Artikel
Datenschutz

LibreOffice vs. Microsoft Office 2025: Datenschutz-Vergleich der Office-Suiten?

Großer Datenschutz-Check 2025: Erfahre, wie LibreOffice und Microsoft 365 mit deinen Daten umgehen, welche Suite DSGVO-konform ist und wie du Einstellungen optimierst.

Dennis Becker
20/6/2025
12
Min. Lesedauer

Nur wenige Menschen haben genügend Glück, ohne Office-Programme durchs Leben zu kommen. Wenn du (wie ich auch) nicht zu diesen Glücklichen gehörst, bist du auch regelmäßig mit diversen Varianten an Office-Software in Kontakt. Wenn Word nicht gerade sieben Jahre Formatierungsarbeit zerstört, weil ein Bild einen Millimeter verschoben werden sollte, funktionieren die Lösungen von Microsoft eigentlich auch sehr zufriedenstellend. Das Problem entsteht für jene unter uns, denen ihre Privatsphäre besonders am Herzen liegt. Die gängigen Suiten haben sehr tiefe Einblicke in unsere Arbeit und mitunter in unser Privatleben.

Was geschieht mit meinen Daten, wenn ich diese Software nutze?

Disclaimer:

Dieser Artikel betrachtet nur die beiden prominenten Widersacher: Microsoft Office, weltweite Nr. 1 und Marktführer mit der Cloud-Lösung Microsoft 365 und LibreOffice, die Open-Source Alternative. LibreOffice wird aktuell von einer gemeinnützigen Stiftung getragen (The Document Foundation (TDF)).

Es ist klar, dass die Einfachheit und das Level an Integration Lösungen wie Microsoft unersetzlich für die meisten Unternehmen macht. Enterprise-Software wird ab einer gewissen Größe unumgänglich. Die Regel bestätigt hier natürlich die Ausnahme. 

Ziel des Artikels ist es dennoch, die Privacy/Datenschutz Aspekte der beiden Technologien zu betrachten und den Tech-Riesen zumindest im Kleinen einen Tritt zu geben. Niemand wird DAX-Konzerne weg von ihren liebsten Lösungen bringen, aber vielleicht wachsen kleinere Unternehmen zukünftig mit Open-Source-Lösungen. 

Oh, und im Privaten ist es auch nett zu wissen, dass Privatsphäre sogar günstiger als die Alternative ist.

LibreOffice und Microsoft Office im Funktions-Vergleich

Bevor ich ins Detail gehe, schauen wir noch schnell auf die beiden Office-Desperados

LibreOffice: Neu in der Stadt

LibreOffice läuft als quelloffenes Office-Paket auf. Es handelt sich dabei um den Nachfolger von OpenOffice und umfasst:

  • Writer (Textverarbeitung)
  • Calc (Tabellenkalkulation)
  • Impress (Präsentationen)
  • Draw (Zeichnungen / Diagramme)
  • Base (Datenbankmanagement)
  • Math (Mathematische Formeln)

Absolut zentral dabei ist der Open-Source-Ansatz. LibreOffice ist kostenlos erhältlich und der Quellcode ist öffentlich zugänglich. Jeder von uns darf ihn nutzen, ändern oder weitergeben.

Free as in Freedom!

Offenheit ist das Kernprinzip des Projekts LibreOffice. Die Suite läuft auf allen gängigen Betriebssystemen und es bestehen sogar Online-/Mobile-Dienste für die Nutzung. 

Bei mobilen Varianten wie Collabora Online bitte darauf achten, dass es sich hier nicht um die TDF handelt. Es ist lediglich ein Dienst basierend auf LibreOffice. 

Zusätzlich steht auch die Kompatibilität mit Microsoft Dateiformaten im Vordergrund. Formate wie .docx, .xlsx, .pptx etc. meist keine riesigen Probleme (bis auf die gelegentliche Macke in der Formatierung). Das basiert auf dem nativen Format des offenen Standard OpenDocument Format (ODF).

Hinter LibreOffice steht keine gewinnorientierte Firma, sondern "The Document Foundation" (TDF), eine gemeinnützige Stiftung mit Sitz in Deutschland. Die TDF wurde von Mitgliedern der ursprünglichen OpenOffice.org-Community gegründet, teilweise aus Sorge vor der damaligen Übernahme durch Oracle. Sie fördert aktiv freie Software, offene Standards und die Unabhängigkeit von einzelnen Softwareherstellern. Die Entwicklung von LibreOffice wird maßgeblich von einer weltweiten Community aus Freiwilligen und unterstützenden Unternehmen getragen.

Kleiner Einwurf: Der TDF darf natürlich gern gespendet werden. Selbst wer LibreOffice nicht nutzt, kann damit einen kleinen Beitrag gegen die Monopolisierung von Software leisten. Zudem ermöglicht Open-Source im Generellen Menschen und Organisationen mit wenig Zugang zu Kapital neue und innovative Dinge zu schaffen. Insgesamt eine coole Sache.

Microsoft Office im Unternehmens-Kontext

Microsoft Office ist das kommerzielle, hauseigene Office-Paket des Softwarekonzerns Microsoft. Primär umfasst MS Office typischerweise:

  • Word (Textverarbeitung)
  • Excel (Tabellenkalkulation)
  • PowerPoint (Präsentationen)
  • Outlook (E-Mail und Kalender)
  • OneNote (Notizen)
  • OneDrive (Cloud-Speicher)
  • Access (Datenbankanwendung)

Microsoft Office ist als traditioneller Einmalkauf (z.B. Office & Business 2024) oder, immer dominanter, als Abo-Modell als Microsoft 365 erhältlich. 

Das wahrscheinlich von Microsoft präferierte Modell ist das 365. Hierbei betont Microsoft die Vorteile durch eine sehr flüssige Integration von Cloud-Diensten wie OneDrive und Sharepoint. Hier kann in Real-Time gespeichert und zusammengearbeitet werden. 

Ergänzend sind viele der Anwendungen in Web-Formaten zugänglich. Hier ist zwar die Funktionalität etwas begrenzter, aber das ortsunabhängige Arbeiten ist sehr leicht gemacht.

Zudem wird die Integration der “Eigenen” KI namens Copilot immer stärker. Der Copilot ist schon gar nicht mal so übel.

