Erfahre hier, wie Du nach der DSGVO Microsoft Teams ohne Abmahnung, Bußgeld oder Schadensersatz verwenden kannst
von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht.
Inhalt
- Kann ich MS Teams Datenschutz konform verwenden?
- Kann ich Microsoft Teams Datenschutz konform nutzen, obwohl es ein US-amerikanischer Anbieter ist?
- Brauche ich einen Auftragsverarbeitungsvertrag, um Microsoft Teams Datenschutz konform zu verwenden?
- Muss MS Teams nach der DSGVO in meiner Datenschutzerklärung angegeben werden?
- Muss ich Videokonferenzen mit MS Teams Datenschutz konform verschlüsseln?
- Muss ich weitere Einstellungen für Micorsoft Teams Datenschutz vornehmen?
- Ergebnis zu Microsoft Teams und Datenschutz
1. Kann ich MS Teams Datenschutz konform verwenden?
Gestartet hat Microsoft Videokonferenzen vor allem mit der Akquisition von Skype. Das normale Skype bietet jedoch keinen hinreichenden Datenschutz für Deine Videokonferenzen (siehe in diesem Beitrag zu Frage 1). Mit Skype for Business ist das zwar möglich, aber dieser Dienst wird kurzfristig bei Microsoft ohnehin abgelöst durch Microsoft Teams, das es vor allem für alle Nutzer von Microsoft 365 (als Nachfolger von MS Office 365) angeboten wird.
Zwar ist vor kurzem eine aktuelle Einschätzung der Berliner Datenschutzbehörde zu US-Diensten für Videokonferenzen abgegeben worden. Danach sollen Skype und Microsoft Teams doch nicht zulässig zu verwenden sein. Rechtlich ist diese Auffassung aber kaum begründet. Die Berliner Datenschutzbehörde weist nur allgemein darauf hin, dass es dem Nutzer schwerer fallen können, gegenüber US-Anbietern seine Rechte durchzusetzen. Wenn das als Begründung ausreichen würde, wäre privacy shield jedoch vollständig entbehrlich. In dieser Allgemeinheit ist die Stellungnahme aus Berlin daher nicht richtig. Update 20.5.2020: Das kann inzwischen wohl als von der Behörde selbst bestätigt angesehen werden, die Einschätzung ist inzwischen gelöscht. Doch selbst das ist bereits wieder überholt, die Datenschutzbehörde hat inzwischen die Kritik an MS Teams deutlich konkreter gefasst. Danach ist die Zulässigkeit jedenfalls nicht gesichert. Und es geht weiter Schlag auf Schlag, die Berliner Datenschutzbehörde hat jetzt eine Hilfestellung für Videokonferenztools veröffentlicht, die leider wenig hilfreich ist, weil alle Auftragsverarbeitungsverträge der Anbieter danach formal bemängelt werden. Hier bleibt zu hoffen, dass die Anbieter nachbessern.
Insgesamt bleiben damit auch bei Microsoft Teams einige Fragen zum Datenschutz offen. Eindeutig ist die Zulässigkeit derzeit nicht geklärt, es gibt einige Fragen, die noch offen sind. Es wird sich zeigen, ob Microsoft hier – wie Konkurrent Zoom – auf Kritik reagiert und ggf. seinen Datenschutz noch verbessert.
2. Kann ich Microsoft Teams Datenschutz konform nutzen, obwohl es ein US-amerikanischer Anbieter ist?
Wenn Du Microsoft Teams verwendest, werden immer auch Daten Deiner Kunden oder Mitarbeiter an Microsoft übertragen. Daten aus der EU heraus zu exportieren, ist nach der DSGVO aber nur erlaubt, wenn die Daten innerhalb der EU verbleiben oder von der EU für das Empfängerland ein gleichwertiger Datenschutz festgestellt wurde. Letzteres betrifft etwa die Schweiz, Kanada oder Neuseeland. Die USA gehören nicht ohne weiteres dazu. Hier war vielmehr erforderlich, dass der Anbieter bei privacy shield registriert ist. Seit dem Privacy Shield jedoch vom EuGH für unwirksam erklärt wurde, ist das keine taugliche Rechtsgrundlage mehr.
