Standaard Microsoft 365 is vaak niet toereikend om data te beschermen volgens de meest recente richtlijnen van de AVG. T-Systems versleutelt alle data en bijbehorende metagegevens die zijn opgeslagen in Microsoft 365. Bovendien versleutelt de "Cloud Privacy Service" de informatie van de gebruiker. Op die manier profiteren Microsoft-klanten van de voordelen van de cloudinfrastructuur en voldoen zij tegelijkertijd aan de vereisten van de Europese AVG. De gecodeerde opslag van de gegevens maakt toegang door onbevoegde derden onmogelijk.
Cloud Privacy Service versleutelt en ontsleutelt alle gegevens tussen de gebruiker en de servers van Microsoft. Op deze servers worden uitsluitend gecodeerde gegevens opgeslagen. Microsoft 365 werkt zonder beperkingen in functionaliteit - inclusief zoeken in de volledige tekst en samenwerken aan documenten. De gebruiker merkt niets van de versleuteling. Hiervoor is alleen toegang tot internet nodig. Er worden zeer veilige cryptosleutels gebruikt volgens de "Advanced Encryption Standard" met een sleutellengte van 256 bits. T-Systems gebruikt de Cloud Privacy Service als een clouddienst in zijn eigen datacenter in Duitsland. Eperi uit de Duitse deelstaat Hessen is bij uitstek de specialist op het gebied van gegevensbeveiliging. In samenwerking met dit bedrijf ontwikkelde T-Systems deze oplossing, waarmee T-Systems voortbouwt op haar gateway-technologie.
Cloud Privacy Service is een end-to-end beheerde beveiligingsoplossing van Duitse makelij. Het aanbod is gericht op bedrijven met 250 of meer medewerkers. De kosten bestaan uit eenmalige installatiekosten van 4.999 euro netto en een maandelijks bedrag per medewerker. De prijzen hiervoor beginnen bij 1,99 euro netto.
In juli 2020 oordeelde het Hof van Justitie van de Europese Unie in het Schrems II-arrest dat Amerikaanse clouddiensten met een EU-US Privacy Shield-overeenkomst voor gegevensoverdracht niet langer in overeenstemming zijn met de AVG, zelfs als de servers zich in Europa bevinden. De standaardcontractbepalingen blijven in beginsel toelaatbaar, maar zijn op zichzelf vaak niet toereikend om persoonsgegevens te beschermen. Sinds juni 2021 controleren de toezichthoudende autoriteiten voor gegevensbescherming aan de hand van een vragenlijst steekproefsgewijs de tenuitvoerlegging van het Schrems II-besluit van het Hof van Justitie van de Europese Unie bij bedrijven.
