Wie sicher ist OneDrive? Microsofts Cloud-Sicherheit erklärt

Inhaltsverzeichnis

Wer OneDrive nutzt, speichert, organisiert und teilt Daten mit Microsofts Cloud-Dienst. Ob und in welchem Umfang dabei ein hoher Datenschutzstandard gewährleistet wird, hängt nicht nur von den technischen Sicherheitsmaßnahmen ab, sondern auch von rechtlichen und organisatorischen Rahmenbedingungen.

OneDrive-Sicherheit: Kurz und knapp zusammengefasst

Microsoft schützt OneDrive-Daten durch mehrere Sicherheitsmechanismen. Daten werden bei der Übertragung per TLS verschlüsselt und im Ruhezustand zusätzlich mit mehrschichtigen Verfahren, unter anderem auf Basis von AES-256, abgesichert. Eine klassische Ende-zu-Ende-Verschlüsselung, bei der ausschließlich Nutzerinnen und Nutzer Zugriff auf die Schlüssel haben, gehört jedoch nicht zum Standard.

Ergänzend sorgen Funktionen wie die Zwei-Faktor-Authentifizierung und kontrollierte Zugriffsmechanismen für zusätzlichen Schutz. Insgesamt bietet OneDrive damit ein hohes technisches Sicherheitsniveau für private und viele geschäftliche Anwendungsfälle.

Aus datenschutzrechtlicher Sicht bleibt OneDrive dennoch differenziert zu betrachten. Als US-Anbieter unterliegt Microsoft gesetzlichen Zugriffspflichten, etwa im Rahmen des CLOUD Act. Gleichzeitig hat Microsoft mit Maßnahmen wie der EU Data Boundary die Datenverarbeitung innerhalb Europas für viele Unternehmenskunden deutlich ausgeweitet. Ob OneDrive im konkreten Einsatz DSGVO-konform genutzt werden kann, hängt daher von Faktoren wie Vertragsgrundlagen, Konfiguration und Art der verarbeiteten Daten ab.

HiDrive Cloud-Speicher

Ihr sicherer Online-Speicher

Daten zentral speichern, teilen und bearbeiten
Serverstandort Deutschland (ISO 27001-zertifiziert)
Höchste Datensicherheit im Einklang mit der DSGVO

Was ist OneDrive?

Mit OneDrive speichern und organisieren Sie Ihre Dateien in Microsofts Cloud. OneDrive ist für gängige Windows-Systeme verfügbar, setzt jedoch ein Microsoft-Konto voraus. Bei vielen Microsoft 365-Plänen ist OneDrive bereits enthalten.

Auf Wunsch synchronisieren Sie OneDrive-Daten geräteübergreifend oder aktivieren die OneDrive-Synchronisierung nur für ausgewählte Apps und Geräte. Zudem können Sie mit OneDrive automatische Backups erstellen und per Freigabeoptionen mit anderen an Ihren Dateien arbeiten.

Welche OneDrive-Verschlüsselung kommt zum Einsatz?

Detaillierte Angaben zu Microsofts Sicherheitsmaßnahmen für OneDrive finden sich auf der Microsoft-Supportseite. Wichtig ist dabei die Unterscheidung zwischen Verschlüsselung während der Übertragung und im Ruhezustand.

Bei der Datenübertragung zwischen Endgerät und Microsoft-Servern setzt OneDrive auf TLS-Verschlüsselungsverfahren. Gespeicherte Daten werden zusätzlich im Ruhezustand geschützt. Microsoft nutzt hierfür unter anderem eine Kombination aus Datenträgerverschlüsselung, beispielsweise mit BitLocker, sowie eine dateibasierte Verschlüsselung auf Basis von AES-256.

Um eine solche Verschlüsselung zu knacken, braucht es selbst mit einem Supercomputer mehrere Jahre. Die mehrschichtige Sicherheitsarchitektur bietet also ein hohes Schutzniveau gegen unbefugten Zugriff und auch gegen Brute-Force-Attacken.

Zugriffsrechte für Daten in OneDrive

Ähnlich wie in Google Drive lassen sich Dateien und Ordner in OneDrive für ausgewählte Personen zum Lesen, Öffnen und Bearbeiten freigeben. Dabei können Sie:

festlegen, ob Inhalte nur angesehen oder auch bearbeitet werden dürfen.
Freigaben entweder an bestimmte E-Mail-Adressen oder über generierte Links erteilen.
Freigaben je nach Konto- oder Administrationskonfiguration zeitlich begrenzen oder mit zusätzlichen Einschränkungen versehen.

Bestehende Berechtigungen können jederzeit angepasst oder entzogen werden, sodass Sie die Kontrolle über Ihre Daten behalten.