Entwicklung, Vermarktung und Vertrieb sind natürlich fest in Microsofts Hand. Nicht umsonst eines der größten Unternehmen der Welt.

LibreOffice und die Privatsphäre: Transparenz durch Offenheit?

Der grundlegendste Unterschied zwischen LibreOffice und Microsoft Office liegt im Entwicklungsmodell: Open Source vs Closed Source. Dieser Unterschied hat erhebliche Auswirkungen auf den Datenschutz und deine Privatsphäre.

Open Source als Datenschutz-Vorteil?

Das Open-Source-Modell von LibreOffice bietet hier potenziell mehrere Vorteile für die Privatsphäre:

  • Transparenz: Der Quellcode von LibreOffice ist öffentlich einsehbar. Theoretisch kann also jeder mit der nötigen Expertise den Code überprüfen, um sicherzustellen, dass keine versteckten Funktionen zur Datensammlung (wie Backdoors oder Spyware) enthalten sind. Diese Möglichkeit der unabhängigen Verifizierung schafft eine Vertrauensbasis, die bei Closed-Source-Software, deren interner Aufbau geheim ist, fehlt.
  • Community-Kontrolle: Die Software wird von einer globalen Gemeinschaft entwickelt und von einer gemeinnützigen Stiftung (TDF) verwaltet, deren Fokus auf Nutzerfreiheit und der Förderung freier Software liegt. Kommerzielle Anreize, Nutzerdaten im Verborgenen zu sammeln und auszuwerten, sind dadurch deutlich geringer als bei einem gewinnorientierten Unternehmen.
  • Anpassbarkeit: Die Offenheit des Codes erlaubt es theoretisch, unerwünschte Code-Teile zu entfernen oder zu modifizieren, auch wenn dies in der Praxis für Endanwender kaum relevant ist. Im Fall von engagierten Enterprise-Nutzern wird dies sehr interessant.

Du solltest jedoch die Grenzen dieser Transparenz verstehen. Obwohl der Code offengelegt ist, bedeutet das nicht automatisch, dass er ständig und lückenlos von unabhängigen Sicherheitsexperten auf Datenschutzprobleme überprüft wird. Die haben meistens andere Dinge zu tun.

Ein Projekt wie LibreOffice ist riesig und komplex. Die tatsächliche Sicherheit und der Datenschutz hängen weiterhin stark von der Sorgfalt der Kernentwickler und des dedizierten Sicherheitsteams ab, das beispielsweise für die Handhabung von gemeldeten Schwachstellen zuständig ist. Der entscheidende Unterschied zu Closed Source liegt aber in der Möglichkeit der Überprüfung. Sollte ein Datenschutzproblem existieren, kann es von der Community entdeckt und öffentlich diskutiert werden. Dieses Modell des verifizierbaren Vertrauens steht im Gegensatz zum Modell des angenommenen Vertrauens, bei dem Nutzer sich auf die Aussagen und Richtlinien des Herstellers verlassen müssen, ohne diese unabhängig überprüfen zu können.

Datensammlung bei LibreOffice: Was wird erfasst?

Im Einklang mit der Open-Source-Philosophie und dem Fokus auf Nutzerkontrolle ist die Datensammlung durch die LibreOffice-Software selbst sehr begrenzt:

  • Absturzberichte (Crash Reports / Minidumps): Wenn dir LibreOffice abstürzt, kann ein Bericht mit technischen Details generiert werden. Dieser Bericht wird jedoch nur nach ausdrücklicher Zustimmung des Nutzers in einem separaten Dialogfenster an die Entwickler gesendet (Opt-in). Die Funktion zur Erstellung und zum Versand dieser Berichte kann zudem vollständig in den Optionen deaktiviert werden (Extras > Optionen > LibreOffice > Allgemein > Absturzberichte an The Document Foundation senden). Die Berichte enthalten technische Informationen wie die LibreOffice-Version, geladene Module, Details zu deinem Betriebssystem und grundlegende Hardware-Informationen (CPU, GPU), jedoch explizit keine Inhalte aus deinen Dokumenten. Nach der Analyse zur Fehlerbehebung werden die Daten anonymisiert bzw. der ursprüngliche Minidump gelöscht.
  • Update-Prüfung (Online Update): LibreOffice kann automatisch prüfen, ob neue Versionen verfügbar sind. Dabei werden minimale, nicht-personenbezogene Informationen an die Server der TDF gesendet, primär die installierte Build-ID von LibreOffice und der Typ deines Betriebssystems. Diese Funktion dient dazu, den Nutzer über Updates zu informieren und kann ebenfalls in den Optionen deaktiviert werden (Extras > Optionen > LibreOffice > Online-Update). In manchen Installationen fehlt dieser Menüpunkt möglicherweise, wenn die entsprechende Komponente bei der Installation nicht ausgewählt wurde.
  • Keine Telemetrie oder Nutzungsdaten: Über die genannten Punkte hinaus sammelt LibreOffice standardmäßig keine Telemetriedaten über das Nutzerverhalten (z.B. welche Funktionen wie oft genutzt werden) und führt kein Data Mining oder eine Analyse von Nutzerinhalten zur Produktverbesserung durch.

Mini-Exkurs:

Telemetrie - Telemetriedaten sind automatisch erfasste Mess- oder Zustandsdaten, die von entfernten Geräten oder Systemen zur Überwachung, Analyse oder Steuerung an einen zentralen Ort übertragen werden.
Data Mining - Data Mining ist der Prozess der systematischen Anwendung statistischer Methoden und Algorithmen auf große Datenbestände, um darin bisher unbekannte Muster, Trends und nützliche Informationen zu entdecken.

Du siehst also, dass Daten nur absolut minimalistisch und primär zur Weiterentwicklung des Projektes gesammelt werden. In den einschlägigen Foren gibt es kilometerlange Diskussionen über die technische Unbedenklichkeit der Standardeinstellungen. Dabei wird in diesem Kontext hauptsächlich die standardmäßig bejahte Checkbox der Vorbereitung der Absturzberichte diskutiert. Das Senden den vorbereiteten Berichte bedarf einer weiteren Zustimmung. Das freut jeden Privacy-orientierten Nutzer!

Die konservativen Voreinstellungen von LibreOffice kommunizieren klar den Respekt für die Daten der Nutzer und zielen auf Vertrauen ab. 

