Aufgrund der Corona-Pandemie setzen viele Unternehmen verstärkt auf Videokonferenzen.
Immer wieder taucht in diesem Zusammenhang die Frage auf, ob Microft Teams als Plattform für Videokonferenzen im Einklang mit der DSGVO genutzt werden kann oder ob aus datenschutzrechtlichen Gründen vom Einsatz von Microsoft Teams abgesehen werden sollte.
Dies gilt im Grunde nicht für Microsoft Teams, sondern für alle Office 365-Produkte, denn auch bei diesen laufen Daten über die Microsoft Cloud. Nachfolgend soll es aber im Speziellen um Microsoft Teams und Datenschutz gehen.
Die Meinungslage zum Einsatz von Microsoft Teams bzw. Office 365-Produkte ist sehr unübersichtlich. Es finden sich vielfältige Stellungnahmen aus den verschiedensten Quellen, die sich oftmals grundlegend widersprechen.
Die gelebte Realität in DAX-Unternehmen
Bereits 2014 – in dieser Zeit waren nicht nur die Aufsichtsbehörden, sondern auch viele Unternehmen selbst noch skeptisch, ob ihre Daten in einer Cloud-Lösung gut aufgehoben sind – wurde vermeldet, dass zwei Drittel der DAX-Unternehmen auf Office 365 setzen, also Daten in der Microsoft Cloud haben, wie dies auch bei MS Teams der Fall ist: https://www.heise.de/ix/meldung/Zwei-Drittel-der-30-DAX-Unternehmen-nutzen-Microsofts-Cloud-Dienste-2234845.html.
Die Zahl der Unternehmen in Deutschland, die auf die Microsof Cloud setzen, dürfte seither noch deutlich zugenommen haben.
Unsere Einschätzung zu Microsoft Teams
Gleich vorab: Die Nutzung von Microsoft Teams ist aus unserer Sicht nicht völlig unproblematisch, das Risiko hält sich allerdings in Grenzen.
Zunächst ist Folgendes festzuhalten: Wenn man Office 365 nutzt, schließt man automatisch mit den „Bestimmungen für Onlinedienste (OST)“ einen Vertrag über Auftragsverarbeitung ab (zu finden unter https://www.microsoft.com/de-de/licensing/product-licensing/products.aspx ganz am Ende der deutschen „Bestimmungen für Onlinedienste (OST)“). Die EU-Standardklauseln werden ebenfalls automatisch vereinbart. Damit schließt man eine wirksame Auftragsverarbeitung ab und theoretisch wäre auch eine Übermittlung in die USA legitimiert, wobei Microsoft betont, dass die Daten in der EU bleiben, so dass keine Übermittlung in die USA stattfindet.
Von vielen kritisch gesehen wird vor allem die theoretische Zugriffsmöglichkeit amerikanischer Behörden aufgrund des USA PATRIOT Act. Nicht zuletzt diese theoretische Zugriffsmöglichkeit amerikanischer Behörden hat zu geänderten Vorgaben bei einer Drittlandsübermittlung in die USA geführt. Wichtig ist jedoch, dass mit MS Teams zwar auf einen amerikanischen Anbieter, jedoch auf eine Verarbeitung in Europa gesetzt wird. Der Standort der Verarbeitung ist bei einer Einschätzung im Fall Microsoft Teams und Datenschutz nicht unerheblich. Es wird daher bereits versucht, eine Drittlandsübermittlung zu vermeiden.
Die Produkte von Microsoft einschließlich Microsoft Teams zählen darüber hinaus zum absoluten Marktstandard. Relevante Alternativen – zumindest wenn man nicht nur Microsoft Teams, sondern Office365 als Gesamtpaket betrachtet – sind nur bedingt gegeben. Es lässt sich insoweit die pragmatische Überlegung anstellen, wie wahrscheinlich es ist, dass das eigene Unternehmen in den Fokus der deutschen Aufsichtsbehörden gelangt und nicht zuerst eines der vielen DAX-Unternehmen, die auf Office 365 einschließlich Microsoft Teams setzen. Es ist mehr als unwahrscheinlich, dass die deutschen Aufsichtsbehörden gegen alle deutschen MS Teams-Nutzer auf einmal und nicht nur exemplarisch zunächst gegen ein Großunternehmen vorgehen. Dies ist aber keine datenschutzrechtliche, sondern eine pragmatische Abwägung.
Microsoft hat zudem bei Kritikpunkten immer wieder nachgebessert. Auch seitens der Aufsichtsbehörden scheint der Wille zu bestehen, Microsoft zu akzeptieren, vgl. z.B. https://datenschutz.hessen.de/pressemitteilungen/zweite-stellungnahme-zum-einsatz-von-microsoft-office-365-hessischen-schulen (hier geht es um Schülerdaten – setzt man in Relation dazu, dass Sie über Microsoft Teams vermutlich nicht derart sensible Daten austauschen, dann ist diese Stellungnahme sehr hilfreich für die Bewertung).
Fazit – Microsoft Teams und Datenschutz
Aus datenschutzrechtlicher Sicht bestehen zwar Kritikpunkte, das Risiko ist aus unserer Sicht allerdings durchaus vertretbar.
Unser Eindruck ist, dass die Aufsichtsbehörden grundsätzlich den Willen haben, Microsoft zu akzeptieren. Microsoft scheint gefühlt – anders als z.B. Google oder Facebook – aus Sicht der Aufsichtsbehörden auf einem gutem Weg zu sein.
Sie möchten mehr über dieses Thema erfahren?
Gerne beraten wir Sie zu diesem Thema. Durch unsere Erfahrungen als Datenschutzbeauftragte können wir eine individuelle und schnelle Beratung bieten.
Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.