Microsoft betont, dass ein „Zero Standing Access (ZSA)“ hinsichtlich Microsofts Zugriffsrechte auf Ihre Daten gilt. Das bedeutet, dass Microsoft-Mitarbeitende keinen dauerhaften Zugriff auf gespeicherte Daten haben. Zugriff wird nur in klar definierten Ausnahmefällen gewährt, muss begründet und genehmigt werden und unterliegt strengen Sicherheits- und Kontrollmechanismen.

Eine Ausnahme gilt jedoch für staatliche US-Behörden. Microsoft ist verpflichtet, berechtigten Auskunftsersuchen von US-Behörden zu folgen und den Zugriff auf OneDrive-Daten zu gewähren (u. a. durch den CLOUD Act). Für Unternehmen ist deshalb nicht nur die technische Zugriffskontrolle bei der Nutzung von OneDrive entscheidend, sondern auch die datenschutzrechtliche Bewertung möglicher Drittland- und Behördenzugriffe.

OneDrive und der CLOUD Act

Beim US-Gesetz CLOUD Act handelt es sich um eine 2018 verabschiedete Regelung, die Überwachungsbefugnisse der US-Behörden deutlich ausweitet. US-Firmen wie Microsoft sind verpflichtet, Daten an US-Behörden weiterzugeben, selbst wenn diese sich auf Servern außerhalb der USA befinden. Microsoft ist somit gezwungen, auf rechtmäßige Anfragen von Behörden zu reagieren und entsprechende Daten bereitzustellen.

Zusätzliche Dynamik erhielt das Thema durch das Urteil des Europäischen Gerichtshofs aus dem Jahr 2020, mit dem der EU-US Privacy Shield für ungültig erklärt wurde. Inzwischen gilt jedoch ein neuer Angemessenheitsbeschluss für das sogenannte EU-US Data Privacy Framework. Dieser ermöglicht die Übermittlung personenbezogener Daten an zertifizierte US-Unternehmen wie Microsoft, sofern bestimmte Anforderungen eingehalten werden.

Trotz dieses neuen Rechtsrahmens und der Zertifizierung bleibt die Nutzung von Microsoft-Diensten wie OneDrive eine Frage der individuellen Risikobewertung. Unternehmen sollten insbesondere prüfen, welche Daten verarbeitet werden, welche vertraglichen Regelungen gelten und ob zusätzliche technische und organisatorische Maßnahmen erforderlich sind, um ein angemessenes Datenschutzniveau sicherzustellen.

OneDrive-Sicherheit: Ist der Schutz vor Cyberattacken zuverlässig?

Grundsätzlich bietet Microsoft ähnlich wie Google und Apple eine solide, zuverlässige Sicherheit für Cloud Storage. Das gilt vor allem, wenn Sie OneDrive für private Zwecke oder die Sicherung nicht geschäftskritischer Daten nutzen. Zu den OneDrive-Schutzmaßnahmen gegen Cyberangriffe und unberechtigten Zugriff zählen:

Schutz des Kontos durch starke Passwörter
Zwei-Faktor-Authentifizierung (MFA) für zusätzliche Zugriffssicherheit
TLS-Verschlüsselung bei der Datenübertragung
Mehrschichtige Verschlüsselung gespeicherter Daten (u. a. AES-256)
Kontrollierte Zugriffsprozesse nach dem Prinzip Zero-Standing-Access
Netzwerkisolierung, Firewalls und physische Sicherheit in Rechenzentren
Malware-Scanning für hochgeladene Dateien in Microsoft-365-Umgebungen
Ransomware-Erkennung sowie Wiederherstellungsfunktionen (abhängig vom Tarif)
Versionsverlauf und Wiederherstellung von Dateien
Persönlicher Tresor für besonders sensible Dateien (Privatkonten)
Granulare Freigabeoptionen für Dateien und Ordner (z. B. Zugriffsbeschränkungen für Links)
Benachrichtigungen bei verdächtigen Anmeldeversuchen
Kontowiederherstellung über hinterlegte Sicherheitsinformationen
Protokollierung und Überwachung von Zugriffen (insbesondere im Unternehmenskontext)

Wo stehen die OneDrive-Server?

Wo OneDrive-Daten gespeichert und verarbeitet werden, hängt vom jeweiligen Nutzungsszenario und vom eingesetzten Microsoft-Dienst ab. Microsoft betreibt Rechenzentren weltweit, darunter in den USA, Europa und Asien.

Für kommerzielle und öffentliche Cloud-Kunden in Europa hat Microsoft im Februar 2025 die sogenannte EU Data Boundary eingeführt. Dadurch können Kundendaten sowie bestimmte personenbezogene Daten zentraler Cloud-Dienste innerhalb der EU- und EFTA-Regionen gespeichert und verarbeitet werden. Das verbessert die Datenresidenz und Transparenz deutlich. Aus DSGVO-Sicht sollten Unternehmen trotzdem genau prüfen, welche Datenkategorien betroffen sind, welche Microsoft-Dienste konkret genutzt werden und ob in einzelnen Support-, Diagnose- oder Rechtszugriffsszenarien weiterhin internationale Bezüge relevant sein können.