Wie viele andere US-Anbieter hat auch Microsoft die europäische Tochter in Irland zum Datenverarbeiter erhoben, so dass streng juristisch gesehen kein Datenexport aus der EU heraus mehr stattfindet. Dennoch werden von Microsoft auch Daten an die eigene Muttergesellschaft weiter gegeben. Dies erfolgt jedoch nach dem Microsoft Online Services Data Processing Agreement auf der Basis der Standardvertragsklauseln der EU. Diese sind nach dem EuGH weiterhin eine taugliche Grundlage für einen Datenexport auch in die USA. Insofern kannst Du Microsoft Teams auch nach dem EuGH Urteil zur Unwirksamkeit von privacy shield weiterhin nutzen.
Wahrscheinlich werden zwar auch die Standardvertragsklauseln demnächst angegriffen werden und sind dann womöglich auch nicht mehr nutzbar. Microsoft bietet für Microsoft 365 und damit auch für MS Teams offenbar auch eine neue Zwei Schlüssel Lösung an. Danach werden die Daten mit zwei Schlüsseln verschlüsselt. Einen hat Microsoft, einen hast Du als Kunde. Nur mit beiden Schlüsseln können die Daten gelesen werden. Das wäre dann tatsächlich eine nachhaltige Lösung. Wenn es hier keine Backdoor gibt, wäre ein Zugriff der Daten von Microsoft an US-Behörden nicht mehr möglich.
Gibt es jemanden, der diese Funktion bereits nutzen kann? So könntest Du Microsoft 365 und insbesondere auch Microsoft Teams in jedem Fall datenschutzkonform nutzen.
Achtung neue Rechtlslage: Seit der Executive Order des US Präsidenten vom 7.10.2002 sind US-Dienste wieder deutlich eher zulässig, näher dazu in unserem Blogpost hier.
3. Brauche ich einen Auftragsverarbeitungsvertrag, um Microsoft Teams Datenschutz konform zu verwenden?
Gibst Du Daten Deiner Kunden an Dritte weiter, erhöhst Du damit die datenschutzrechtlichen Risiken. Deshalb erlaubt die DSGVO eine Übertragung von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen.
Eine arbeitsteilige Wirtschaft wäre ohne den Einsatz von Subunternehmern und Dienstleister jedoch kaum möglich. Die DSGVO erlaubt Dir deshalb die Weitergabe an Dritte, die Daten Deiner Kunden in Deinem Auftrag und in Deinem Interesse verarbeiten. Du musst aber sicherstellen, dass der Dienstleister genau Deinen Anweisungen folgt, wenn es um den Umgang mit den Daten Deiner Kunden geht. Dies erfolgt, indem Du mit dem Dienstleister einen Auftragsverarbeitungsvertrag abschließt. Darin müssen dann Regelungen enthalten sein, wonach der Dienstleister Deinen Anweisungen bei der Verarbeitung der Daten folgt. Dadurch wird der Subunternehmer, Dienstleister oder Drittanbieter praktisch ein verlängerter Arm von Dir (auch wenn es überraschend klingen mag, auch Microsoft wird damit Dein ausführendes Organ, soweit es um die Daten Deiner Kunden geht). Microsoft ist danach verpflichtet, auf Deine Anweisung bestimmte Daten zu berichtigen, zu löschen oder in sonstiger Form zu verarbeiten.
Erforderlich ist also, dass Du mit Microsoft einen Auftragsverarbeitungsvertrag abschließt. Den Auftragsverarbeitungsvertrag für MS Teams Datenschutz kannst Du Dir hier runterladen. Du musst ihn gegenüber Microsoft bestätigen, näheres wirst Du bei der Buchung von Microsoft Teams mitgeteilt bekommen.
