Datenschutzkonformes Arbeiten mit Microsoft Teams.

Fast jedes Unternehmen setzt es ein: Microsoft Teams. Aus datenschutzrechtlichen Gesichtspunkten muss bei Arbeit mit Microsoft Teams jedoch einiges beachtet werden. Worauf geachtet werden muss, um mit Microsoft Teams datenschutzkonform zu arbeiten, erklären wir Ihnen im Blogartikel.

Darum muss Microsoft Teams datenschutzrechtlich betrachtet werden.

Nachdem Microsoft Teams neben dem Unternehmensdaten und der Unternehmensanschrift auch die E-Mail-Adresse sowie die Telefonnummer speichert, muss Microsoft Teams auch aus der datenschutzrechtlichen Perspektive betrachtet werden. Gleichzeitig speichert Microsoft auch in der Software abgelegte Dateien oder auch Chatverläufe. Bei Besprechungen über Microsoft werden zudem die IP-Adressen der Teilnehmenden erfasst. Alle diese Daten sind personenbezogene Daten. Aus diesem Grund ist es von Bedeutung, dass Unternehmen sich dessen bewusst werden und Vorkehrungen treffen, wenn diese mit Microsoft Teams arbeiten möchten.

Organisatorische Maßnahmen.

Um Microsoft Teams möglichst datenschutzkonform einsetzen zu können, müssen unter anderem einige organisatorische Maßnahmen ergriffen werden.

Nachdem Microsoft bei Teams die Nutzerdaten erfasst, aber nicht eindeutig ist, um welche Daten es sich genau handelt, ist es erforderlich, dass die Nutzenden eine Erlaubnis hierfür erteilen. Hierfür kann ein Cookie Consent Tool verwendet werden.

Gleichzeitig muss aber auch die Datenschutzerklärung angepasst werden, wenn über Microsoft Teams mit Kundinnen und Kunden kommuniziert wird. In der Datenschutzerklärung sind dann unter anderem folgende Punkte aufzunehmen:

• Angabe, welche Nutzerdaten wie lange gespeichert werden
• Rechtsgrundlage, wodurch dies möglich ist
• Möglichkeit des Widerspruchs

Neben der Änderung der Datenschutzerklärung und der Cookie-Einwilligung muss auch ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden. Hierfür ist jedoch keine gesonderte Maßnahme erforderlich, da man den Auftragsverarbeitungsvertrag automatisch bei den Microsoft Online Services Terms annimmt.

Wenn Daten von Unternehmen gespeichert werden, dürfen diese unter anderem nur für den erlaubten Zweck verwendet werden und auch nur dann, wenn diese für den Zweck zwingend erforderlich sind. Ein Beispiel: Eine Besprechung in Microsoft Teams darf nur aufgezeichnet werden, wenn die Informationen auch im Nachgang zwingend erforderlich sind. Die Aufzeichnung darf auch nur so lange gespeichert werden, bis die Inhalte nicht mehr benötigt werden.

Unternehmen, die Microsoft Teams nutzen, sind dazu angehalten neben den Standardvertragsklauseln auch eine Risikoabschätzung vorzunehmen. Darin gilt es zu überprüfen, welchen Daten in Drittländer übermittelt werden und welche Regelungen hinsichtlich des Datenschutzes dort gelten.

Technische Maßnahmen.

Neben organisatorischen Maßnahmen, die hauptsächlich im Hintergrund ablaufen, sind auch technische Maßnahmen erforderlich, um Microsoft Teams datenschutzkonform zu verwenden. Dafür müssen auch die Nutzer einige Vorkehrungen treffen.

Cloudspeicher freigeben.

In Microsoft Teams können zahlreiche Cloudspeicher freigegeben werden. Jedoch sollte hier genaustens geprüft werden, welche Cloudspeicher dies sein sollen. Bei der Wahl der Cloud-Anbieter sollte auf folgende Punkte geachtet werden:

• Auswahl eines zertifizierten Anbieters.
• Datenspeicherung in der Cloud nur nah Freigabe und mit Verschlüsselung.
• Automatisierte Überprüfung von Überwachungs- und Logdaten. (Alternative: manuelles Monitoring von Logdaten)
• Durchführung von Sicherheitschecks.

Besprechungsrichtlinien.

Wenn Sie eine Besprechung über Microsoft Teams mit externen Teilnehmenden planen, sind auch hier datenschutzrechtliche Einstellungen vorzunehmen. Davon betroffen sind unter anderem:

• Audio und Video.
• Inhaltsfreigabe.
• Teilnehmende und Gäste.
• Besprechungseinstellungen.

Im Rahmen der Audio- und Videoeinstellungen ist es aus der datenschutzrechtlichen Perspektive notwendig, dass diese grundsätzlich deaktiviert sind. Der Teilnehmende der Besprechung in Microsoft Teams kann diese jedoch selbstständig aktivieren, wenn er sich mit Mikrofon und Kamera zuschalten möchte. In den Audio- und Videoeinstellungen muss auch geregelt werden, inwieweit die Transkription zugelassen werden soll. Dabei muss der Inhalt der Besprechung beachtet werden. Des Weiteren muss eine Regelung bezüglich der Aufnahme in die Cloud getroffen werden und inwieweit die Video-IP verwendet wird.

Bei den Inhaltsfreigaben muss sich aus der datenschutzrechtlichen Perspektive überlegt werden, ob die Teilnehmenden beispielsweise ihre Bildschirme freigeben dürfen oder auch ob die Steuerung an eine weitere Person übergeben werden darf.

Für Teilnehmende und Gäste ist es erforderlich, dass für diese ein Warteraum eingerichtet wird, wenn sie nicht zur Organisation gehören. Des Weiteren muss die Vergabe der Referentenrolle und der Chat aus der datenschutzrechtlichen Betrachtungsweise überdacht werden. Der Chat ist deswegen zu betrachten, da der Name des Teilnehmenden erscheint kann, wenn eine Nachricht abgesendet wurde. Hier ist es jedoch auch möglich, die Teilnehmenden entweder zu anonymisieren oder den Chat zu deaktivieren.

In den Besprechungseinstellungen muss die Möglichkeit des Löschens von bereits versendet Nachrichten eingerichtet und die Lesebestätigungen deaktiviert werden.

Einstellungen für die Organisation.

In den organisationsweiten Einstellungen ist der Zugriff von Externen zu regeln. Dabei geht es vor allem darum, ob es den Mitarbeitenden erlaubt sein sollen, mit Personen außerhalb der eigenen Organisation zu kommunizieren. Auch der Gastzugriff muss für jedes Unternehmen individuell aus der datenschutzrechtlichen Perspektive betrachtet werden.

Fazit.

Datenschutz und Microsoft Teams – möglich, aber mit Einschränkungen und Einstellungen. Welche Einstellungen vorgenommen werden müssen, sind unternehmensindividuell und können nicht pauschal beantwortet werden.

Gerne stehen wir Ihnen für eine individuelle und vor allem kostenfreie erste Beratung zur Verfügung. Hier Termin vereinbaren.