Handlungsempfehlungen zur Nutzung von Microsoft Teams

Viele Unternehmen greifen auf die Dienste von Microsoft Inc. allen voran Microsoft Teams zu, welche eine teamübergreifende, gleichzeitige Bearbeitung von Projekten ermöglicht. In Fachkreisen insb. im Kreis der Datenschützer werden immer mehr Stimmen laut, welche die Nutzung datenschutzrechtlich kritisieren.

Ungelöst der Tatsache, dass im Grundsatz Anbieter aus der EU mit vergleichbaren Leistungen vorrangig zu Anwendung kommen sollten, möchten wir Ihnen hiermit eine kurze Handlungsempfehlung mitgeben, damit Sie die Produkte von Microsoft Inc. in der Tat datenschutzgerecht einsetzen können.

I. Datenverarbeitung im Drittstaat

Zunächst gilt zu beachten, dass soweit Dienstleister und Dienste von Unternehmen außerhalb der EU bzw. des EWR genutzt werden, besondere Vorkehrungen zu treffen sind. Eine Datenverarbeitung in Drittstatten erfordert eine gesonderte Prüfung der datenschutzrechtlichen Anforderungen. Gerade Microsoft Teams ist eine Produktsammlung der Firma Microsoft Inc. mit Sitz in den USA (Drittstaat).

Als geeignete Grundlage kann insoweit der sog. Privacy Shield gelten. Das Privacy Shield ist ein Abkommen zwischen den EU und der USA, in welchen US-amerikanischen Unternehmen einen gewissen Schutzbedarf garantieren. Unternehmen und Dienstleister können sich hier registrieren und selbstverpflichten einen hohen Datenschutzstandard anzubieten. 

Microsoft Inc. ist seit dem 08.12.2016 im Privacy Shield registriert. Sie als Unternehmen können darauf vertrauen, dass die Übermittlung in den USA damit auch grundsätzlich zulässig sein kann.

II. Weitere Anforderungen

Um allerdings die Produkte von Microsoft Inc. nutzen zu können, müssen Sie weitere Anforderungen erfüllen. Hierzu zählt vor allem die Prüfung der Rechtsgrundlage gem. Art. 6 f. DS-GVO, die Informationspflichten gem. Art. 12 ff. DS-GVO, den Abschluss eines Auftragsdatenverarbeitungsvertrages gem. Art. 28 Abs. 3 S. 1 DS-GVO aber auch die Vorgaben bei den Technischen- und Organisatorischen Maßnahmen und die Datenschutz-Folgeabschätzung (vgl. Art. 25, 32, 35, 44 f. DS-GVO).

Mithin sollten Sie folgende Checkliste stets berücksichtigen:

1. Liegt eine Datenschutz-Folgeabschätzung vor?

Es ist stets erforderlich insb. bei Einführung neuer Produkte mit automatisierten Datenverarbeitungen spezifischer personenbezogener Daten (risikoorientierte Betrachtung) eine Datenschutz-Folgeabschätzung durchzuführen. Dies sollten Sie auch regelmäßig erneuern um Risiken und Alternativen einschätzen zu können.

2. Wurde eine Auftragsdatenverarbeitungsvereinbarung mit Microsoft abgeschlossen?

Gem. Art. 28 f. DS-GVO ist dies zwingend erforderlich. Hiermit sichern sie sich zudem auch gewisse Rechte und Pflichten. Der Auftragsdatenvertrag von Microsoft sollte stets mit Rücksprache des Datenschutzbeauftragten abgeschlossen werden.

3. Erfüllen wir die Informationspflichten gem. Art. 12 ff. DS-GVO

Mit dem Einsatz von Microsoft Teams werden auch ohne Videotelefonie personenbezogene Daten verarbeitet. Dies sind neben der IP-Adresse auch E-Mailadressen und weitere Daten in vorhandenen Eingabemasken. Diese sind für alle Mitglieder der jeweiligen Gruppe (Kanäle) einsehbar. Demnach ist hierrüber auch zu informieren, da die Daten zudem auch von Microsoft Inc. in den USA verarbeitet werden.

4. Wurde eine sorgfältige Auswahl der Produkte durchgeführt?

Für Unternehmen bzw. juristische Personen ist es erforderlich eine sorgfältige Auswahl der Produkte durchzuführen. Neben den Anforderungen an die Produkte selbst ist es sinnvoll einen Blick in die entsprechenden Sicherheitsmaßnahmen zu werfen. Microsoft bietet hier Mindestsicherheiten wie die Enterprise Mobility + Security (kurz: EMS) an, welche ebenfalls bei der Auswahl der Produkte berücksichtigt werden sollte. Dies gilt allerdings nur für gewisse Microsoft 356 Pakete.

