Auf der 104. Datenschutzkonferenz haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder das Office-Paket Microsoft 365 weiterhin als datenschutzwidrig bewertet. Folglich könne Microsoft 365 ohne zusätzliche technische Maßnahmen nicht rechtskonform eingesetzt werden.
Daran ändere auch die im September von Microsoft veröffentlichte neue Fassung des Auftragsverarbeitungsvertrages („Microsoft Products and Services Data Protection Addendum“ (DPA)) nichts. In der neuen Fassung wurde die neue, seit dem Schrems-II-Urteil erforderliche, Standardklausel der EU-Kommission übernommen. Dies reiche aber nach der Bewertung der Datenschutzaufsichtsbehörden nicht aus, da weiterhin nicht die nötige Transparenz geliefert werden, welche Daten von dem Unternehmen für eigene Zwecke verwendet werden können. Damit lasse sich auch nicht prüfen, ob alle Schritte rechtmäßig sind.