IT-Kompass / Microsoft 365

Microsoft 365 für KMU: Einrichtung, Kosten, DSGVO

Microsoft 365 für KMU richtig einrichten: Lizenzwahl, DSGVO-Konformität, typische Fallen und realer Einrichtungsaufwand. Praxisnah erklärt.

/7 min read/Von David Joswig/
Microsoft 365 für KMU: Einrichtung, Kosten, DSGVO

Microsoft 365 ist für viele kleine und mittlere Unternehmen die pragmatischste Wahl für E-Mail, Zusammenarbeit und Produktivitätstools. Aber zwischen "Lizenz kaufen" und "sauber und DSGVO-konform im Betrieb" liegt mehr Arbeit, als Microsoft in seinen Marketing-Unterlagen andeutet.

Dieser Beitrag erklärt, was bei der Einrichtung wirklich auf Sie zukommt, welche Lizenz für wen passt und wo die häufigsten Fehler passieren.

Welche Lizenz passt zu welchem Unternehmen?

Microsoft bietet für Unternehmen primär drei Business-Lizenzen an. Alle Preise liegen im unteren bis mittleren zweistelligen Bereich pro Nutzer und Monat, ändern sich aber regelmäßig.

Microsoft 365 Business Basic

Geeignet für Teams, die hauptsächlich webbasiert arbeiten und keinen vollen Office-Desktop benötigen. Enthalten sind Exchange Online (Firmen-E-Mail), Teams, SharePoint und OneDrive. Die klassischen Office-Apps (Word, Excel, PowerPoint) laufen nur im Browser, nicht als installierte Anwendungen.

Sinnvoll für: Kleinunternehmen, die bereits eigene Geräte mit vorhandenen Lizenzen haben, oder Branchen mit überschaubarem Büroalltag.

Microsoft 365 Business Standard

Die häufigste Wahl für KMU. Zusätzlich zu allem aus Basic erhalten Nutzer die vollständigen Office-Desktop-Apps auf bis zu fünf Geräten. Außerdem dabei: Webinar-Funktionen über Teams und erweiterte E-Mail-Features.

Sinnvoll für: Die meisten KMU mit 5 bis 300 Mitarbeitern, die regelmäßig mit Office-Dokumenten arbeiten.

Microsoft 365 Business Premium

Enthält alles aus Standard plus umfangreiche Security-Features: Azure Active Directory P1, Microsoft Defender for Business, Intune für Geräteverwaltung und erweiterte Compliance-Tools. Der Preisunterschied zu Standard ist spürbar, aber für Unternehmen mit sensiblen Daten oder erhöhtem Sicherheitsbedarf gut investiert.

Sinnvoll für: Unternehmen mit strengeren Compliance-Anforderungen, regulierten Branchen oder wenn Mitarbeiter mit eigenen Geräten arbeiten (BYOD).

Mehr zu Business-IT-Beratung und Lizenzempfehlungen finden Sie unter Business IT Support.

Einrichtung: 10 Schritte von Null auf produktiv

Eine strukturierte Einrichtung spart später viel Zeit und verhindert Sicherheitslücken.

  1. Tenant anlegen und Domain verifizieren - Im Microsoft 365 Admin Center die eigene Domain hinzufügen und per DNS-Eintrag verifizieren. Dabei MX-, CNAME- und TXT-Einträge setzen.
  2. Nutzerkonten erstellen - Entweder manuell im Admin Center oder per CSV-Import bei größeren Teams. Nutzerkonten sofort mit sicheren temporären Passwörtern versehen.
  3. Multi-Faktor-Authentifizierung aktivieren - Vor dem ersten produktiven Login. Sicherheitsstandards (Security Defaults) in Azure Active Directory aktivieren oder Conditional Access Policies konfigurieren.
  4. E-Mail-Migration planen - Bestehende E-Mails aus dem alten System (oft On-Premise Exchange, Google Workspace oder einfache IMAP-Konten) migrieren. Microsoft bietet dafür den Migration Wizard an. Timing und Reihenfolge sind entscheidend.
  5. SharePoint-Struktur aufsetzen - Vor dem ersten Speichern klären, welche Team-Sites und Dokumentbibliotheken benötigt werden. Wildwuchs im Nachhinein ist aufwendig zu bereinigen.
  6. Teams konfigurieren - Welche Teams und Kanäle braucht das Unternehmen? Richtlinien für externe Gäste und Gastzugriff festlegen.
  7. OneDrive-Synchronisation einrichten - Auf den Endgeräten den OneDrive-Client installieren und konfigurieren. Sync-Einschränkungen für sensible Ordner prüfen.
  8. Sicherheitsrichtlinien setzen - Passwortrichtlinien, Sitzungs-Timeouts, App-Berechtigungen und Audit-Logs aktivieren. Viele dieser Einstellungen sind standardmäßig nicht optimal konfiguriert.
  9. Schulung der Mitarbeiter - Ohne Einführung nutzt niemand SharePoint sinnvoll, und OneDrive konkurriert mit lokalen Netzlaufwerken. Kurze Einführungen pro Team verhindern Adoption-Probleme.
  10. Backup-Lösung einrichten - Microsoft 365 ist kein vollwertiges Backup. Postfächer und SharePoint sollten durch eine dedizierte Backup-Lösung (z.B. Veeam for Microsoft 365) gesichert werden.