5. Haben wir Vorkehrungen zu den Besonderheiten in Bezug auf Microsoft Teams beachtet?

a) Beitritt nur mit Einladung (Zugriffskontrolle)?

Wenn Sie Konferenzen und Kanäle mit Teams einrichten, erfolgt dies über entsprechende E-Mailadressen. Alle Mitglieder der Konferenz bzw. des Kanals können einsehen, wer in der Gruppe ist. Mitglieder sollten demnach nur mit direkter Einladung zur Gruppe hinzugefügt werden. So können Sie gewährleisten, dass ausschließlich berechtigte Personen auf die Daten zugreifen können.

b) Können wir den Datenaustausch und Aufzeichnungen überblicken und kontrollieren (Eingabekontrollen)?

Der Austausch von Daten und die Möglichkeit der Aufzeichnungen sollte durch Rollenverteilungen erfolgen und ggf. durch einen Moderator überblickt werden.

c) Erfolgt unsere Übertragung verschlüsselt (Zugriffs- und Übermittlungskontrolle)?

Obligatorisch ist die Nutzung der Verschlüsselung. Dies ist auch bei der Nutzung von Teams unerlässlich, weshalb hier die Kommunikation und Nutzung stets unter den gängigen Verschlüsselungstechniken erfolgen sollte. Zudem sind die Videokonferenzen selbst verschlüsselt durchzuführen.

d) Haben wir Maßnahmen zur Löschung und Archivierung getroffen?

Die Kanäle bzw. Kommunikation bleiben auch mit Beendigung der Konferenz bestehen, sodass zeitnah nach Beendigung der Gespräche bzw. Mitarbeit die Daten vollständig zu löschen sind. Hierzu sollte spätestens nach sieben Tagen eine Löschung aller Kanäle erfolgen, soweit der Zweck erfüllt ist. Es empfiehlt sich zudem einen verantwortlichen zu benennen welche diese Aufgaben auch durchführt und überblickt.

e) Erfüllen wir unsere Informationspflichten gegenüber den Mitgliedern und Dritten?

Gem. Art. 12 f. DS-GVO haben Sie alle Betroffenen über die Nutzung zu informieren. Dies kann und sollte in der Datenschutzerklärung oder gesondert vor jeder Nutzung bestätigt werden. In der Datenschutzerklärung empfiehlt es sich, hier eine Klausel aufzunehmen.

f) Liegen uns informierte Einwilligungen vor?

Mitschnitte und Bild,- Ton oder Videoaufzeichnungen von Personen sind nur mit ausdrücklicher informierter Einwilligung zulässig.

III. Ein Exkurs zur Nutzung von Skype.

Skype ist ein Dienst zur Videotelefonie, welcher von der Microsoft Inc. betrieben wird. Für juristische Personen ist die kostenlose Nutzung von Skype ausgeschlossen.

Microsoft Inc. bietet hier keinen ausreichenden Schutz der personenbezogenen Daten an, sodass hier keine Möglichkeit besteht Skype beruflich zu nutzen. Hieran ändert sich auch nichts, dass Microsoft Inc. im Privacy Shield registriert ist oder das Skype von Skype Communications SARL in Luxemburg in der EU betrieben wird.  Soweit Skype zum Einsatz kommen soll ist hier auf Skype for Business zurückzugreifen, welche über die MS 356 Pakete bezogen werden kann. Da gerade hier die Sicherheitsmaßnahmen auch von Microsoft Inc. bereitgestellt werden und Sie damit selbst die Mindestanforderungen der DS-GVO erfüllen, ist dies aktuell nur hierrüber aus datenschutzrechtlicher Sicht zu empfehlen.

IV. Fazit:

Soweit Sie die oben genannten Empfehlungen hier berücksichtigen dürfte der Einsatz von Microsoft Teams zum aktuellen Zeitpunkt mit Stand 18.05.2020 auch bei Ihnen datenschutzkonform erfolgen. Es bleibt jedoch stets ein Restrisiko, da niemand vorhersehen kann, welche aufsichtsrechtlichen Entscheidungen in Zukunft getroffen werden. Mithin ist eine regelmäßige Überprüfung des Einsatzes erforderlich.

Bei der konkreten Prüfung der datenschutzkonformen Nutzung von Microsoft Teams in Ihrem Unternehmen sind wir als Ihr Datenschutzbeauftragter gerne jederzeit für Sie da.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in