Wie Du mit Microsoft Teams Datenschutz konform Videokonferenzen abhalten kannst

Erfahre hier, wie Du nach der DSGVO Microsoft Teams ohne Abmahnung, Bußgeld oder Schadensersatz verwenden kannst

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht. 

Inhalt

  1. Kann ich MS Teams Datenschutz konform verwenden?
  2. Kann ich Microsoft Teams Datenschutz konform nutzen, obwohl es ein US-amerikanischer Anbieter ist?
  3. Brauche ich einen Auftragsverarbeitungsvertrag, um Microsoft Teams Datenschutz konform zu verwenden?
  4. Muss MS Teams nach der DSGVO in meiner Datenschutzerklärung angegeben werden?
  5. Muss ich Videokonferenzen mit MS Teams Datenschutz konform verschlüsseln?
  6. Muss ich weitere Einstellungen für Micorsoft Teams Datenschutz vornehmen?
  7. Ergebnis zu Microsoft Teams und Datenschutz

1. Kann ich MS Teams Datenschutz konform verwenden?

Gestartet hat Microsoft Videokonferenzen vor allem mit der Akquisition von Skype. Das normale Skype bietet jedoch keinen hinreichenden Datenschutz für Deine Videokonferenzen (siehe in diesem Beitrag zu Frage 1). Mit Skype for Business ist das zwar möglich, aber dieser Dienst wird kurzfristig bei Microsoft ohnehin abgelöst durch Microsoft Teams, das es vor allem für alle Nutzer von Microsoft 365 (als Nachfolger von MS Office 365) angeboten wird. 

Zwar ist vor kurzem eine aktuelle Einschätzung der Berliner Datenschutzbehörde zu US-Diensten für Videokonferenzen abgegeben worden. Danach sollen Skype und Microsoft Teams doch nicht zulässig zu verwenden sein. Rechtlich ist diese Auffassung aber kaum begründet. Die Berliner Datenschutzbehörde weist nur allgemein darauf hin, dass es dem Nutzer schwerer fallen können, gegenüber US-Anbietern seine Rechte durchzusetzen. Wenn das als Begründung ausreichen würde, wäre privacy shield jedoch vollständig entbehrlich. In dieser Allgemeinheit ist die Stellungnahme aus Berlin daher nicht richtig. Update 20.5.2020: Das kann inzwischen wohl als von der Behörde selbst bestätigt angesehen werden, die Einschätzung ist inzwischen gelöscht. Doch selbst das ist bereits wieder überholt, die Datenschutzbehörde hat inzwischen die Kritik an MS Teams deutlich konkreter gefasst.  Danach ist die Zulässigkeit jedenfalls nicht gesichert. Und es geht weiter Schlag auf Schlag, die Berliner Datenschutzbehörde hat jetzt eine Hilfestellung für Videokonferenztools veröffentlicht, die leider wenig hilfreich ist, weil alle Auftragsverarbeitungsverträge der Anbieter danach formal bemängelt werden. Hier bleibt zu hoffen, dass die Anbieter nachbessern. 

Nach der  Einschätzung des hessischen Datenschutzbeauftragten ist MS Teams aber DSGVO-konform nutzbar (hier sieht man, wie sich selbst die Datenschutzbehörden uneins sein können). Du musst aber einige Vorkehrungen treffen, die wir nachfolgend kurz erörtern.

Insgesamt bleiben aber auch bei Microsoft Teams einige Fragen zum Datenschutz offen. Eindeutig ist die Zulässigkeit derzeit nicht geklärt, es gibt einige Fragen, die noch offen sind. Es wird sich zeigen, ob Microsoft hier – wie Konkurrent Zoom – auf Kritik reagiert und ggf. seinen Datenschutz noch verbessert. 

 

2. Kann ich Microsoft Teams Datenschutz konform nutzen, obwohl es ein US-amerikanischer Anbieter ist?

Wenn Du Microsoft Teams verwendest, werden immer auch Daten Deiner Kunden oder Mitarbeiter an Microsoft übertragen. Daten aus der EU heraus zu exportieren, ist nach der DSGVO aber nur erlaubt, wenn die Daten innerhalb der EU verbleiben oder von der EU für das Empfängerland ein gleichwertiger Datenschutz festgestellt wurde. Letzteres betrifft etwa die Schweiz, Kanada oder Neuseeland. Die USA gehören nicht ohne weiteres dazu. Hier war vielmehr erforderlich, dass der Anbieter bei privacy shield registriert ist. Seit dem Privacy Shield jedoch vom EuGH für unwirksam erklärt wurde, ist das keine taugliche Rechtsgrundlage mehr. 