4. Muss MS Teams nach der DSGVO in meiner Datenschutzerklärung angegeben werden?
Für jede Verwendung von Microsoft Teams brauchst Du eine Datenschutzerklärung. Bei jeder Videokonferenz – erst Recht mit einem externen Anbieter wie Microsoft – werden Daten Deiner Kunden, Mitarbeiter oder der sonstigen Gesprächsteilnehmer erfasst. Wie bei jeder Datenbewegung im Internet wird mindestens die IP-Adresse des Nutzers übermittelt. Aber grade bei einer Videokonferenz werden noch viel mehr personenbezogene Daten übertragen. Das beginnt mit der bei der Registrierung regelmäßig erforderlichen E-Mail-Adresse und geht bis zu dem gefilmtem Gesicht der Teilnehmer sowie die jeweiligen Gesprächsinhalte.
Das einfachste ist auf jeden Fall, Du fügst MS Teams Datenschutz konform in Deiner Datenschutzerklärung auf, dann kannst Du zum Start und bei der Verwendung jeweils darauf verweisen. Zwingend ist das, Du auf Deiner Website anbietest, Microsoft Teams Videokonferenzen direkt zu buchen oder zu starten. Dann musst Du zwingend auf Deiner Website auf die Weiterleitung der Daten an Microsoft mit einer geeigneten Datenschutzerklärung hinweisen.
Für Microsoft Teams findest Du in dem Datenschutz-Generator von easyRechtssicher.
Zum Komplett-SchutzDie passende Datenschutzerklärung. Damit kannst Du MS Teams Datenschutz konform mit einem kleinen Schalter in Deine Datenschutzerklärung aufnehmen. Wir halten dann Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.
5. Muss ich Videokonferenzen mit MS Teams Datenschutz konform verschlüsseln?
Jede Website, auf der Nutzer personenbezogene Daten eingibt, ist nach Art. 5 Abs. 1 lit. f DSGVO zu verschlüsseln. Von daher solltest Du ohnehin Deine Website verschlüsseln (https://). Verschlüsselung ist damit auch für Videokonferenzen obligatorisch, da hier regelmäßig umfangreich Daten erhoben und verarbeitet werden. Das gilt auch für Deine MS Teams Sitzungen. Stelle also immer eine verschlüsselte Übertragung ein. Diese schützt Dich schließlich auch Deine eigenen Daten.
6. Muss ich weitere Einstellungen für Micorsoft Teams Datenschutz vornehmen?
Die DSGVO regelt selbstverständlich auch die Abhaltung der Videokonferenz selbst. Du musst MS Teams daher soweit als möglich so einstellen, dass Du Microsoft Teams nur Datenschutz konform nutzt. Microsoft hat unlängst grade aufgrund der aktuellen Corona Situation noch einige Einstell-Möglichkeiten geschaffen und Hinweise zu den möglichen Einstellungen von MS Teams Datenschutz veröffentlicht.
Das betrifft vor allem Einstellungen, die ein:
- Tracking des Nutzers bei der Teamsitzung (z.B. Klicks an bestimmten Stellen),
- eine Beobachtung des Nutzerverhaltens bei der Videokonferenz (z.B. Aktivität bei der Teilnahme) oder
- eine Aufzeichnung (z.B. durch Aufnahme oder Screen-Sharing)
ermögliche. Solche Einstellungen solltest Du nur verwenden, wenn sie wirklich notwendig sind. Das entschiedet sich in einem vierstufigen Prüfschema wie folgt. Die Einstellung muss
- einem erlaubten Zweck dienen (z.B. nicht einfach Überwachung)
- geeignet sein, diesen Zweck zu erfüllen
- erforderlich sein, diesen Zweck zu erfüllen (es gibt kein milderes Mittel für den Datenschutz)
- und es sind soweit möglich, Schutzmaßnahmen zu ergreifen.