Eine Funktion, die hingegen meist für Unmut sorgt, ist der anonyme Update-Check. Hier wird eine automatisierte Verbindung nach außen erzeugt, die einige Nutzer lieber nur auf Befehl ausführen lassen würden bzw. die Updates selbst vornehmen würden. Hier werden zwar keine persönlichen oder personenbezogenen Daten übertragen, aber Kontrolle schafft gelegentlich innere Ruhe.

Lokale Datenhaltung als Standard

Wo heute alles ein Abo wird und alles in einer Cloud gespeichert wird, ist der Standard-Speicherort von LibreOffice direkt aus den 1990ern.

Standardeinstellung ist es, die Daten lokal zu speichern. Auf deiner Festplatte, auf deinem PC, in deinen Ordnern. Wahnsinn.

Zwar existiert eine Web-Version von LibreOffice, diese wird jedoch bewusst nicht als gehostete Variante von TDF angeboten (so wie OneDrive, Google Docs etc.). Du musst den Part des Hosting selbst organisieren. Das heißt on-premise oder via eines eigenen Cloud-Dienstes (Sind das nicht eh’ nur Linux-Server an einem anderen Ort?!). So bleibst du bzw. deine Organisation trotzdem weiterhin Herr über Daten und Infrastruktur.

Die Rolle der Document Foundation (TDF)

Die Organisationsstruktur hinter LibreOffice unterstützt dessen datenschutzfreundlichen Ansatz:

  • Gemeinnützigkeit: Die TDF ist eine gemeinnützige Stiftung nach deutschem Recht. Ihr satzungsgemäßes Ziel ist die Förderung und Entwicklung freier Office-Software, die jedermann kostenlos zur Verfügung steht. Finanzielle Interessen durch Datennutzung oder Werbung stehen nicht im Vordergrund; die Finanzierung erfolgt primär durch Spenden und Unterstützung durch Partner aus dem Ökosystem.
  • Standort Deutschland: Der Sitz der Stiftung in Berlin bedeutet, dass sie deutschem und europäischem Recht unterliegt, einschließlich der strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO). Die offiziellen rechtlichen Dokumente wie die Datenschutzerklärung und Satzung sind primär auf Deutsch verfasst.

Microsoft Office und die Privatsphäre: Ein genauerer Blick auf die Datennutzung

Im Gegensatz zu LibreOffice verfolgt Microsoft mit seinem Office-Paket, insbesondere in der Ausprägung als Microsoft 365, einen stark daten- und cloud-getriebenen Ansatz.

Telemetrie und Diagnosedaten: Was Microsoft wissen will

Microsoft sammelt eine Reihe von Daten während der Nutzung von Office-Anwendungen. Der angegebene Hauptzweck ist es, die Produkte sicher und aktuell zu halten, Fehler zu erkennen und zu beheben sowie die Software kontinuierlich zu verbessern. Fairerweise ist diese Art der Datensammlung essentiell für das kontinuierliche Schließen von Sicherheitslücken. Microsoft unterscheidet dabei zwei Hauptstufen der Datensammlung:

  • Erforderliche Diagnosedaten (Required Diagnostic Data): Dies ist das Minimum an Daten, das laut Microsoft notwendig ist, um die Sicherheit, Aktualität und grundlegende Funktionsfähigkeit der Software zu gewährleisten. Diese Daten umfassen Informationen über das verwendete Gerät, das Betriebssystem, die installierte Office-Version, grundlegende Leistungsdaten und Informationen über Abstürze oder schwerwiegende Funktionsfehler. Wichtig ist die Zusicherung, dass diese Daten keine Nutzernamen, E-Mail-Adressen oder Inhalte aus deinen Dateien enthalten.
  • Optionale Diagnosedaten (Optional Diagnostic Data): Diese sind das kleine Extra und gehen über das erforderliche Minimum hinaus. Diese Daten sollen Microsoft helfen, Produkte umfassender zu verbessern und erweiterte Informationen zur Fehlerdiagnose zu liefern. Hierzu gehören detaillierte Informationen über die Gerätenutzung, die Nutzung spezifischer Funktionen (z.B. welche Vorlagen oder Bilder aus Bibliotheken ausgewählt werden), detaillierte Leistungsdaten (z.B. die Ladezeit einer PowerPoint-Folie), erweiterte Fehlerberichte, Informationen zur Gerätekonfiguration und zum Software-Inventar. Die Übermittlung optionaler Diagnosedaten erfordert die Zustimmung des Nutzers (bei Privatkonten) oder wird zentral durch Administratoren Richtlinien in Organisationen gesteuert. Wenn optionale Daten gesendet werden, sind die erforderlichen Daten (Required Diagnostic Data) immer enthalten. Microsoft nutzt diese optionalen Daten explizit auch, um neue Funktionen zu entwickeln und KI- bzw. Machine-Learning-Modelle zu trainieren.

Microsoft gibt an, die gesammelten Diagnosedaten zu pseudonymisieren. Die Herrschaften haben jedoch eingeräumt, dass diese Daten dennoch personenbezogene Daten im Sinne der DSGVO enthalten können. Zur Aggregation der Daten wird eine eindeutige ID verwendet, die jedoch nicht zur direkten Identifizierung eines Nutzers dienen soll. Nutzer können die gesendeten Daten mithilfe des Diagnosedaten-Viewers einsehen. Inwieweit diese Daten wiederum aufgeschlüsselt werden können und damit rückverfolgbar sind, wird wohl vorerst nur Microsoft genau wissen.

Wichtig ist, dass wenn dir die Kontrolle des Datenflusses am Herzen liegt, dass du die entsprechenden Haken bei “Nur erforderliche Daten” setzt.

Entscheidend wird es bei den “Erforderlichen Dienstdaten (Required Service Data)”. Selbst wenn du als Administrator die Sammlung von Diagnosedaten mit der Einstufung “Weder noch (Neither)” ausgestattet hast, werden weiterhin Daten mit Microsoft geteilt. Auch wenn dies den kompletten Stopp von Daten suggeriert. Denn diese Daten werden als notwendig für die Funktion einzelner Cloud-Based Dienste (Verbundene Erfahrung) und für Hintergrunddienste (Lizenzprüfung) als unerlässlich eingestuft. 

Die Nutzung der meisten MS Office Applikationen ist mittlerweile untrennbar vom Teilen von Daten mit Microsoft. Selbst wenn du deine Diagnose-Einstellung extrem restriktiv einstellst.