Tipp

Wenn Ihnen der Speicherort Ihrer Daten besonders wichtig ist, sollten Sie gezielt auf Cloud-Anbieter mit klar definierten Serverstandorten innerhalb der EU achten. Dienste mit transparenter Datenverarbeitung, europäischen Rechenzentren und nachvollziehbaren Datenschutzkonzepten erleichtern die Einhaltung der DSGVO und reduzieren Risiken durch internationale Datenübermittlungen.

OneDrive-Datenschutz: Werden DSGVO und EU-Datenschutz erfüllt?

Ob OneDrive DSGVO-konform eingesetzt werden kann, lässt sich nicht pauschal mit Ja oder Nein beantworten. Microsoft stellt für OneDrive und Microsoft 365 umfangreiche vertragliche und technische Grundlagen bereit, darunter einen Datenschutznachtrag (Data Processing Addendum), Standardvertragsklauseln sowie detaillierte Informationen zu Sicherheit und Compliance.

Gleichzeitig bleibt OneDrive als Dienst eines US-Unternehmens datenschutzrechtlich sensibel. Unter bestimmten Voraussetzungen kann Microsoft verpflichtet sein, auf rechtmäßige Anfragen von Behörden zu reagieren. Für Unternehmen bedeutet das, dass neben der technischen Sicherheit auch die rechtliche Bewertung möglicher Drittlandzugriffe berücksichtigt werden muss.

In Bezug auf die Datenverarbeitung hat Microsoft in den letzten Jahren nachgebessert. Mit der sogenannten EU Data Boundary werden Daten vieler europäischer Unternehmenskunden bevorzugt innerhalb der EU und EFTA verarbeitet. Dennoch hängt die tatsächliche Datenverarbeitung weiterhin vom konkreten Dienst, der Konfiguration und dem Nutzungsszenario ab.

Für eine DSGVO-konforme Nutzung ist daher entscheidend, dass Unternehmen geeignete technische und organisatorische Maßnahmen umsetzen. Dazu zählen insbesondere ein Vertrag zur Auftragsverarbeitung, klare Berechtigungskonzepte, der Einsatz von Multi-Faktor-Authentifizierung sowie eine transparente Information der betroffenen Personen.

Wie sicher ist OneDrive für Unternehmen und Compliance?

Für Unternehmen ist OneDrive aus Sicht von Datenschutz und Compliance differenziert zu bewerten. Microsoft stellt zwar Sicherheits- und Compliance-Funktionen sowie vertragliche Grundlagen wie den Datenschutznachtrag (Data Processing Addendum) und Standardvertragsklauseln bereit. Gleichzeitig bleibt die Verantwortung für eine datenschutzkonforme Nutzung beim jeweiligen Unternehmen.

Als US-Anbieter unterliegt Microsoft gesetzlichen Zugriffspflichten (CLOUD Act), durch die nicht vollständig ausgeschlossen werden kann, dass Behörden unter bestimmten Voraussetzungen Zugriff auf Daten erhalten. Dieses Risiko muss im Rahmen einer datenschutzrechtlichen Bewertung berücksichtigt werden. Die Datenschutzkonferenz (DSK) stellte 2022 fest, dass Verantwortliche den datenschutzkonformen Einsatz von Microsoft 365 nicht hinreichend nachweisen konnten. Unternehmen sollten daher stets die aktuellen Vertragsbedingungen, technischen Maßnahmen und Datenflüsse prüfen.

Unternehmen, die OneDrive einsetzen, müssen insbesondere folgende Punkte berücksichtigen:

Abschluss eines Vertrags zur Auftragsverarbeitung (AVV) bzw. des Microsoft-Datenschutznachtrags
Klärung der Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Transparente Information in der Datenschutzerklärung über Art, Umfang und Zweck der Datenverarbeitung
Prüfung von Drittlandübermittlungen und eingesetzten Schutzmaßnahmen
Umsetzung technischer und organisatorischer Maßnahmen, etwa Multi-Faktor-Authentifizierung und Zugriffskonzepte

Gemäß Artikel 28 der DSGVO müssen Unternehmen einen Vertrag zur Auftragsverarbeitung mit Microsoft abschließen, wenn Daten geschäftlich in OneDrive gespeichert werden. Darin sind folgende Aspekte zu definieren:

Welche personenbezogenen Daten erhält Microsoft?
Warum erfolgt die Datenweitergabe an Microsoft?
Wie lange speichert Microsoft die Daten?
Welche Rechte, Pflichten und Haftungsausschlüsse gelten?

