Microsoft 365 vs. Google Workspace im DACH-Vergleich
Microsoft 365 (Microsoft Corp., US-Redmond) und Google Workspace (Google LLC, US-Mountain View, Alphabet-Tochter) sind die beiden dominanten Cloud-Mail-Plattformen für DACH-Unternehmen. Beide unterliegen US-Recht (CLOUD Act), beide bieten EU-Datenresidenz-Optionen, beide haben starke Anti-Phishing-Engines. Dieser Deep-Dive vergleicht Preise, Features, DSGVO-Bewertung und Anti-CLOUD-Act-Mechaniken Schritt für Schritt — als Entscheidungsgrundlage für die Cloud-Mail-Wahl.
Die Anbieter im Überblick
Microsoft 365 wird von der Microsoft Corporation (US, Redmond/Washington, gegründet 1975 von Bill Gates und Paul Allen) als Online-Dienst betrieben. Exchange Online liefert Email, Teams die Kommunikation, Office-Apps die Produktivität. Google Workspace wird von Google LLC betrieben — gegründet 1998 als Google Inc., seit 2015 Tochter der Alphabet Inc., Sitz Mountain View/Kalifornien. Beide Anbieter sind US-Konzerne und unterliegen damit dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018), der US-Behörden grundsätzlich Daten-Anfragen ermöglicht — unabhängig vom physischen Speicherort.
Beide Anbieter haben in den letzten Jahren intensiv an EU-Datenresidenz-Mechanismen gearbeitet: Microsoft mit der EU Data Boundary (Roll-out abgeschlossen 2024, dokumentiert in learn.microsoft.com/privacy/eudb), Google mit Workspace Data Regions (dokumentiert in knowledge.workspace.google.com/admin/compliance). Beide reduzieren das Risiko unbeabsichtigter Drittstaaten-Transfers, eliminieren aber nicht die juristische CLOUD-Act-Exposition der Mutter-Konzerne. Für absolut CLOUD-Act-resistente Kommunikation bleibt nur ein Schweizer oder EU-natürliches Provider (siehe Proton Mail Deep-Dive) oder Self-Hosted mit kontrollierter Infrastruktur.
| Aspekt | Microsoft 365 | Google Workspace |
|---|---|---|
| Konzern | Microsoft Corporation (US, Redmond/WA, gegründet 1975) | Google LLC (US, Mountain View/CA, Alphabet-Tochter seit 2015) |
| Email-Service | Exchange Online | Gmail (kommerziell) |
| EU-Datenresidenz | EU Data Boundary (automatisch bei EU-Sign-up) | Data Regions (manuell wählbar in Business Standard+) |
| Anti-Phishing | Defender for Office 365 (in Business Premium) | Anti-Spam integriert, Advanced Protection Program optional |
| DKIM-Default | 2048-Bit, automatische Rotation seit 2020 | 2048-Bit, manuelle Aktivierung |
| S/MIME-Support | Native via Outlook + AAD-Zertifikate | Native in Enterprise Plus, Workspace Add-on |
| Postmaster-Daten | Microsoft SNDS + JMRP | Google Postmaster Tools |
| CLOUD-Act-Exposition | Ja (US-Konzern) | Ja (US-Konzern) |
EU Data Boundary vs. Workspace Data Regions
Die beiden EU-Datenresidenz-Mechanismen sind funktional ähnlich, unterscheiden sich aber im Scope, in der Aktivierungs-Mechanik und in der Datentypen-Abdeckung. Microsoft hat die EU Data Boundary breit für Microsoft 365, Azure, Dynamics 365 und Power Platform aufgesetzt — Customer Data und pseudonymisierte System-Logs in EU/EFTA. Google Workspace Data Regions ist Workspace-spezifisch und konfiguriert pro Datentyp.