Hier liegt auch der ganz große Unterschied, sofern du nicht unbedingt die KI/ML-Funktionalitäten der MS-Produkte willst, zwischen LibreOffice und MS Office. Während LibreOffice Absturzberichte für die Fehlerbehebung nutzt, möchte Microsoft aus deinen Daten neue Ideen für Produkte und Trainingsdaten für Dienste wie den Copilot sammeln. 

Microsoft hat ein klares und offensichtliches kommerzielles Interesse an deinen Daten und lässt diese direkt in die Produktentwicklung einfließen. 

Dieser Makel an den Microsoft Produkten mag für viele ein relativ kleines Problem sein, aber trotz deiner finanziellen Gegenleistung für das Produkt trotzdem als Produkt zu enden ist ein schwieriger Stand.

Wer Dienste umsonst nutzt, muss davon ausgehen, dass er zum Produkt wird. Wenn ich jedoch für die Dienste zahle und trotzdem so utilisiert werde, dann ist das schwierig zu schlucken.

"Verbundene Erfahrungen" (Connected Experiences): Mehrwert mit Datenschutz-Kosten?

Die Unique Selling Proposition (USP) von Microsoft 365 sind die sogenannten "Verbundenen Erfahrungen". Hierbei handelt es sich um Funktionen, die auf Cloud-Dienste von Microsoft (oder manchmal Drittanbietern) zurückgreifen, um erweiterte Funktionalitäten bereitzustellen. Es gibt so viel, aber hier Beispiele:

  • Funktionen, die deine Inhalte analysieren: Übersetzer, Diktierfunktion, Rechtschreib- und Grammatikprüfung (Editor), Textvorschläge, Designideen in PowerPoint, Intelligentes Nachschlagen. Hierbei werden Teile des Dokuments oder der Eingaben zur Verarbeitung an Microsoft-Server gesendet.
  • Funktionen, die Online-Inhalte herunterladen: Einfügen von Stockfotos, Online-Videos, 3D-Modellen, Symbolen, Vorlagen, Schriftarten, Karten in Excel, die "Sie wünschen"-Funktion (Tell Me). Diese Funktionen rufen Inhalte von Microsoft-Servern ab.
  • Optionale verbundene Erfahrungen: Dies sind oft Dienste, die über die Kernfunktionalität hinausgehen, wie die Integration mit LinkedIn, bestimmte Bing-basierte Suchen oder der Office Store. Diese unterliegen häufig nicht dem Hauptvertrag der Organisation mit Microsoft, sondern separaten Bedingungen, insbesondere dem Microsoft Services Agreement (MSA) für Endverbraucher.

Microsoft versichert, dass die Inhalte, die zur Erbringung dieser Dienste verarbeitet werden, nicht für die Erstellung von Nutzerprofilen oder für gezielte Werbung verwendet werden. Die Datenübertragung erfolgt verschlüsselt (TLS 1.2+). Einige Dienste speichern Daten zur Personalisierung, z.B. merkt sich der Editor Korrektur Präferenzen. Bing-basierte Dienste senden Suchanfragen an Bing, wobei versucht wird, diese nicht mit der Identität des Nutzers zu verknüpfen. Was genau dabei “Versucht” bedeutet, ist vorerst einmal dahingestellt.

Die Kontrolle über diese verbundenen Erfahrungen ist gar nicht mal so einfach:

  • Administratoren können ganze Dienst Kategorien (Inhaltsanalyse, Online-Inhalte, Optional) oder alle verbundenen Erfahrungen global über Richtlinien deaktivieren.
  • Nutzer können, sofern der Administrator dies erlaubt, zumindest die optional verbundenen Erfahrungen in ihrem Konto Datenschutzeinstellungen (Datei -> Konto -> Konto Datenschutzeinstellungen verwalten) deaktivieren. Dies sollte aber zumindest in Organisationen in Abstimmung mit Administratoren und entsprechenden Fachkräften durchgeführt werden.

Die enge Verknüpfung von grundlegenden Cloud-Funktionen wie dem Speichern auf OneDrive oder der gemeinsamen Dokumentbearbeitung (Co-Authoring) mit dem Überbegriff "Verbundene Erfahrungen" führt jedoch zu einer Zwickmühle.

Wer aus Datenschutzgründen beispielsweise alle Dienste deaktiviert, die Inhalte analysiert, riskiert auch, Kollaborations- und Speicherfunktionen zu verlieren. Dies schränkt deine tatsächliche Wahlfreiheit erheblich ein, da potenziell unerwünschte Datenverarbeitung mit benötigter Kernfunktionalität gebündelt wird. Schade, aber verständlich, dass es nicht anders geht.

Zusätzliche Komplexität entsteht dadurch, dass die "Optionalen verbundenen Erfahrungen" oft unter das Microsoft Services Agreement (MSA) fallen, selbst wenn der Nutzer die Software im Rahmen eines Unternehmensvertrags nutzt. Das bedeutet, dass für bestimmte Interaktionen innerhalb derselben Software plötzlich andere rechtliche Bedingungen und Datenschutzrichtlinien gelten können als im Hauptvertrag der Organisation festgelegt. Dies kann die Compliance und die Nachverfolgung von Datenflüssen für Unternehmen zu einem Alptraum machen.

Microsoft-Konto und Cloud-Integration

Die Nutzung von Microsoft 365 ist eng an ein Microsoft-Konto gekoppelt, das oft für Installation, Aktivierung und den vollen Funktionsumfang benötigt wird. Cloud-Speicher wie OneDrive sind tief integriert und werden häufig als Standard-Speicherort vorgeschlagen oder genutzt, was die lokale Datenkontrolle reduziert. Viele moderne Funktionen, insbesondere Kollaboration und KI-Features, sind ohne Cloud-Anbindung und Konto nicht oder nur eingeschränkt nutzbar.

Offizielle Datenschutzerklärungen und die Realität

Microsofts offizielle Datenschutzerklärung beschreibt detailliert, welche Daten gesammelt und wie sie genutzt werden. Dieser werden zur Produktbereitstellung, Verbesserung, Personalisierung und auch für Werbung und Marketing verwendet (wobei letzteres für einzelne Office-Datenströme ausgeschlossen wird). Microsoft betont dabei stets Transparenz und die Kontrollmöglichkeiten der Nutzer.