Häufige Fallen bei der M365-Einrichtung

Das sind die Fehler, die wir am häufigsten im Nachgang korrigieren:

Überlizenzierung - Alle Nutzer bekommen Business Premium, obwohl die meisten mit Basic auskommen würden. Bei 50 Nutzern kann das mehrere hundert Euro pro Monat Unterschied ausmachen.

MFA wird vergessen oder als optional behandelt - Ein Konto ohne MFA ist das schwächste Glied. Phishing-Angriffe auf Microsoft-365-Konten ohne MFA sind trivial.

Standard-Sicherheitsrichtlinien bleiben unverändert - Microsoft liefert 365 mit konservativen Standardeinstellungen aus. Spam-Filter, externe Weiterleitungen und App-Zugriffsberechtigungen müssen explizit konfiguriert werden.

Keine klare SharePoint-Struktur von Anfang an - Nach sechs Monaten Wildwuchs sind Dokumente nicht mehr auffindbar, und eine Bereinigung kostet mehr als eine saubere Ersteinrichtung.

Microsoft 365 wird als Backup missverstanden - Die 93-Tage-Aufbewahrung im Papierkorb ist kein Backup. Gelöschte Daten nach dieser Frist sind weg.

Fehlende Offboarding-Prozesse - Wenn Mitarbeiter das Unternehmen verlassen, bleiben deren Konten oft aktiv oder werden einfach gelöscht, ohne dass E-Mails oder Daten gesichert wurden.

DSGVO-Check: Microsoft 365 in Deutschland

Das ist das Thema, das am häufigsten zu Fragen führt, und zu Recht.

EU Data Boundary

Microsoft hat mit dem EU Data Boundary Programm zugesagt, dass Daten von EU-Kunden innerhalb der EU gespeichert und verarbeitet werden. Für Microsoft 365 bedeutet das: Kernservices wie Exchange, Teams und SharePoint speichern Daten in europäischen Rechenzentren. Das ist eine wichtige Grundlage, aber keine vollständige DSGVO-Garantie.

Auftragsverarbeitungsvertrag (AVV)

Microsoft ist als Auftragsverarbeiter tätig, sobald Sie personenbezogene Daten über M365 verarbeiten. Den erforderlichen Auftragsverarbeitungsvertrag stellt Microsoft über das Microsoft Products and Services Data Protection Addendum (DPA) bereit. Dieser wird durch die Annahme der Nutzungsbedingungen automatisch abgeschlossen, sollte aber dokumentiert sein.

Weitere Informationen zu Datenschutzbegriffen finden Sie in unserem Glossar.

Was Sie selbst sicherstellen müssen

  • Audit-Logs aktivieren und für mindestens 90 Tage aufbewahren
  • Datenschutzfolgeabschätzung (DSFA) durchführen, wenn besondere Kategorien personenbezogener Daten verarbeitet werden
  • Verzeichnis von Verarbeitungstätigkeiten aktualisieren
  • Mitarbeiter über die Datenverarbeitung informieren
  • Recht auf Auskunft und Löschung technisch ermöglichen

Microsoft bietet mit dem Microsoft Purview Compliance Manager ein Tool zur Bewertung der eigenen Compliance-Situation an, das auch M365-spezifische Bewertungen enthält.

Offizielle Microsoft-Ressource: Microsoft EU Data Boundary

Einordnung durch den Hessischen Datenschutzbeauftragten

Eine wichtige Quelle für Unternehmen in Hessen: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat Microsoft 365 geprüft und kommt zu dem Ergebnis, dass der Dienst datenschutzkonform genutzt werden kann, sofern Verantwortliche die nötigen technischen und organisatorischen Maßnahmen umsetzen. Das ist kein Freibrief, sondern eine Bestätigung, dass ein rechtskonformer Betrieb möglich ist, wenn Konfiguration und Dokumentation stimmen.

Für Unternehmen mit Sitz in Hessen ist der HBDI die zuständige Aufsichtsbehörde. Wer die Vorgaben ernst nimmt und die Einrichtung sauber macht, hat eine belastbare Grundlage für den Betrieb.

Offizielle Quelle: HBDI zu Microsoft 365 Datenschutzkonformität

Was kostet Microsoft 365 wirklich?