Microsoft EU Data Boundary
Die EU Data Boundary umfasst alle EU-27 plus EFTA (Liechtenstein, Island, Norwegen, Schweiz). Customer Data und pseudonymisierte personenbezogene Daten werden in Datencentern in Österreich, Belgien, Dänemark, Finnland, Frankreich, Deutschland, Griechenland, Irland, Italien, Niederlande, Norwegen, Polen, Spanien, Schweden und Schweiz gespeichert. Stand der offiziellen Microsoft-Dokumentation: 26. Februar 2025.
- Aktivierung: Automatisch bei Tenant-Sign-up in einem EU/EFTA-Land. Kein Konfigurations-Schritt nötig.
- Ausnahmen: Multi-Geo-Capabilities-Tenants fallen aus dem EU-Scope. Bestimmte Support-Szenarien (Premier/Unified) können temporären Daten-Zugriff durch Non-EU-Personal beinhalten.
- Abdeckung: Customer Data + System-generierte Logs (pseudonymisiert) + Professional Services Data at rest.
- Pseudonymisierung: Microsoft pseudonymisiert personenbezogene Daten in System-Logs via Verschlüsselung, Masking, Tokenization, Data Blurring.
Google Workspace Data Regions
Workspace Data Regions ist Workspace-spezifisch und bietet zwei Regionen: Vereinigte Staaten oder Europa. Erfasste Daten umfassen Gmail (Subject, Body, Absender/Empfänger, Anhänge), Calendar, Drive, Docs/Sheets/Slides, Meet (Aufzeichnungen/Transkripte) und Chat. Dateien werden in der Region des Datei-Erstellers gespeichert.
- Aktivierung: Manuell durch Administrator in der Google Workspace Admin Console. Policy pro Organisations-Einheit (OU) möglich.
- Verfügbarkeit: Business Standard, Business Plus, Enterprise Standard, Enterprise Plus, Education Standard, Frontline Standard/Plus (mit Data Regions Add-on bei Enterprise-Essentials).
- Granularität: Pro Datentyp und pro OU konfigurierbar. Indexes und Caches können kurzzeitig außerhalb der gewählten Region liegen.
- Vault: Vault Retention Holds folgen der Data-Region-Policy ab Workspace Business Plus.
CLOUD Act und seine Reichweite
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, US-Bundesgesetz von 2018) erlaubt US-Behörden, von US-Konzernen Daten anzufordern, unabhängig vom physischen Speicherort. Microsoft und Google sind als US-Konzerne grundsätzlich exponiert. Beide bieten formale Mechanismen zur juristischen Verteidigung (Notification, Court Challenges, Transparency-Reports), eliminieren aber nicht die Möglichkeit verdeckter Daten-Anfragen (insbesondere unter US Foreign Intelligence Surveillance Act, FISA Section 702).
Mitigationen für CLOUD-Act-Risiko
- EU-Datenresidenz aktivieren: Reduziert ungewollte Drittstaaten-Transfers, ändert aber nicht die juristische Exposition des US-Konzerns.
- End-to-End-Verschlüsselung: S/MIME (RFC 8551) oder OpenPGP (RFC 4880) verschlüsseln den Mail-Inhalt vor der Übergabe an den Cloud-Provider. Selbst bei Zwangs-Daten-Herausgabe sind die Inhalte verschlüsselt. Siehe S/MIME vs. OpenPGP Deep-Dive.
- Schweizer oder EU-natürlicher Provider: Proton Mail (Proton AG, Genf), Tuta Mail (Tutao GmbH, Hannover, früher Tutanota), Mailfence (ContactOffice Group, Belgien) sind keine US-Konzerne und unterliegen nicht CLOUD Act.
- Self-Hosted-Stack: Postfix/Mailcow auf eigenem Server in EU-Datencenter (Hetzner Falkenstein, Netcup Nürnberg/Wien) eliminiert jedes Konzern-Risiko, bringt aber Operations-Aufwand.
- Datenklassifikation: Nicht jede Email braucht CLOUD-Act-Schutz. Hochsensible Inhalte (Anwaltskommunikation, Gesundheitsdaten, Behördenkommunikation) per separatem Kanal versenden.