Europäische, insbesondere deutsche, Datenschützer sehen das allerdings etwas anders. Die Datenschutzkonferenz (DSK), das unabhängige Gremium der deutschen Datenschutzaufsichtsbehörden, hat wiederholt festgestellt, dass eine DSGVO-konforme Nutzung von MS 365 unter gegebenen Bedingungen nicht möglich sei. Hauptsächlich durch die Punkte der mangelnden Transparenz bzgl. Datenverarbeitungsprozesse und beteiligte Subunternehmen. Darüber hinaus die unzulässige Datenübermittlung in die USA. Im Hinblick auf die Vereinigten Staaten sollte besonders der amerikanische Cloud-Act genannt werden. Microsoft weist diese Kritik zurück und verweist auf eigene Compliance-Maßnahmen und vertragliche Zusicherungen.

Zum jetzigen Zeitpunkt ist die Nutzung natürlich möglich. Ob die entsprechenden Zusicherungen ausreichen, sollte jedoch jede Person bzw. jede Organisation selbst beurteilen. Zumindest bis die entsprechenden Rechtsorgane etwas anderes von sich geben. 

Es handelt sich dabei um eine anhaltende Kontroverse zwischen den Aufsichtsbehörden und Microsoft. Auf der einen Seite sind Maßnahmen wie das Datenschutz-Addendum (DPA) oder die EU Data Boundary eingeführt. Auf der anderen Seite steht Microsofts globale Cloud-Architektur und der Fakt, dass es sich um ein US-Unternehmen handelt. Diese beiden Komponenten lassen sich nur extrem schwierig mit den relativ strengen Anforderungen der DSGVO vereinen.

Entwicklungsmodelle und Datenphilosophien im Vergleich

Die unterschiedlichen Ansätze zum Datenschutz wurzeln tief in den fundamental verschiedenen Entwicklungsmodellen und Datenphilosophien der beiden Suiten/Anbieter.

Open Source (LibreOffice) vs. Closed Source (Microsoft Office): Vertrauen und Kontrolle

Das Verständnis von Vertrauen ist grundlegend unterschiedlich zwischen TDF und Microsoft.

LibreOffice basiert auf dem Vertrauen in die Überprüfbarkeit des offenen Quellcodes und der Kontrolle durch eine gemeinnützige Organisation.

Microsoft Office hingegen basiert auf dem Vertrauen durch Zusicherungen und vertragliche Verpflichtungen des Herstellers dem Endnutzer gegenüber. Hierbei muss der Quellcode dann nicht einsehbar sein.

Während LibreOffice sich darauf verlässt, dass die Community theoretisch eingreifen kann, um Missstände aufzudecken. Wir müssen uns hingegen darauf verlassen, dass Microsoft als Unternehmen mit ihren internen Prozessen die notwendigen Maßnahmen ergreifen und verantwortungsvoll mit Daten umgehen. Die Prioritäten der einzelnen Anbieter (Gemeinnützigkeit vs Gewinnorientierung) haben dabei einen erheblichen Einfluss auf die Nutzerfreiheit, Datennutzung, Produktentwicklung und natürlich die Monetarisierung.

Datenminimierung bei LibreOffice und Datenmaximierung bei Microsoft 365

Die Herangehensweise an die Datensammlung spiegelt unterschiedliche Philosophien wider:

  • LibreOffice folgt klar dem Prinzip der Datensparsamkeit. Standardmäßig werden nur minimale Daten gesammelt, meist nur auf expliziten Wunsch (Opt-in für Crash Reports) oder anonymisiert (Update Check). Der Fokus liegt auf der Kernfunktionalität der Software, ohne unnötige Datenerhebung. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen Konfigurationsleitfäden sogar, wo immer möglich, weitere Datenübertragungen an den Hersteller zu deaktivieren.
  • Microsoft Office/365 verfolgt eher einen datengetriebenen Ansatz zur Serviceoptimierung. Standardmäßig werden "Erforderliche Diagnosedaten" gesammelt, und Nutzer bzw. Admins werden ermutigt, "Optionale Diagnosedaten" freizugeben, um die Produktentwicklung zu unterstützen. Die vielen "Verbundenen Erfahrungen" erfordern zusätzlichen Datenaustausch, um ihren Mehrwert zu liefern. Die Philosophie ist hier klar darauf ausgerichtet, Daten zu nutzen, um den Dienst zu verbessern, zu personalisieren und sicherer zu machen.

Dieser Unterschied ist weniger eine Frage von "gut" versus "böse" sondern ein Ausdruck fundamental unterschiedlicher Werte und Ziele. LibreOffice steht für die Prinzipien der Nutzerautonomie und Datensparsamkeit, wie sie in vielen Free and Open Source Software (FOSS)-Projekten zu finden sind. Microsoft hingegen sieht Daten als Rohstoff, um einen leistungsfähigen, sicheren und sich ständig weiterentwickelnden Cloud-Dienst anzubieten. Zudem soll die Suite möglichst vollumfänglich sein, um über zukünftige Funktionen den Markt dominieren zu können. 

Die Prioritäten sind verschieden: Maximale Nutzerkontrolle über die Software vs. Optimierung des Dienstes durch Datenanalyse.

Cloud vs. Lokal: Wer kontrolliert deine Daten?

Wo du deine Dokumente/Daten speicherst und wie sie verarbeitet werden, offenbart die Kontrolle, die du über deine Daten hast und das damit verbundene Risiko.

Pro & Con der Cloud-Speicherung (Fokus Microsoft Office)

Die Integration von Microsoft 365 mit Cloud-Diensten wie OneDrive und SharePoint ist beinahe unschlagbar:

  • Vorteile: Ortsunabhängiger Zugriff auf Dateien, einfache Zusammenarbeit in Echtzeit (Co-Authoring), zentrale Verwaltung von Dokumenten und potenziell hohe Ausfallsicherheit durch die Microsoft Infrastruktur.
  • Risiken: Der Nutzer gibt die direkte Kontrolle über seine Daten ab, da sie auf Servern von Microsoft liegen. Es entsteht eine Abhängigkeit vom Anbieter, dessen Richtlinien und Verfügbarkeit. Auch wenn vertraglich geregelt, besteht das theoretische Risiko von Zugriffen durch den Anbieter oder dessen Subunternehmer. Ein riesiges Risiko stellt zudem der mögliche Zugriff durch Behörden oder andere staatliche Stellen, die ihre “Erlaubnis” aus Gesetzen wie dem Cloud-Act ziehen. Diese Zugriffsrechte erstrecken sich potentiell sogar auf im Ausland gespeicherte Daten. Probleme mit der DSGVO-Compliance sind dabei inbegriffen.