Die Lizenzkosten sind nur ein Teil der Rechnung. Realistisch betrachtet:

Lizenzkosten: Abhängig von gewähltem Plan und Nutzerzahl, im unteren bis mittleren zweistelligen Bereich pro Nutzer und Monat. Bei 20 Nutzern mit Business Standard kommt schnell ein vierstelliger Jahresbetrag zusammen.

Einrichtungsaufwand: Eine saubere Ersteinrichtung für ein KMU mit 10 bis 50 Nutzern dauert realistisch zwischen 8 und 20 Stunden, abhängig von E-Mail-Migration, Komplexität der Struktur und benötigter Schulung.

Migration: E-Mail-Migration ist der aufwendigste Teil. Bei großen Postfächern oder komplexen On-Premise-Exchange-Umgebungen können hier allein 4 bis 8 Stunden anfallen.

Schulung: Ohne gezielte Einführung bleibt SharePoint ungenutzt, und OneDrive konkurriert mit dem alten Netzlaufwerk. Mindestens eine halbe Stunde pro Team-Lead einplanen.

Laufende Wartung: Neue Mitarbeiter anlegen, alte offboarden, Sicherheitsrichtlinien aktuell halten, Lizenzen anpassen. Realistisch 1 bis 2 Stunden pro Monat für ein KMU mittlerer Größe.

Für eine individuelle Einschätzung des Aufwands in Ihrem Fall stehen wir gerne unter Kontakt bereit.


Häufige Fragen zu Microsoft 365 für KMU (FAQ)

Ist Microsoft 365 DSGVO-konform?

Microsoft 365 kann DSGVO-konform betrieben werden, aber es erfordert aktive Konfiguration. Der Auftragsverarbeitungsvertrag wird über das Microsoft DPA abgedeckt, Daten werden im EU Data Boundary Program innerhalb der EU gespeichert. Sie müssen jedoch selbst sicherstellen, dass Audit-Logs aktiv sind, Datenschutzfolgeabschätzungen durchgeführt werden und Betroffenenrechte technisch umsetzbar sind. Der Hessische Datenschutzbeauftragte hat das bestätigt, siehe HBDI-Stellungnahme.

Welche Microsoft 365 Lizenz brauche ich für mein kleines Unternehmen?

Für die meisten KMU unter 50 Mitarbeitern ist Microsoft 365 Business Standard die sinnvollste Wahl. Sie erhalten vollständige Office-Desktop-Apps, Exchange Online für professionelle E-Mail, Teams und SharePoint. Business Basic reicht, wenn die meisten Mitarbeiter ausschließlich im Browser arbeiten und keine installierten Office-Apps benötigen.

Muss ich bei Microsoft 365 ein separates Backup einrichten?

Ja, unbedingt. Microsoft 365 ist kein vollwertiges Backup-System. Gelöschte Elemente werden bis zu 93 Tage im Papierkorb aufbewahrt, danach sind sie permanent gelöscht. Für zuverlässige Datensicherung benötigen Sie eine dedizierte Backup-Lösung wie Veeam für Microsoft 365 oder vergleichbare Produkte.

Wie lange dauert die Einrichtung von Microsoft 365?

Eine vollständige Einrichtung für ein KMU mit 10 bis 50 Nutzern, inklusive E-Mail-Migration, SharePoint-Struktur, Sicherheitsrichtlinien und Mitarbeiterschulung, dauert realistisch zwischen 10 und 25 Stunden. Einfache Szenarien ohne Migration sind schneller umzusetzen.

Kann ich Microsoft 365 selbst einrichten?

Grundlegende Einrichtung ist technisch möglich, aber ohne Erfahrung entstehen schnell Lücken: MFA vergessen, Sicherheitsrichtlinien auf Standard gelassen, SharePoint ohne Struktur, kein Backup. Fehler, die im laufenden Betrieb schmerzhaft auffallen. Eine begleitete Einrichtung durch einen IT-Dienstleister amortisiert sich für die meisten KMU innerhalb weniger Monate.


Nächste Schritte

Microsoft 365 einzurichten ist keine Raketenwissenschaft, aber es gibt genug Stellen, an denen ohne Erfahrung Fehler entstehen, die hinterher aufwendig zu korrigieren sind.

Wenn Sie Unterstützung bei der Planung, Migration oder laufenden Betreuung Ihrer Microsoft 365 Umgebung brauchen, sprechen Sie uns an. Details zu unserem Leistungsumfang finden Sie unter Business IT Support oder direkt über die Kontaktseite.

Autor
Autorenbild von David Joswig

David Joswig

Gründer von Gonzi Tech. Schreibt über IT-Support, Rechenzentrum-Betrieb und alles, was in Frankfurt Oberrad auf dem Schreibtisch landet.