Anti-Phishing-Features im Vergleich
Microsoft Defender for Office 365
In Business Premium und als separates Add-on (Defender for Office 365 Plan 1/2). Dokumentation: learn.microsoft.com Anti-Phishing.
- Spoof Intelligence: ML-basierte Erkennung von Spoofing-Versuchen, eigene Allow/Block-Listen pro Tenant.
- User/Domain/Brand Impersonation: Schutz gegen Look-Alike-Adressen (Mike Smith vs. Mike Smith mit nicht-druckbaren Zeichen) und Marken-Imitation (microsoft.com vs. mircosoft.com).
- Mailbox Intelligence: AI-basierte Kontakt-Muster — abweichende Versand-Muster werden als Anomalie markiert.
- „Honor-DMARC“-Aktionen: Separate Aktionen für DMARC p=quarantine und p=reject, granular pro Anti-Phishing-Policy.
- Tenant Allow/Block Lists: Zentrale Listen für Sender, Domains, URLs, Dateihashes.
Google Workspace Anti-Spam + APP
Anti-Spam-Engine in alle Business-Pläne integriert. Advanced Protection Program (APP) als Hochrisiko-Schutz für Konten mit besonderem Risiko.
- Anti-Spam-Pipeline: ML-basierte Erkennung neuer Bedrohungen, schnelle Adaption an neue Angriffsmuster.
- Quarantine-Management: Admin-Quarantine für verdächtige Mails, User-Quarantine für End-User-Review.
- Pre-Delivery-Scanning: Anhänge in Sandbox geprüft, Links rewritten via Safe Browsing.
- Advanced Protection Program (APP): Hochrisiko-Konten mit FIDO2-Pflicht, restriktiver Anhang-Policy, Auto-Block kritischer Operationen.
- Cross-Service-Integration: Chrome Safe Browsing, Google Drive Anti-Malware, Calendar-Phishing-Detection sind tief integriert.
Wann welcher Anbieter? — Entscheidungsleitfaden
Die Wahl zwischen Microsoft 365 und Google Workspace ist selten reine Email-Frage — sie hängt vom gesamten Office-Ökosystem, der Branchen-Verbreitung und kollaborativen Workflows ab. Diese sieben Kriterien helfen bei der Entscheidung.
Office-Apps-Bedarf
Wenn Word, Excel und PowerPoint im Daily-Use sind: Microsoft 365 ist die natürliche Wahl. Docs/Sheets/Slides sind funktional gut, aber bei komplexen Excel-Workbooks oder PowerPoint-Templates kommen die Browser-Varianten an Grenzen.
Collaborative-First vs. Document-First
Google Workspace ist nativ collaborative — Echtzeit-Co-Editing in Docs/Sheets ist seit Anfang an Kern. Microsoft 365 hat aufgeholt (Co-Authoring in Word/Excel Online), bleibt aber dokumenten-zentriert. Wenn Ihr Team viel parallel arbeitet: Workspace im Vorteil.
Enterprise-Compliance-Anforderungen
Microsoft hat den breiteren Compliance-Stack: Purview (DLP, Records Management, Insider Risk), Defender (XDR), Sentinel (SIEM), Intune (Endpoint Management). Google bietet Vault (eDiscovery), Beyond Corp (Zero Trust), Chronicle (SIEM). Bei tiefen Compliance-Anforderungen (NIS2, HIPAA, FedRAMP) ist Microsoft typischerweise voraus.
DACH-Branchen-Verbreitung
In DACH dominiert Microsoft 365 in größeren Unternehmen, im öffentlichen Sektor und in regulierten Branchen (Banken, Versicherungen, Healthcare). Google Workspace ist stärker in Startups, Tech-Unternehmen, Marketing-Agenturen und globalen Konzernen.