Lokale Speicherung (Fokus LibreOffice)

LibreOffice setzt standardmäßig auf lokale Speicherung.

  • Vorteile: Der Nutzer behält die volle Kontrolle über seine Dateien, da sie auf der eigenen Hardware gespeichert sind. Es besteht keine Abhängigkeit von der Verfügbarkeit oder den Richtlinien eines Cloud-Anbieters. Die Einhaltung von Datenschutz-Compliance-Anforderungen (z.B. bei der Verarbeitung sensibler Daten) kann einfacher sichergestellt werden, wenn die Daten lokal gespeichert bleiben. Das Risiko unbefugter Zugriffe Dritter über den Anbieter entfällt (sofern du dein Umfeld, Passwörter etc. unter Kontrolle hast).
  • Nachteile: Die Zusammenarbeit an Dokumenten ist komplexer als bei integrierten Cloud-Lösungen. Die Verantwortung für Backups und die Sicherstellung der Verfügbarkeit liegt vollständig beim Nutzer. Der Zugriff ist primär ortsgebunden, es sei denn, der Nutzer implementiert eigene Synchronisations- oder Cloud-Lösungen (z.B. durch Kombination mit Diensten wie Nextcloud und Collabora Online). Wobei hier natürlich die bereits bekannten Probleme wieder greifen.

Microsofts EU Data Boundary: Eine Lösung?

Als Reaktion auf die Datenschutzbedenken europäischer Kunden hat Microsoft die "EU Data Boundary" eingeführt.

  • Das Versprechen: Microsoft verpflichtet sich, Kundendaten und pseudonymisierte (wichtig: nicht anonymisierte) personenbezogene Daten aus den Kern-Cloud-Diensten (Microsoft 365, Azure, Dynamics 365, Power Platform) für Kunden in der EU und EFTA (europäische Freihandelsassoziation) innerhalb dieser geografischen Region zu speichern und zu verarbeiten. Das gilt seit Februar 2025 auch für Daten aus dem technischen Support.
  • Die Einschränkungen: Diese Zusage gilt nicht für alle Microsoft-Dienste. Ausgenommen sind unter anderem bestimmte Teile von Microsoft Defender oder ältere Builds der Microsoft 365 Apps. Bestimmte globale Funktionen (wie Content Delivery Networks für schnellere weltweite Auslieferung) oder notwendige internationale Support-Prozesse können weiterhin Datenübertragungen außerhalb der EU erforderlich machen.
  • Die rechtliche Einordnung: Die EU Data Boundary adressiert primär die Anforderung der Datenlokalisierung (in der Region speichern, aus der die Daten stammen). Sie bietet eine geografische Zusicherung für den Speicher- und Verarbeitungsort. Sie löst jedoch nicht zwangsläufig das grundlegende Problem potenzieller Zugriffe durch US-Behörden aufgrund von Gesetzen wie dem Cloud-Act. Da Microsoft ein US-Unternehmen ist, unterliegt es weiterhin der US-Gesetzgebung, die unter bestimmten Umständen den Zugriff auf Daten verlangen kann, unabhängig vom physischen Speicherort. Insgesamt verbessert die EU Data Boundary zwar die Transparenz und Kontrolle über den Datenstandort, eliminiert aber nicht vollständig die rechtlichen Risiken, die aus der Nutzung der Cloud-Dienste eines US-Anbieters resultieren können.

Deine Privatsphäre in deinen Händen? Die Einstellungsoptionen

Beide Office-Suiten bieten Möglichkeiten, Datenschutzeinstellungen anzupassen, jedoch mit unterschiedlicher Reichweite und Komplexität.

LibreOffice: So passt du den Datenschutz an

Die zentralen Datenschutzeinstellungen in LibreOffice sind relativ übersichtlich und direkt zugänglich:

  • Update-Prüfung deaktivieren: Unter Extras > Optionen > LibreOffice > Online-Update kann die automatische Suche nach Updates abgeschaltet werden.
  • Absturzberichte deaktivieren: Unter Extras > Optionen > LibreOffice > Allgemein lässt sich die Option Absturzberichte an The Document Foundation senden deaktivieren. Wichtig ist hierbei, dass selbst bei aktivierter Option das Senden immer eine explizite Bestätigung erfordert.
  • Externe Komponenten: Optionen wie die Verwendung einer Java-Laufzeitumgebung, OpenCL oder Hardwarebeschleunigung (Extras > Optionen > LibreOffice > Erweitert bzw. Ansicht) können deaktiviert werden. Dies kann zwar primär der Stabilitätsverbesserung dienen, reduziert aber auch die Interaktion mit externen Softwarekomponenten und Treibern.
  • Metadaten-Management: LibreOffice bietet mehrere Wege, potenziell nachvollziehbare Metadaten (wie Autor, Erstellungsdatum, Bearbeitungszeit) in Dokumenten zu kontrollieren:
    • Automatisch beim Speichern: Unter Extras > Optionen > LibreOffice > Sicherheit > Optionen kann die Option Persönliche Informationen beim Speichern entfernen aktiviert werden.
    • Manuell: Über Datei > Eigenschaften können Metadaten eingesehen und bearbeitet oder teilweise zurückgesetzt werden.
    • Formatwahl: Das Speichern in einfachen Formaten wie .txt oder Flat XML ODT (.fodt) kann Metadaten entfernen, führt aber zum Verlust von Formatierungen.
    • Redigierung: Werkzeuge zum Schwärzen von Inhalten sind vorhanden, adressieren aber primär den sichtbaren Inhalt, nicht unbedingt alle Metadaten.