Wie viele andere US-Anbieter hat auch Microsoft die europäische Tochter in Irland zum Datenverarbeiter erhoben, so dass streng juristisch gesehen kein Datenexport aus der EU heraus mehr stattfindet. Dennoch werden von Microsoft auch Daten an die eigene Muttergesellschaft weiter gegeben. Dies erfolgt jedoch nach dem Microsoft Online Services Data Processing Agreement auf der Basis der Standardvertragsklauseln der EU. Diese sind nach dem EuGH weiterhin eine taugliche Grundlage für einen Datenexport auch in die USA. Insofern kannst Du Microsoft Teams auch nach dem EuGH Urteil zur Unwirksamkeit von privacy shield weiterhin nutzen. 

Wahrscheinlich werden zwar auch die Standardvertragsklauseln demnächst angegriffen werden und sind dann womöglich auch nicht mehr nutzbar. Microsoft bietet für Microsoft 365 und damit auch für MS Teams offenbar auch eine neue Zwei Schlüssel Lösung an. Danach werden die Daten mit zwei Schlüsseln verschlüsselt. Einen hat Microsoft, einen hast Du als Kunde. Nur mit beiden Schlüsseln können die Daten gelesen werden. Das wäre dann tatsächlich eine nachhaltige Lösung. Wenn es hier keine Backdoor gibt, wäre ein Zugriff der Daten von Microsoft an US-Behörden nicht mehr möglich.

Gibt es jemanden, der diese Funktion bereits nutzen kann? So könntest Du Microsoft 365 und insbesondere auch Microsoft Teams in jedem Fall datenschutzkonform nutzen.

3. Brauche ich einen Auftragsverarbeitungsvertrag, um Microsoft Teams Datenschutz konform zu verwenden?

Gibst Du Daten Deiner Kunden an Dritte weiter, erhöhst Du damit die datenschutzrechtlichen Risiken. Deshalb erlaubt die DSGVO eine Übertragung von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen.

Eine arbeitsteilige Wirtschaft wäre ohne den Einsatz von Subunternehmern und Dienstleister jedoch kaum möglich. Die DSGVO erlaubt Dir deshalb die Weitergabe an Dritte, die Daten Deiner Kunden in Deinem Auftrag und in Deinem Interesse verarbeiten. Du musst aber sicherstellen, dass der Dienstleister genau Deinen Anweisungen folgt, wenn es um den Umgang mit den Daten Deiner Kunden geht. Dies erfolgt, indem Du mit dem Dienstleister einen Auftragsverarbeitungsvertrag abschließt. Darin müssen dann Regelungen enthalten sein, wonach der Dienstleister Deinen Anweisungen bei der Verarbeitung der Daten folgt. Dadurch wird der Subunternehmer, Dienstleister oder Drittanbieter praktisch ein verlängerter Arm von Dir (auch wenn es überraschend klingen mag, auch Microsoft wird damit Dein ausführendes Organ, soweit es um die Daten Deiner Kunden geht). Microsoft ist danach verpflichtet, auf Deine Anweisung bestimmte Daten zu berichtigen, zu löschen oder in sonstiger Form zu verarbeiten.

Erforderlich ist also, dass Du mit Microsoft einen Auftragsverarbeitungsvertrag abschließt. Den Auftragsverarbeitungsvertrag für MS Teams Datenschutz kannst Du Dir hier runterladen. Du musst ihn gegenüber Microsoft bestätigen, näheres wirst Du bei der Buchung von Microsoft Teams mitgeteilt bekommen.

4. Muss MS Teams nach der DSGVO in meiner Datenschutzerklärung angegeben werden?

Für jede Verwendung von Microsoft Teams brauchst Du eine Datenschutzerklärung. Bei jeder Videokonferenz – erst Recht mit einem externen Anbieter wie Microsoft – werden Daten Deiner Kunden, Mitarbeiter oder der sonstigen Gesprächsteilnehmer erfasst. Wie bei jeder Datenbewegung im Internet wird mindestens die IP-Adresse des Nutzers übermittelt. Aber grade bei einer Videokonferenz werden noch viel mehr personenbezogene Daten übertragen. Das beginnt mit der bei der Registrierung regelmäßig erforderlichen E-Mail-Adresseund geht bis zu dem gefilmtem Gesicht der Teilnehmer sowie die jeweiligen Gesprächsinhalte. 

Das einfachste ist auf jeden Fall, Du fügst MS Teams Datenschutz konform in Deiner Datenschutzerklärung auf, dann kannst Du zum Start und bei der Verwendung jeweils darauf verweisen. Zwingend ist das, Du auf Deiner Website anbietest, Microsoft Teams Videokonferenzen direkt zu buchen oder zu starten. Dann musst Du zwingend auf Deiner Website auf die Weiterleitung der Daten an Microsoft mit einer geeigneten Datenschutzerklärung hinweisen.