Datenresidenz-Kontrolle
Microsoft EU Data Boundary ist breiter (auch Azure und Dynamics 365), Google Workspace Data Regions ist granularer (pro OU konfigurierbar). Wenn Sie kombinierte Cloud-Workloads betreiben, wäht eher Microsoft EU Data Boundary den größeren Scope.
Mobile-First-Workforce
Google Workspace ist mobile-first konzipiert — Gmail-App, Drive-App, Docs-App sind Reference-Apps. Microsoft 365 mobile ist gut, aber die Desktop-Erfahrung bleibt das Hauptproduktdetail. Bei vorwiegend mobiler Nutzung tendiert Workspace.
Hybrid-Identity-Pfad
Microsoft 365 unterstützt nativ Hybrid-Identity via Entra Connect (ehemals Azure AD Connect) für bestehende On-Premises-Active-Directory-Landschaften — inklusive Password-Hash-Sync, Pass-through-Authentication und Federation mit ADFS. Google Cloud Identity (separat kostenpflichtig lizenziert) bietet vergleichbare Federation via SAML 2.0/OIDC und Google Cloud Directory Sync (GCDS), ist aber weniger tief mit Office-Workflows verflochten. Bei bestehender On-Premises-AD-Landschaft (typisch im DACH-Mittelstand und öffentlichen Sektor): Microsoft im strukturellen Vorteil — kein Re-Identity-Engineering nötig.
DSGVO-Bewertungs-Matrix M365 vs. Google Workspace
Die DSGVO-Bewertung beider Plattformen folgt vier Kern-Kriterien: (1) Datenresidenz und EU-Speicherort, (2) Pseudonymisierungs- und Verschlüsselungs-Mechanismen, (3) Subunternehmer-Transparenz und Auftragsverarbeitungsverträge, (4) CLOUD-Act-Exposition und Sicherheitsbehörden-Anfragen. Die folgende Matrix zeigt die zeichengenauen Mechaniken beider Anbieter — basierend auf den offiziellen Microsoft- und Google-Dokumentationen mit Stand Februar bzw. Mai 2025.
| DSGVO-Kriterium | Microsoft 365 (EU Data Boundary) | Google Workspace (Data Regions) |
|---|---|---|
| Geltungsbereich | EU-27 + EFTA (Liechtenstein, Island, Norwegen, Schweiz). Microsoft 365 + Azure + Dynamics 365 + Power Platform — übergreifend. | Nur Google Workspace, mit zwei Regionen: USA oder Europa. Pro Datentyp (Gmail, Drive, Calendar, Docs, Meet, Chat) konfigurierbar. |
| Aktivierung | Automatisch bei Tenant-Sign-up in EU/EFTA. Kein Konfigurations-Schritt nötig. | Manuell durch Admin in Workspace Admin Console. Policy pro Organisations-Einheit (OU) möglich. |
| Datentypen-Abdeckung | Customer Data + System-generierte Logs (pseudonymisiert) + Professional Services Data at rest. | Gmail (Subject, Body, Sender/Recipients, Anhänge), Calendar (Events, Beschreibungen, Teilnehmer), Drive, Docs/Sheets/Slides, Meet (Aufzeichnungen/Transkripte), Chat. Vault Retention ab Business Plus. |
| Pseudonymisierung | Microsoft pseudonymisiert personenbezogene Daten in System-Logs via Verschlüsselung, Masking, Tokenization, Data Blurring. | Nicht explizit dokumentiert — Workspace nutzt Verschlüsselung im Transit (TLS) und at-rest, aber kein Pseudonymisierungs-Mechanismus für Logs. |
| Stand der Dokumentation | 26. Februar 2025 (learn.microsoft.com/en-us/privacy/eudb) | knowledge.workspace.google.com/admin/compliance, fortlaufend gepflegt |