Geht es etwa um eine MS Teams Sitzung, deren genauer Inhalt hinterher noch relevant ist, kann eine Aufzeichnung erforderlich sein. Es darf aber kein milderes Mittel geben. Sind etwa nur wenige Punkte noch weiter erforderlich, wärst Du verpflichtet, diese etwa zu notieren, statt gleich die ganze Sitzung aufzuzeichnen.
Auch musst Du bei der Datenschutz konformen Verwendung von Microsoft Teams den Grundsatz der Datensparsamkeit beachten, dass möglichst wenig Daten anfallen und diese möglichst kurzfristig gelöscht werden. Das betrifft die Aufzeichnung selbst, aber auch den davon getrennten Chatverlauf, die Anmeldedaten und weiteres mehr. Hier findest Du weitergehende Einstellungen, die Du möglichst vornehmen solltest.
Hilfe bei der datenschutzkonformen Anpassung für MS Teams findest Du bei unserem Partner https://www.solutions2share.com.
7. Ergebnis zu Microsoft Teams und Datenschutz
Videokonferenzen sind auf jeden Fall ein tolles Werkzeug für Dein Leistungen. Seit der Corona Krise sind derartige Tools wichtiger denn je. Aber es lässt sich bereits jetzt prognostizieren, dass Videokonferenzen auch nach der Krise unverändert bedeutsamer sein werden.
Beachtest Du die rechtlichen Vorgaben und nutzt die passenden Muster für Deine Datenschutzerklärung, kannst Du Microsoft Teams Datenschutz konform ohne Angst vor einer Abmahnung oder einem Bußgeld verwenden. Dafür wünschen wir viel Erfolg.
Welche Vorkehrungen Du allgemein für Videokonferenzen treffen solltest, findest Du in unserem umfassenden Guide hierzu.
Mehr Informationen zur DSGVO findest Du hier.
Für Microsoft Teams findest Du in dem Datenschutz-Generator von easyRechtssicher.
Zum Komplett-Schutzdas passende Muster, mit dem Du Microsoft Teams Datenschutz konform auf Knopfdruck in Deine Datenschutzerklärung aufnehmen kannst. Und das Beste ist: wir halten dann Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Wie Du mit Microsoft Teams Datenschutz konform Videokonferenzen abhalten kannst
Ist der Artikel noch aktuell?
Wie sieht es mit der Nutzung derzeit (08/2020) nach kippen von Privacy Shield aus?
Dürfen Schulen Teams nutzen?
Hallo John, Microsoft hat dazu ein cooles neues Feature raus gebracht, den 2 Faktor Schlüssel, damit könnte es auf jeden Fall gehen. Das ist viel besser als Standardvertragsklauseln. Ich werde den Artikel nach meinem Urlaub dahingehend ergänzen.
„Erforderlich ist also, dass Du mit Microsoft einen Auftragsverarbeitungsvertrag abschließt. Den Auftragsverarbeitungsvertrag für MS Teams Datenschutz kannst Du Dir hier runterladen. Du musst ihn gegenüber Microsoft bestätigen, näheres wirst Du bei der Buchung von Microsoft Teams mitgeteilt bekommen.“
Ich kann leider nichts finden bei Microsoft. Auch das Dokument bietet keine Möglichkeit dies zu unterzeichnen noch steht nirgendwo, wohin ich ein Unterzeichnetes Exemplar schicken muss.
Online akzeptieren reicht, aber ich weiß nicht, wo MS das anbietet, kann sein, dass das mit Vertragsschluss über die AGB automatisch erfolgt…
Guten Tag Herr Kandelhard
Ist diese Anleitung nach dem 16.7.2020 und EuGH C311/18 nicht vollständig obsolet?