 

Für Microsoft Teams findest Du in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Die passende Datenschutzerklärung. Damit kannst Du MS Teams Datenschutz konform mit einem kleinen Schalter in Deine Datenschutzerklärung aufnehmen. Wir halten dann Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.

5. Muss ich Videokonferenzen mit MS Teams Datenschutz konform verschlüsseln?

Jede Website, auf der Nutzer personenbezogene Daten eingibt, ist nach Art. 5 Abs. 1 lit. f DSGVO zu verschlüsseln. Von daher solltest Du ohnehin Deine Website verschlüsseln (https://). Verschlüsselung ist damit auch für Videokonferenzen obligatorisch, da hier regelmäßig umfangreich Daten erhoben und verarbeitet werden. Das gilt auch für Deine MS Teams Sitzungen. Stelle also immer eine verschlüsselte Übertragung ein. Diese schützt Dich schließlich auch Deine eigenen Daten.

 

6. Muss ich weitere Einstellungen für Micorsoft Teams Datenschutz vornehmen?

Die DSGVO regelt selbstverständlich auch die Abhaltung der Videokonferenz selbst. Du musst MS Teams daher soweit als möglich so einstellen,  dass Du Microsoft Teams nur Datenschutz konform nutzt. Microsoft hat unlängst grade aufgrund der aktuellen Corona Situation noch einige Einstell-Möglichkeiten geschaffen und Hinweise zu den möglichen Einstellungen von MS Teams Datenschutz veröffentlicht.

Das betrifft vor allem Einstellungen, die ein:

  • Tracking des Nutzers bei der Teamsitzung (z.B. Klicks an bestimmten Stellen),
  • eine Beobachtung des Nutzerverhaltens bei der Videokonferenz (z.B. Aktivität bei der Teilnahme) oder
  • eine Aufzeichnung (z.B. durch Aufnahme oder Screen-Sharing)

ermögliche. Solche Einstellungen solltest Du nur verwenden, wenn sie wirklich notwendig sind. Das entschiedet sich in einem vierstufigen Prüfschema wie folgt. Die Einstellung muss

  • einem erlaubten Zweck dienen (z.B. nicht einfach Überwachung)
  • geeignet sein, diesen Zweck zu erfüllen
  • erforderlich sein, diesen Zweck zu erfüllen (es gibt kein milderes Mittel für den Datenschutz)
  • und es sind soweit möglich, Schutzmaßnahmen zu ergreifen.

Geht es etwa um eine MS Teams Sitzung, deren genauer Inhalt hinterher noch relevant ist, kann eine Aufzeichnung erforderlich sein. Es darf aber kein milderes Mittel geben. Sind etwa nur wenige Punkte noch weiter erforderlich, wärst Du verpflichtet, diese etwa zu notieren, statt gleich die ganze Sitzung aufzuzeichnen.

 

Auch musst Du bei der Datenschutz konformen Verwendung von Microsoft Teams den Grundsatz der Datensparsamkeit beachten, dass möglichst wenig Daten anfallen und diese möglichst kurzfristig gelöscht werden. Das betrifft die Aufzeichnung selbst, aber auch den davon getrennten Chatverlauf, die Anmeldedaten und weiteres mehr. Hier findest Du weitergehende Einstellungen, die Du möglichst vornehmen solltest.

7. Ergebnis zu Microsoft Teams und Datenschutz

Videokonferenzen sind auf jeden Fall ein tolles Werkzeug für Dein Leistungen. Seit der Corona Krise sind derartige Tools wichtiger denn je. Aber es lässt sich bereits jetzt prognostizieren, dass Videokonferenzen auch nach der Krise unverändert bedeutsamer sein werden.

Beachtest Du die rechtlichen Vorgaben und nutzt die passenden Muster für Deine Datenschutzerklärung, kannst Du Microsoft Teams Datenschutz konform ohne Angst vor einer Abmahnung oder einem Bußgeld verwenden. Dafür wünschen wir viel Erfolg.

Welche Vorkehrungen Du allgemein für Videokonferenzen treffen solltest, findest Du in unserem umfassenden Guide hierzu

Mehr Informationen zur DSGVO findest Du hier

Für Microsoft Teams findest Du in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

das passende Muster, mit dem Du Microsoft Teams Datenschutz konform auf Knopfdruck in Deine Datenschutzerklärung aufnehmen kannst. Und das Beste ist: wir halten dann Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.

 


Rechtsanwalt Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

6 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.