| CLOUD-Act-Exposition | Microsoft Corp. ist US-Konzern — CLOUD Act grundsätzlich anwendbar. EU Data Boundary reduziert physischen Drittstaaten-Transfer, eliminiert nicht die juristische Exposition. | Google LLC ist US-Konzern (Alphabet-Tochter) — CLOUD Act analog anwendbar. Data Regions reduziert physischen Transfer, eliminiert nicht juristische Exposition. |
| Transparency-Reports | Microsoft Law Enforcement Requests Report (halbjährlich) | Google Transparency Report (halbjährlich) |
| Ausnahmen für Datenresidenz | Multi-Geo-Capabilities-Tenants fallen aus dem EU-Scope. Premier/Unified-Support kann temporär Non-EU-Zugriff bedeuten. | Indexes und Caches können kurzzeitig außerhalb der Region liegen. Daten werden in der Region des Erstellers gespeichert (nicht des Tenants). |
| Mitigation für strikte CLOUD-Act-Anforderungen | S/MIME-Verschlüsselung (RFC 8551) für sensible Klassen + EU Data Boundary für Standard-Volumen. Alternative für Hochrisiko-Klassen: Proton Mail (CH). | S/MIME ab Enterprise Plus + Data Regions auf Europa. Alternative: Mailfence (BE) oder Proton Mail (CH). |
Anwendungsfall-spezifische DSGVO-Empfehlungen
- Standard-KMU mit DACH-Kunden (geringe Sensitivität): beide Plattformen sind DSGVO-konform nutzbar mit EU-Datenresidenz aktiviert. Wahl nach Office-Ökosystem, Mobile-Affinität und Branchen-Verbreitung — siehe Sektion 6 Entscheidungsleitfaden.
- Berufsgeheimnisträger (Anwälte, Notare, Ärzte): EU Data Boundary oder Data Regions allein reicht nicht. Zusätzlich S/MIME-Verschlüsselung (RFC 8551 v4.0) für vertrauliche Klasse oder Wechsel auf Proton Mail (Proton AG, Genf, CH) für die strittige Kommunikations-Klasse.
- Forschung mit sensiblen Daten (Gesundheit, Religion, politische Meinung — Art. 9 DSGVO): End-to-End-Verschlüsselung ist Pflicht, nicht Optional. OpenPGP (RFC 4880) oder S/MIME (RFC 8551) für interne Kommunikation, externe Empfänger über separat geschützte Kanäle (Proton Mail Web-Link, Sharepoint-Container).
- Öffentlicher Sektor (Behörden, Krankenhäuser, KRITIS): NIS2 + DSGVO + branchenspezifische Vorgaben (z.B. SGB V, KRITIS-Verordnung). Microsoft hat BSI-C5-Type-2-Testat für M365 Cloud Deutschland und EU — bei tiefen Compliance-Anforderungen marginaler Vorteil. Google hat ebenfalls ISO 27001/27017/27018 und SOC 1/2/3.
- NIS2-Audit-Vorbereitung: beide Plattformen liefern Audit-Logs und Compliance-Center. Microsoft Purview (DLP, Records Management, Insider Risk) ist breiter als Google Vault. Bei NIS2-Art.-23-Meldepflichten kommt es auf Incident-Response-Workflow an — Sentinel (M365) bzw. Chronicle (Google) als SIEM ergänzend.
Quellen verifiziert (Abruf 18.-19. Mai 2026): Microsoft EU Data Boundary, Google Workspace Data Regions, CLOUD Act (US-Justizministerium), EU-US Data Privacy Framework.
Email-Security bei Cloud-Mail-Tenants mit Wolf-Agents
Wolf-Agents Email Security Check bewertet beide Cloud-Mail-Plattformen mit derselben Outside-In-Methodik — unabhängig vom Cloud-Anbieter. Die Stack-Detection erkennt Microsoft 365 (MX-Pattern *.mail.protection.outlook.com) und Google Workspace (MX-Pattern aspmx.l.google.com) eindeutig und kann auf Cross-Plattform-Konfigurations-Drift alarmieren.
- Stack-Detection für M365 und Google Workspace — eindeutige Erkennung via MX-Hostnamen-Pattern (153 Provider-Pattern), Provider-Wechsel-Alerts binnen 6 Stunden.