Der EuGH hat doch festgestellt, dass das Privacy Shield nichtig ist und die SVK/SCC und BCR, auf die sich Microsoft als aktuelle Legitimation geruft, nicht greifen können da die US-Gesetze (FISA 702 und CLOUD ACT) den Datenschutzversprechen der Anbieter vorgelagert sind. Damit sind Teams, Office 365, facebook, Zoom Webex und wie sie heissen formal illegal…
Oder wie sehen Sie das?
Ja und nein, der Beitrag ist grade aktualisiert. Microsoft nutzt jetzt die Stqndardvertragsklauseln und das ist erst mal (noch) formal korrekt. Dass das nicht nachhaltig ist, darüber sind wir uns aber einig.
Hallo Herr Dr. Kandelhard.
Nach Randnummer 134 ff. des C311/18 und der DSK (https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf), dort Abs. 2, Nr. 2 Satz 2 muss sich ein Exporteur (also der Teams-Sitzung Veranstalter) VOR jeder Sitzung vergewissern und dokumetieren, dass ggfl. mit dem Importeuer (hier MS) das Datenschutzniveau der anfallenden Daten mindestens genauso hoch ist wie in der EU.
Das ist allerdings aufgrund der vorgenannten Gerichtsurteile und Dekrete unmöglich. Selbst wenn Microsoft dies weiterhin behauptet. MS und dessen Subunternehmen müssen Daten an die Behörden herausgeben, was MS auch dokumentiert. Damit ist die Vorgabe der DSGVO nicht einhaltbar und die Nutzung unzulässig.
Trotzdem schreiben Sie weiterhin: „Dies erfolgt jedoch nach dem Microsoft Online Services Data Processing Agreement auf der Basis der Standardvertragsklauseln der EU. Diese sind nach dem EuGH weiterhin eine taugliche Grundlage für einen Datenexport auch in die USA. Insofern kannst Du Microsoft Teams auch nach dem EuGH Urteil zur Unwirksamkeit von privacy shield weiterhin nutzen. “
Nach Randnummer 134 ff des EuGH Urteils ist das nicht die ganze Wahrheit und führt den Leser meiner Meinung nach in falsche Sicherheit.
MfG
Die Meinung der Datenschutzkonferenz ist zwar nicht zwingend, aber es ist richtig, das der gesamte Datenverkehr mit den USA in dieser Weise auf der Kippe steht. Fraglich ist aber, ob der Einzelne die Prüfungen wirklich machen muss. Von daher meine ich, dass es noch vertretbar ist, mit den USA überhaupt Daten auszutauschen – bisher zieht keine die Konsequenz, alles für unwirksam zu halten.
Näher habe ich die bestehenden Zweifel in dem allgemeinen Beitrag zu privacy shield dargestellt. Ganz klar bleibt daher die Empfehlung: Am besten EU Anbieter bzw. aus gleichwertigen Drittstaaten wählen.
Also es fehlt ein wichtiger Punkt und der hilft auch bei Standardvertragsklauseln nciht und das sind die Antiterrorgesetze der USA, die Microsoft verpflichten würden im zweifel Straftaten in Europa zu begehn und sich aktiv daten zu verschaffen.
Ja, das ist immer letztlich der Grund, warum es diese Rechtslage gibt – in ein paar Jahren wird das alles dezentral auf der Blockchain laufen, dann gibt es das Problem jedenfalls nicht mehr… few…
„Nach der Einschätzung des hessischen Datenschutzbeauftragten ist MS Teams aber DSGVO-konform nutzbar…“:
Das so darzustellen ist grob irreführend:
Der hessische Datenschutzbeauftragte bezieht sich explizit auf die Sonderlösung „Deutschland-Cloud von der Telekom“, die die Datentreuhänderschaft komplett außerhalb Microsofts Reichweite hielt.
Da die „Deutschland-Cloud“ eingestellt wurde, und nun Microsoft den vollen Zugriff auf die Daten hat, ist die hessische Entscheidung als nicht mehr mit der Realität vereinbar anzusehen.
Danke für den Hinweis auf die Einstellung, Text ist angepasst.