Microsoft Office: Ich wünschte es wäre einfach

Microsoft Office bietet eine Vielzahl von Einstellungen auf verschiedenen Ebenen, um die Privatsphäre zu steuern, was jedoch zu einer gewissen Unübersichtlichkeit führen kann:

  • Diagnosedaten-Level: Administratoren können über Richtlinien festlegen, ob "Erforderliche", "Optionale" oder "Weder noch" Diagnosedaten gesendet werden. Wenn der Admin erlaubt, können Nutzer dies (für ihr Konto) unter Datei > Konto > Kontodatenschutz > Einstellungen verwalten (Windows/Mac) oder in den Datenschutzeinstellungen der mobilen/Web-Apps anpassen. Die Einstellung "Weder noch" verhindert jedoch nicht die Übertragung von "Erforderlichen Dienstdaten" für Cloud-Funktionen.
  • Verbundene Erfahrungen steuern:
    • Global: Admins können alle verbundenen Erfahrungen über die Richtlinie Verbundene Erfahrungen in Office zulassen deaktivieren. Dies schränkt jedoch die Funktionalität stark ein, bis hin zum Verlust von OneDrive-Sync und Co-Authoring.
    • Nach Kategorie: Gezielter können Admins über separate Richtlinien steuern, ob Erfahrungen, die Inhalte analysieren, Online-Inhalte herunterladen oder als "optional" gelten, erlaubt sind.
    • Nutzerkontrolle (Optional): Sofern vom Admin freigegeben, können Nutzer die optionalen verbundenen Erfahrungen (die oft unter das MSA fallen) unter Datei > Konto > Kontodatenschutz > Einstellungen verwalten deaktivieren.
  • Microsoft Privacy Dashboard: Dies ist ein zentrales Online-Portal (account.microsoft.com/privacy), über das Nutzer Aktivitätsdaten einsehen und löschen können, die mit ihrem Microsoft-Konto verknüpft sind (z.B. Suchverlauf, Browserverlauf, Standortdaten).
  • Trust Center (in den Office-Apps): Unter Datei > Optionen > Trust Center > Einstellungen für das Trust Center finden sich weitere, teils ältere Datenschutz- und Sicherheitseinstellungen. Dazu gehören:
    • Datenschutzoptionen: Z.B. die generelle Erlaubnis für Office, Verbindungen zu Online-Diensten herzustellen. Hier ist auch der Dokumentinspektor verlinkt, mit dem Metadaten manuell entfernt werden können.
    • Einstellungen für den Zugriffsschutz: Hier kann blockiert werden, welche Dateitypen geöffnet oder gespeichert werden dürfen.
    • Vertrauenswürdige Speicherorte: Definition von lokalen oder Netzwerk-Ordnern, in denen Dateien ohne die üblichen Sicherheitsprüfungen (z.B. für Makros) geöffnet werden. Dies kann per Richtlinie verwaltet werden und hat indirekte Relevanz für die Privatsphäre, da es Schutzmechanismen umgehen kann.

Die absolute Menge an Orten und Ebenen, in den bei Microsoft nach Einstellungen gesucht werden muss, macht es dem Endnutzer schwierig wirklich alle Möglichkeiten im Blick zu behalten. Vor allem, da im Trust Center, in den Kontodatenschutzeinstellungen, im Online-Privacy-Dashboard und in den übergeordneten Administratorenrichtlinien rumgespielt werden muss, ist es schwierig, konsistente Einstellungen zu treffen. Die Privacy-Optionen sind genauso granular wie verwirrend. Besonders wenn du zwischen Diagnosedaten und den verschiedenen Optionen der “verbundenen Erfahrung” unterscheiden sollst. Auf die vergleichbare Einfachheit von LibreOffice werde ich hier nicht weiter verweisen müssen.

Das Ökosystem macht's: Gesamtauswirkungen auf die Privatsphäre

Wenn wir uns eine Office-Suite aussuchen, ist noch ein kurzer Blick auf das umliegende System, in dem wir uns aufhalten, erforderlich. Leider findet nichts in einem Vakuum statt.

Microsofts Datennetzwerk: Über Office hinaus

Microsoft Office kommt selten allein. Meist spannen wir die Office-Suite in ein breites Netz an anderen Diensten ein:

  • Zentrales Microsoft-Konto: Das für Office oft benötigte Microsoft-Konto dient als Schlüssel zu vielen anderen Diensten wie Windows, Bing, Edge, Xbox, LinkedIn, etc.
  • Datenaggregation: Dies ermöglicht Microsoft potenziell, Daten aus der Office-Nutzung (z.B. Diagnosedaten, Interaktionsdaten) mit Daten aus anderen Quellen (z.B. Suchanfragen in Bing, Browsernutzung in Edge, Windows-Nutzungsdaten) zu verknüpfen.
  • Umfassende Profile: Durch diese Verknüpfung kann ein sehr viel detaillierteres Bild der Interessen, Gewohnheiten und Bedürfnisse eines Nutzers entstehen, als es durch die Nutzung eines einzelnen Dienstes möglich wäre.
  • Nutzungszwecke: Microsoft nutzt diese aggregierten Daten laut eigener Datenschutzerklärung zur Personalisierung von Diensten und Empfehlungen über Produktgrenzen hinweg, zur plattformübergreifenden Produktverbesserung und potenziell auch für gezielte Werbung. Auch wenn die direkte Nutzung von Office-Inhalten für Werbung ausgeschlossen wird, tragen die Nutzungs- und Diagnosedaten zur Verfeinerung des Gesamtprofils bei, das wiederum für Werbezwecke relevant sein kann.

Die Nutzung von Microsoft Office kann somit, auch wenn sie selbst vielleicht nur begrenzte Daten preisgibt, zur Anreicherung eines umfassenden digitalen Profils beitragen, das Microsoft über seine Nutzer führt. Die Datenschutzimplikationen reichen damit potenziell weit über die reine Office-Anwendung hinaus und betreffen das gesamte digitale Verhalten im Microsoft-Ökosystem.

LibreOffices Unabhängigkeit als Stärke

Im Gegensatz dazu wirkt LibreOffice isoliert:

  • Keine Konto-Pflicht: Die Kernfunktionen von LibreOffice erfordern kein Online-Konto bei der TDF oder einem anderen Anbieter.
  • Keine Datenverknüpfung: Als Produkt einer unabhängigen, gemeinnützigen Stiftung werden die minimalen Daten, die LibreOffice sammelt (Absturzberichte, Update-Check), nicht systematisch mit Daten aus anderen kommerziellen Diensten oder Werbenetzwerken verknüpft.
  • Fokus auf Software: Die Document Foundation konzentriert sich auf die Entwicklung der Office-Suite und die Förderung offener Standards, nicht auf den Aufbau eines datengetriebenen Ökosystems zur übergreifenden Profilbildung.