- 165-Punkte Email Security Scanner — bewertet SPF, DKIM, DMARC, MTA-STS, DNSSEC, DANE, BIMI unabhängig vom Cloud-Anbieter. Komplementär zu Microsoft SNDS und Google Postmaster Tools (Inside-Out vs. Outside-In).
- BIMI-Monitoring — beide Cloud-Anbieter unterstützen BIMI mit VMC. Wolf-Agents prüft BIMI-Record-Syntax, VMC-Zertifikatskette und SVG-Konformität.
- Customer-Alert-Hub — Slack/Teams/Webhook-Integration mit beiden Tenants kompatibel. M365 via Logic Apps, Google Workspace via Webhook-Integration.
Compliance-Konsequenz: NIS2 + DSGVO + branchenspezifische Vorgaben
NIS2 Art. 21 Abs. 2 lit. h (Kryptografie)
Beide Cloud-Anbieter erfüllen die Anforderungen an Email-Authentifizierung und Transport-Verschlüsselung. M365 EU Data Boundary und Google Workspace Data Regions sind dokumentierbare Maßnahmen für Aufsichts-Behörden.
DSGVO Art. 32 + Schrems-II-Kontext
EU-US Data Privacy Framework (Juli 2023) bietet rechtliche Grundlage für Daten-Transfers in die USA. Stand 2025/2026: erneut juristisch unter Druck (max Schrems). EU-Datenresidenz reduziert das Risiko, eliminiert es aber nicht.
Branchen-Vorgaben (BSI C5, ISO 27001)
Beide Anbieter zertifiziert: ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, BSI C5. Microsoft 365 hat zusätzlich BSI C5 Type 2 Testat für Microsoft 365 Cloud Deutschland und EU.
Vertiefen Sie weiter
Hauptkapitel + Provider
Verwandte Deep-Dives
Bedrohungen + Verifikation
Wie steht Ihre Domain bei M365 vs. Google Workspace?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.
Häufig gestellte Fragen
Wer steht hinter Microsoft 365 und Google Workspace?
Microsoft 365 wird von der Microsoft Corporation (US, Redmond/Washington, gegründet 1975) als Online-Dienst betrieben — Exchange Online für Email, Teams für Kommunikation, Office-Apps. Google Workspace wird von Google LLC (US, Mountain View/Kalifornien, Tochter der Alphabet Inc.) betrieben — Gmail für Email, Drive, Calendar, Docs. Beide Anbieter unterliegen US-Recht inklusive CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018), der US-Behörden Zugriff auf Daten auch außerhalb der USA erlauben kann. Beide adressieren das Problem mit EU-Datenresidenz-Optionen — die Wirksamkeit ist juristisch umstritten.
Was ist Microsoft EU Data Boundary?
Die EU Data Boundary ist eine geografisch definierte Grenze, innerhalb derer Microsoft Customer Data und personenbezogene Daten für Microsoft 365, Azure, Dynamics 365 und Power Platform speichert und verarbeitet. Sie umfasst die EU-Länder (Österreich, Belgien, Bulgarien, Kroatien, Zypern, Tschechien, Dänemark, Estland, Finnland, Frankreich, Deutschland, Griechenland, Ungarn, Irland, Italien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Schweden) plus die EFTA-Länder (Liechtenstein, Island, Norwegen, Schweiz). System-generierte Logs werden pseudonymisiert. Stand der Microsoft-Dokumentation: 26. Februar 2025.
Was sind Google Workspace Data Regions?
Google Workspace Data Regions erlaubt Administratoren, den Speicherort für Customer Data in zwei Regionen festzulegen: Vereinigte Staaten oder Europa. Erfasste Daten: Gmail (Subject, Body, Sender, Recipients, Attachments), Calendar (Events, Beschreibungen, Teilnehmer), Drive (hochgeladene Dateien), Docs/Sheets/Slides (Textinhalte, Bilder), Meet (Aufzeichnungen, Transkripte), Chat (Nachrichten, Anhänge). Verfügbar in: Business Standard, Business Plus, Enterprise, Enterprise Plus, Education Standard, Frontline Standard/Plus. Dateien werden in der Region des Datei-Erstellers gespeichert.