Sehr geehter Herr Kandelhard
Sicherlich sind Datenübermittlungen in die USA rechtens, wenn ich zum Beispiel ein Hotelzimmer buche, einen Mietwagen bestelle etc. Also alles, das ich selbst als Idividuum beginne und durchführe. Dies sagt auch C311/18. Nichts geht mehr, wenn ein US-Telekommunikationsunternehmen wie Zoom, Microsoft, Webex mit der Druchführung eines Seminars oder einer Datenverarbeitung betraut wird. Dann gilt:
Privacy Shied : Ungültig
SVK/SCC sowie BCR: Derzeit unmöglich, da die Bedingung „gleichwertiges Datenschutzlevel wie in der EU“ solange der CloudAct gilt nicht eingehalten werden kann. Im November wird es dazu von der DSK eine ausführliche Einschätzung und Richtlinien geben, die dann auch verbindlich in der Behandlung entsprechender Beschwerden und Anzeigen sein werden.
Damit ist der Beitrag, den wir hier Kommentieren wie auch der zu Zoom und anderen angeblich DSGVO-konform einsetzbaren Tools nichtig.
Wie sehen die Standardvertragsklauseln in Bezug auf CLOUD Act, FISA Act, PATRIOT Act u.ä. aus.
Hier kann ja MS auch mit Tochter Europa vor einem Geheimgericht verpflichtet werden Daten herauszugeben, dieses obliegt keiner Kontrolle.
Eine Auskunft an den Betroffenen ergeht nicht.
Folgt man da der Bundestagsdrucksache:
https://www.bundestag.de/resource/blob/662608/67dbc571f4d96be9adddcac99f016eb6/WD-3-205-19-pdf-data.pdf
Ist eine Nutzung defacto unmöglich.
Deswegen sage ich immer wieder hier im Blog, nur nicht US Anbieter wählen ist nachhaltig. Standardvertragsklauseln sind formal noch zulässig, aber auch ich gehe davon aus, dass die fallen werden – ich verstehe aber jeden Nutzer eines guten US Dienstes, dass er das noch übergangsweise nutzt und hofft, dass noch eine Lösung gefunden wird. Das schlimme ist halt, dass der Streit auf den Kosten der kleinen Unternehmen ausgetragen wird – aber die haben es ja grade eh leicht 😮
Ich habe gerade die Stellungnahme des niedersächsischen Datenschutzbeauftragten bekommen. Microsoft Teams ist nicht möglich einzusetzen. Ausnahme wäre je Einzelfall eine Einwilligung jedes Teilnehmers vorab und mit Hinweis auf die möglichen Konsequenzen.
Sehr geehrter Herr Kandelhard,
Blockchain schön und gut, aber haben Sie schon davon gehört, was die intensive Nutzung von Blockchain-Technologie für den Klimaschutz bedeutet? Offensichtlich ist dies eine Sackgasse. Ansonsten kann ich mich den Mit-Kommentierenden nur anschließen: Ich finde es fahrlässig, dass Sie die Nutzung von MS-Diensten als einigermaßen zuverlässig empfehlen und erst in den Antworten auf die Kommentare darauf hinweisen, dass man nur mit ausschließlich in der EU ansässigen Firmen wirklich so sicher sein kann, wie dies nun einmal im Internet möglich ist. Denken Sie dabei z.B. auch an die besonders schützenswerten Daten von Schüler:innen und z.B. in Gesundheitsbehörden verarbeiteten Daten? Das ist grundverschieden von der Nutzung der Dienste durch Unternehmen!
Mit freundlichen Grüßen
Blockchain ist keine Sackgasse, sondern ganz sicher die Zukunft und auch nicht denknotwendig klimaschädlicher als die Nutzung von Computern überhaupt. Noch dominiert proof of work, aber am meisten genutzte Blockchain wechselt kurzfristig auf proof of work.
Der Hinweis ist im Text längst nachgepflegt, zu 2.