukturierter Daten-Eimer. Ohne ein Berechtigungs- und Archivierungskonzept landen Mandantendaten in privaten OneDrive-Ablagen. Hier helfen SharePoint-basierte Kanzlei-Bibliotheken mit klaren Zugriffsregeln.
• Teams als Schatten-IT. Wenn Mitarbeiter Teams ohne Vorgaben nutzen, entstehen unkontrollierte Team-Räume mit Mandantendaten. Wir empfehlen, die Erstellung neuer Teams an einen Genehmigungsworkflow zu binden.
• Vergessenes AzureAD-Tenant-Setup. Wer Microsoft 365 kauft, bekommt automatisch einen Entra-ID-Tenant (früher Azure AD). Die Standard-Konfiguration ist NICHT GDPR-optimal — sie muss aktiv gehärtet werden.

Beratung anfragen

Microsoft 365 ist in einer Kanzlei dann ein Sicherheitsgewinn, wenn die Konfiguration aktiv gestaltet wird. Wir setzen Tenant-Konfigurationen und Migrationsprojekte für Steuerkanzleien in Sachsen-Anhalt regelmäßig um. Sprechen Sie uns an für ein Erstgespräch — wir prüfen Ihre bestehende Lizenz-Konstellation oder erstellen einen Migrationsplan für eine vollständige Neueinführung.

Die vollständige Tenant-Härtungs-Architektur dokumentieren wir auf unserer Vertikal-Seite Microsoft 365 für Steuerkanzleien. Verwandte Themen für Kanzlei-IT: DATEV-Migration · Datenschutz und Mandantengeheimnis · GoBD-konforme Archivierung.