Was bedeuten EU Data Boundary und Data Regions für DSGVO und CLOUD Act?
Beide Mechanismen halten Customer Data physisch in der EU/EFTA und reduzieren damit das Risiko unbeabsichtigter Drittstaaten-Transfers. Sie ändern aber nicht die Tatsache, dass die Mutter-Konzerne (Microsoft Corp., Google LLC) US-Recht unterliegen. Der CLOUD Act erlaubt US-Behörden grundsätzlich Daten-Anfragen an US-Konzerne unabhängig vom physischen Speicherort. Microsoft und Google verteidigen sich juristisch in solchen Fällen, beide haben Transparenz-Berichte. Für hochsensible Kommunikation, die strikt vor US-Behörden-Zugriff geschützt sein muss, empfiehlt sich daher zusätzlich End-to-End-Verschlüsselung (siehe Proton Mail Deep-Dive und S/MIME-vs-PGP Deep-Dive) oder ein Schweizer Provider wie Proton Mail (Proton AG, Genf).
Was kostet Microsoft 365 vs. Google Workspace pro Nutzer?
Microsoft 365 bietet kostenpflichtige Business-Pläne (Basic mit Exchange Online ohne Office-Apps, Standard mit Office-Apps, Premium mit Defender for Office 365 und Intune). Google Workspace bietet kostenpflichtige Business-Pläne (Starter mit 30 GB, Standard mit 2 TB, Plus mit 5 TB, Vault und Data Regions). Die monatlichen Kosten skalieren mit der Nutzerzahl. Beide Anbieter haben zusätzlich Enterprise-Pläne mit weiteren Compliance-Features. Genaue Preise bitte auf microsoft.com bzw. workspace.google.com prüfen.
Welche Anti-Phishing-Engine ist stärker?
Microsoft Defender for Office 365 (in Business Premium und Defender-Add-on enthalten) bietet Anti-Phishing-Policies mit Spoof Intelligence, User-/Domain-/Brand-Impersonation-Schutz, Mailbox Intelligence (AI-basierte Kontakt-Muster), Tenant Allow/Block Lists und „Honor-DMARC“-Aktionen separat für p=quarantine und p=reject. Google Workspace Anti-Spam ist in alle Business-Pläne integriert, Advanced Protection Program (APP) zusätzlich für hochrisiko-Konten. Beide Engines sind in Tests in einer ähnlichen Liga — Microsoft hat den Detail-Vorteil in der Konfigurierbarkeit, Google in der schnelleren Adaption neuer Angriffsmuster durch ML-basierte Pipeline.
Welche Wahl ist DSGVO-konformer?
Beide sind DSGVO-konform nutzbar, wenn der Tenant in der EU registriert ist und die jeweilige EU-Datenresidenz-Option aktiviert wurde (M365 EU Data Boundary automatisch bei EU-Sign-up, Google Workspace Data Regions in Business Standard und höher konfigurierbar). Auftragsverarbeitungsverträge (AVV) liegen vor. Für Hochrisiko-Bereiche (Anwaltskanzleien, Gesundheitswesen, Sicherheitsbehörden) bleibt das CLOUD-Act-Restrisiko relevant — End-to-End-Verschlüsselung (S/MIME, OpenPGP) oder Schweizer (Proton Mail) bzw. deutsche Provider (Tuta Mail, früher Tutanota — Tutao GmbH Hannover) sind dort die strengeren Alternativen. Die EU-US Data Privacy Framework-Adequacy-Decision (Juli 2023) bietet zusätzliche rechtliche Grundlage, ist aber seit 2025 erneut juristisch unter Druck (max Schrems Kritik).