Was genau ändert sich?
Mit der Version 2509 führt Microsoft eine bedeutende Änderung in Word ein. Neue Dokumente werden nicht mehr lokal gespeichert, sondern automatisch in der Cloud (OneDrive oder SharePoint) abgelegt. Gleichzeitig ist die Funktion „AutoSave“ von Beginn an aktiviert. Später werden auch Excel und PowerPoint diese Voreinstellung übernehmen.
Der Standard-Speicherort für neue Dokumente ist künftig die Cloud. Die Funktion „AutoSave“ sorgt dafür, dass Änderungen kontinuierlich gesichert werden. Auch die Namensgebung ändert sich: Anstelle von generischen Namen wie „Dokument1.docx“ erhalten neue Dateien einen sprechenderen Titel, beispielsweise „Document <Datum>.docx“.
Chancen der Cloud-Speicherung
Die automatische Speicherung schützt vor Datenverlust. Wenn ein Computer abstürzt oder ein Stromausfall auftritt, bleiben die Inhalte erhalten. Darüber hinaus profitieren Nutzerinnen und Nutzer von einer sofortigen Verfügbarkeit auf allen Geräten. Dokumente lassen sich einfacher gemeinsam bearbeiten, was die Zusammenarbeit in Teams erleichtert.
Auch aus Unternehmenssicht ist die Cloud-Speicherung attraktiv. Versionierung, Zugriffskontrollen und die Anwendung von Compliance-Richtlinien können besser umgesetzt werden, wenn Dateien direkt im zentralen Cloud-System liegen.
Risiken und Kritikpunkte
Die Cloud-Speicherung bringt allerdings auch Nachteile mit sich. Nutzerinnen und Nutzer verlieren leichter die Kontrolle darüber, ob sensible Daten ungewollt hochgeladen werden. Kritiker sehen in der Änderung einen Versuch Microsofts, die Nutzung von OneDrive stärker durchzusetzen. Zudem gilt AutoSave nur für Dateien, die in der Cloud liegen. Wer lokal arbeitet, hat weiterhin keinen automatischen Schutz.
Ein weiterer kritischer Punkt betrifft den Datenschutz. Auch wenn Microsoft die sogenannte EU Data Boundary eingerichtet hat, die Daten innerhalb der EU speichern soll, bleiben Ausnahmen bestehen. Manche Dienste übertragen weiterhin Daten außerhalb der Europäischen Union.
DSGVO-Situation in Deutschland und der EU
In Deutschland haben verschiedene Datenschutzaufsichtsbehörden den Einsatz von Microsoft 365 in Schulen wiederholt kritisch bewertet oder sogar untersagt. Auf europäischer Ebene hat der Europäische Datenschutzbeauftragte hingegen 2025 bestätigt, dass die EU-Kommission M365 inzwischen datenschutzkonform betreibt, nachdem Microsoft bestimmte Abhilfemaßnahmen umgesetzt hat.
Microsoft selbst verweist auf die EU Data Boundary. Diese soll sicherstellen, dass Kundendaten grundsätzlich innerhalb der EU oder der EFTA verarbeitet werden. Allerdings gibt es weiterhin Dienste, die von dieser Regelung ausgenommen sind.
Was Bildungseinrichtungen jetzt tun sollten
Bildungseinrichtungen sollten als erstes die Voreinstellung in Word anpassen. In den Optionen unter „Datei → Speichern“ kann die automatische Cloud-Speicherung deaktiviert werden. Mit Gruppenrichtlinien oder Intune lässt sich diese Einstellung auch zentral für alle Geräte umsetzen.
Darüber hinaus sollten nur schul- oder trägerspezifische Tenants für OneDrive genutzt werden. Private Microsoft-Konten dürfen auf Schulrechnern nicht verbunden sein.
Um sensible Daten zu schützen, empfiehlt es sich, Klassifizierungsfunktionen wie Sensitivity Labels und Data Loss Prevention zu verwenden. Einrichtungen sollten außerdem dokumentieren, dass ihre Daten tatsächlich in der EU gespeichert werden, und prüfen, welche Dienste noch Daten in andere Regionen übertragen.
Ebenso wichtig ist es, Lehrkräfte und Lernende transparent darüber zu informieren, wann und wie Word Dateien automatisch in die Cloud speichert und wie sie alternativ lokal speichern können.
Formale DSGVO-Schritte
Bildungseinrichtungen müssen die rechtliche Grundlage für die Nutzung von M365 prüfen, die in der Regel auf den Schulgesetzen und Artikel 6 der DSGVO basiert. Ein aktueller Auftragsverarbeitungsvertrag mit Microsoft ist zwingend erforderlich. Bei systemischen Risiken wie der zentralen Ablage großer Mengen von Unterrichtsdaten kann eine Datenschutz-Folgenabschätzung notwendig werden.
Technische und organisatorische Maßnahmen wie Multi-Faktor-Authentifizierung, Conditional Access und eine saubere Protokollierung helfen, die Vorgaben einzuhalten. Außerdem sollten die spezifischen Vorgaben der zuständigen Aufsichtsbehörde beachtet und dokumentiert werden.
Drei Szenarien in der Praxis
Wenn eine Einrichtung das lokale Speichern bevorzugt, sollte sie die Cloud-Voreinstellung konsequent deaktivieren und die eigene Richtlinie veröffentlichen. Wenn M365 aktiv genutzt wird, muss die Einrichtung nachweisen können, dass die Daten in der EU gespeichert werden. Sie sollte Datenschutzmaßnahmen wie Sensitivity Labels und DLP aktivieren und dokumentieren, wie mit Datenübertragungen in andere Regionen umgegangen wird.
Wenn M365 nicht zugelassen ist, bleibt nur die konsequente Deaktivierung der Cloud-Voreinstellung und der Einsatz datenschutzkonformer Alternativen wie Nextcloud oder OnlyOffice.
Fazit
Die neue Standard-Speicherung in die Cloud bringt Vorteile bei Komfort und Zusammenarbeit. Gleichzeitig entstehen neue Risiken für Datenschutz und Datensouveränität. Für Schulen und Bildungseinrichtungen ist es entscheidend, die Einstellungen bewusst anzupassen, die Maßnahmen zur DSGVO-Compliance zu dokumentieren und gegenüber Lehrenden wie Lernenden transparent zu kommunizieren.
Microsofts Schritt zeigt deutlich, dass Technik allein keine Lösung darstellt. Entscheidend bleibt, wie Institutionen ihre Systeme konfigurieren, welche Prozesse sie einführen und welche Regeln sie vor Ort umsetzen.