Wenn Sie OneDrive DSGVO-konform verwenden möchten, halten Sie sich an folgende Punkte:

Risiken von Drittlandübermittlungen bewerten (z. B. im Rahmen eines Transfer Impact Assessments)
Microsofts aktuelle Vertragsunterlagen und Compliance-Dokumentation prüfen
Interne Richtlinien für Datenklassifizierung und Zugriff definieren
Protokollierung, Monitoring und Berechtigungskonzepte umsetzen

Welche Alternative gibt es zu OneDrive?

Falls Sie Zweifel an Microsofts Datenschutzmaßnahmen haben und sich weiterhin fragen, ob OneDrive für Ihre Verwendungszwecke sicher ist, dann lohnt sich ein direkter Vergleich der Cloud-Anbieter. So verschaffen Sie sich einen Überblick über die Leistungen und das Sicherheitsniveau der existierenden OneDrive-Alternativen.

Europäische und deutsche Cloud-Anbieter gelten als beliebte Alternativen zu OneDrive. Sie bieten häufig strengere Datenresidenz-Optionen und können die Einhaltung europäischer Datenschutzanforderungen erleichtern. Zu den Anbietern mit hohem Datenschutzniveau und DSGVO-konformen Serverstandorten zählen unter anderem IONOS HiDrive und Secure Cloud.

Reviewer

Jeanna Raffa
Mit über 18 Jahren Erfahrung im Online-Marketing verfügt Jeanna Raffa über umfangreiches Know-how in der digitalen Vermarktung. Seit 2020 liegt ihr Fokus auf der praxisnahen Themenvermittlung von E-Mail-, Office- und Cloud-Speicher-Lösungen.

10 Jahre Digital Guide: Eine Erfolgsgeschichte

KI-Telefonassistent: Die Live-Demo

Was ist OneDrive? Wissenswertes zum Microsoft-Cloud-Speicher

Was ist OneDrive? Diese Frage haben Sie sich vielleicht auch schon gestellt, wenn Sie den Dienst im Microsoft-Betriebssystem gelistet sehen. Die Antwort ist simpel: Alle Besitzer und Besitzerinnen eines Microsoft-Kontos erhalten automatisch 5 GB kostenlosen Speicherplatz im…

Lexikon
Cloud-Speicher
Microsoft 365

Wavebreakmedia Ltd UC18Shutterstock

Was ist Google One? Googles Cloud-Abo im Überblick

Was ist Google One? Erfahren Sie hier, wie Sie das Abo-Modell für Googles Cloud-Speicher richtig nutzen. Mit verschiedenen Tarifen ermöglicht es Ihnen Google, mehr Speicher für Google Drive, Google Fotos und Gmail zu nutzen und mit Familienmitgliedern zu teilen. Wir erklären,…

Lexikon
Cloud-Speicher
Google Workspace

Jacob Lundshutterstock

Was ist Dropbox? Funktionen und Kosten im Überblick

Dropbox: was ist das? Dropbox ist ein Cloud-Speicher und virtueller Arbeitsbereich, auf dem Dateien gespeichert, geteilt und bearbeitet werden können. Dropbox bietet kostenlosen Speicherplatz und praktische Tools für die gemeinsame Arbeit an Projekten. Die weiteren Vorteile und…

Lexikon
Cloud-Speicher

Wie sicher ist OneDrive? Mi­cro­softs Cloud-Si­cher­heit erklärt

OneDrive-Si­cher­heit: Kurz und knapp zu­sam­men­ge­fasst

Was ist OneDrive?

Welche OneDrive-Ver­schlüs­se­lung kommt zum Einsatz?

Zu­griffs­rech­te für Daten in OneDrive

OneDrive und der CLOUD Act

OneDrive-Si­cher­heit: Ist der Schutz vor Cy­ber­at­ta­cken zu­ver­läs­sig?

Wo stehen die OneDrive-Server?

OneDrive-Da­ten­schutz: Werden DSGVO und EU-Da­ten­schutz erfüllt?

Wie sicher ist OneDrive für Un­ter­neh­men und Com­pli­ance?

Welche Al­ter­na­ti­ve gibt es zu OneDrive?

Reviewer

Wie sicher ist OneDrive? Microsofts Cloud-Sicherheit erklärt

OneDrive-Sicherheit: Kurz und knapp zusammengefasst

Welche OneDrive-Verschlüsselung kommt zum Einsatz?

Zugriffsrechte für Daten in OneDrive

OneDrive-Sicherheit: Ist der Schutz vor Cyberattacken zuverlässig?

OneDrive-Datenschutz: Werden DSGVO und EU-Datenschutz erfüllt?

Wie sicher ist OneDrive für Unternehmen und Compliance?

Welche Alternative gibt es zu OneDrive?