Zu den zentralen Voraussetzungen gehört dem Bericht zufolge die Einhaltung der DS-GVO-Grundprinzipien, insbesondere der Grundsätze der Verarbeitung, der Rechtsgrundlagen der Verarbeitung sowie gegebenenfalls der Anforderungen aus Art. 28 zur Auftragsverarbeitung. Technische und organisatorische Maßnahmen (TOMs) spielen eine entscheidende Rolle: Dazu zählen Verschlüsselung, strikte Zugriffskontrollen, umfassendes Logging sowie regelmäßige Audits, ergänzt durch ein umfassendes Data-Processing-Agreement mit dem Anbieter. Transparenz und Information der betroffenen Personen bleiben essenziell, ebenso wie Zweckbindung und Datenminimierung, damit der Einsatz von Microsoft 365 nachvollziehbar bleibt und keine unnötigen oder unklaren Datenverarbeitungen stattfinden. Das Berichtswerk hebt zudem die Bedeutung einer klaren Zuordnung von Verantwortlichkeiten hervor, etwa im Kontext gemeinsamer Verantwortlichkeit oder Auftragsverarbeitung, und betont die Notwendigkeit eines verlässlichen Vertrags- und Rechenschaftsrahmens mit Microsoft sowie internen Stakeholdern.
Ein weiteres Kernelement des Berichts ist das Risikomanagement: Dort wird die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) bei relevanten Verarbeitungsvorgängen, insbesondere bei sensibleren Bereichen wie Personal- oder Gesundheitsdaten, empfohlen. Die vorgeschlagenen Sicherheits- und Compliance-Maßnahmen seien auf Microsoft 365 zugeschnitten und umfassen konkrete Vorgaben zu Konfigurationen, Berechtigungsmodellen und Datenlokalisierung, ergänzt durch festgelegte Prozesse für Datenzugriffe, Auditfähigkeit und klare Reaktionspläne bei Datenschutzvorfällen. Zudem werde eine kontinuierliche Überwachung von Änderungen in Microsoft 365 betont, die datenschutzrelevante Auswirkungen haben könnten, sodass Verantwortliche rechtzeitig Anpassungen vornehmen können. Abschließend richtet sich der Dialog mit Verantwortlichen darauf, den Einsatz von Microsoft 365 konform zu gestalten, indem klare Kriterien für die Prüfung des Einsatzbereichs, regelmäßige Überprüfungen der Sicherheitskonfigurationen und eine lückenlose Dokumentation der getroffenen Maßnahmen erfolgen. Wer Microsoft 365 also rechtskonform nutzen wolle, solle sich an den im Bericht beschriebenen Rahmenbedingungen orientieren und die darin enthaltenen Handlungsempfehlungen schrittweise umsetzen.