Diese Unabhängigkeit bedeutet, dass die Nutzung von LibreOffice keine direkten Auswirkungen auf die Privatsphäre in anderen digitalen Bereichen hat. Die gesammelten Daten bleiben im Kontext der Softwareentwicklung und Fehlerbehebung.

Fazit: Welche Suite für den Privacy-Fan?

Im Hinblick auf Datenschutz scheiden sich die beiden Suiten grundlegend. Wie erörtert, stammt dies aus ihren Philosophien, der Technologie und den zugrundeliegenden Geschäftsmodellen.

Zusammenfassung der Kernunterschiede:

  • Philosophie & Modell: LibreOffice steht für Open Source, Gemeinnützigkeit und Datenminimierung, getragen von der TDF. Microsoft Office/365 repräsentiert Closed Source, ein kommerzielles Modell und einen datengetriebenen Ansatz zur Serviceoptimierung.
  • Datensammlung: LibreOffice sammelt minimal und meist nur nach expliziter Zustimmung (Opt-in) oder anonymisiert. Microsoft sammelt standardmäßig erforderliche Diagnosedaten und ermutigt zur Freigabe optionaler Daten. Zudem erfordert die verbundene Erfahrungen weiteren Datenaustausch.
  • Transparenz: LibreOffice bietet potenziell überprüfbare Transparenz durch offenen Quellcode. Microsoft bietet Transparenz durch Datenschutzerklärungen, Berichte und Tools wie den Diagnosedaten-Viewer, der Code bleibt jedoch verschlossen.
  • Cloud-Abhängigkeit: Bei LibreOffice gering (primär lokal), bei Microsoft 365 sehr hoch.
  • Kontrolle: LibreOffice bietet einfachere, aber grundlegendere Kontrollen. Microsoft bietet granulare, aber komplexe und potenziell durch Funktionsbündelung eingeschränkte Kontrollen.
  • Ökosystem: LibreOffice agiert weitgehend isoliert. Microsoft Office ist tief in ein umfassendes Ökosystem integriert, was Potenzial für übergreifende Profilbildung birgt.

Abwägung: Welche Suite bietet wann mehr Datenschutz?

Das Leben hat diese unangenehme Eigenschaft, kaum klare Antworten liefern zu können. Auch bei der Auswahl unserer Office-Suite müssen wir Prioritäten setzen und Risiken abschätzen. Die Tendenz ist aber klar:

  • Für maximale Privatsphäre und Datenkontrolle: LibreOffice ist die eindeutig überlegene Wahl. Das Open-Source-Modell, die minimale Datenerfassung, der Fokus auf lokale Speicherung und die Unabhängigkeit von einem kommerziellen Daten-Ökosystem bieten ein strukturell höheres Maß an Transparenz und Nutzerautonomie.
  • Für Nutzer, die Cloud-Funktionen benötigen, aber Datenschutzbedenken haben: Eine Möglichkeit ist, LibreOffice mit selbst gehosteten oder vertrauenswürdigen Cloud-Lösungen zu kombinieren (z.B. Nextcloud mit Collabora Online), um die Datenkontrolle zu behalten. Wer Microsoft 365 nutzt, muss die Datenschutzeinstellungen sehr sorgfältig konfigurieren und sich der verbleibenden Restrisiken bewusst sein (z.B. Cloud Act, DSK-Bewertung).
  • Für Organisationen mit strengen Compliance-Anforderungen (DSGVO): LibreOffice bietet aufgrund der standardmäßig lokalen Verarbeitung und der minimalen Datenübertragung eine deutlich einfachere Grundlage für die Einhaltung der DSGVO. Bei Microsoft 365 bleiben trotz Maßnahmen wie der EU Data Boundary und Datenschutz-Addenda Rechtsunsicherheiten, insbesondere aufgrund der kritischen Bewertung durch deutsche Datenschutzbehörden und der potenziellen Auswirkungen von US-Gesetzen.
  • Für Nutzer, denen Komfort und maximale (Cloud-)Funktionalität wichtiger sind: Microsoft 365 bietet ein breiteres Spektrum an integrierten Cloud-Diensten, Kollaborationswerkzeugen und modernen KI-Funktionen. Komfort und Funktionsumfang gehen jedoch mit einer umfangreichen Datensammlung und -verarbeitung sowie einer geringeren direkten Datenkontrolle einher. Fairerweise ist der Microsoft-Komfort für die meisten Unternehmen nicht mehr wegzudenken.

Appell: Einfach mal ein mündiger Bürger sein.

Wenn ich mich aktiv mit der Entscheidung zwischen LibreOffice und Microsoft Office beschäftige, ist es eine grundlegende Entscheidung über meinen Umgang mit meinen Daten. Es gibt leider keine eindeutige Antwort.

Wiege deine individuellen Bedürfnisse und Prioritäten sorgfältig ab. Wie wichtig ist mir maximale (oder close to) Privatsphäre im Vergleich mit der Einfachheit von Cloud-Integration und den neuesten Features?

Wie sensibel sind die Daten, die ich verarbeite?

Wenn du mit den Informationen anderer arbeitest: Wie sehr respektierst du ihr Recht auf Privatsphäre?

Auch wenn dieser Tag wahrscheinlich nie kommen wird: Bin ich bereits nachträglich umzusteigen, wenn MS-Office als endgültig nicht DSGVO-Konform eingestuft wird?

Dieser Artikel hat einiges über die wesentlichen Unterschiede und Implikationen der beiden Suiten dargestellt. Welche Suite du letztendlich nutzt, ist dir überlassen, aber vielleicht steigen ja einige auf datenschutzfreundlichere Alternativen um, vielleicht wachsen einige Start-Ups direkt fernab des Microsoft-Kosmos und vielleicht war der gesammte Artikel verschwendet, da die Machtposition des Microsoft Office nicht gebrochen werden kann. Bei letzterer Befürchtung gibt der Umstieg des öffentlichen Dienstes in Schleswig-Holstein auf LibreOffice aber doch einiges an Hoffnung.

Dennis Becker
ArtikelÜber mich
© 2025 Dennis Becker
DatenschutzImpressum