Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

7 Antworten auf „Microsoft Teams – Einwilligung“

  1. Danke schonmal für die Vorlage zur Einwilligung! Sie ist auch sehr nützlich um das Verarbeitungsverzeichnis zu erstellen.
    Mir ist noch aufgefallen, dass anders als in dem Dokument beschrieben Daten in den USA gespeichert werden:

    MFA und B2B dürfen nicht verwendet werden: https://msit.powerbi.com/view?r=eyJrIjoiYzEyZTc5OTgtNTdlZS00ZTVkLWExN2ItOTM0OWU4NjljOGVjIiwidCI6IjcyZjk4OGJmLTg2ZjEtNDFhZi05MWFiLTJkN2NkMDExZGI0NyIsImMiOjV9

    https://docs.microsoft.com/de-de/office365/enterprise/o365-data-locations?geo=Europe#Europe Wo Daten gespeichert werden

    Außerdem habe ich gehört, dass Benutzerdaten wie Name und Domäne auch in den USA gespeichert werden, um Dienste anzubinden. Wisst ihr mehr darüber?

    1. Zunächst einmal zur letzten Frage. Dass „Benutzerdaten wie Name und Domäne“ auch in den USA gespeichert werden, ist mir nicht bekannt. Wenn dem so sein sollte, sollte man es herausfinden können, da Microsoft hier sehr transparent ist.

      Wie Sie beschreiben, erfordert die Nutzung von MFA, egal ob SMS, Microsoft Authenticator App oder OATH Codes, und B2B die Dienste von US Servern. Damit werden tatsächlich auch personenbezogene oder -beziehbare Daten in die USA übermittelt. Vor dem Hintergrund, dass der EU-US Privacy Shield als Rechtsgrundlage für eine solche Übermittlung entfällt, bleibt nur noch eine umfassende Information der Betroffenen über mögliche Risiken, welche sich aus einer solchen Übermittlung ergeben können und eine Einwilligung auf der Grundlage von Art. 49 Abs. 1 lit. a DS-GVO.

      Microsoft sagt Kunden zu, dass die Daten zu Teams in Deutschland gespeichert werden. Durch die Ausnahmesituation durch Covid19 kam es zu Serverüberlastungen im Zusammenhang mit der verstärkten Nutzung durch Home-Office und Distanzunterricht. Deshalb hat Microsoft sich das Recht genommen, Daten von EU Nutzern bei Bedarf auch in der EU oder sogar in den USA zu speichern und Dienste von dort aus zur Verfügung zu stellen. Einen entsprechenden Hinweis gibt es unter Informationen dazu, wo Ihre Microsoft 365-Kundendaten gespeichert werden:

      Aufgrund der beispiellosen Umstände rund um die COVID-19-Krise und der Notwendigkeit, die Nachfrage nach Onlinediensten in Europa zu verwalten, können wir, wenn Ihre Organisation eine Bildungseinrichtung ist, Ihren Microsoft 365-Mandanten in der Europäischen Union (EU), der Europäischen Freihandelsassoziation (EFTA), in Vereinigtes Königreich (UK), in den Vereinigten Staaten (USA) oder Kanada (CA) bereitstellen oder Ihre Daten an ein beliebiges Rechenzentren in EU, EFTA, UK, USA oder Kanada übertragen.  Dies bedeutet, dass Ihre ruhenden Daten in der EU, in der EFTA, im Vereinigten Königreich, in den USA oder in Kanada gespeichert werden können.  Unser Engagement für Compliance, Datenschutz und Sicherheit bleibt unverändert, während wir notwendige und umsichtige Maßnahmen zur Aufrechterhaltung der Dienstverfügbarkeit implementieren. Wir werden alle anwendbaren Gesetzen hinsichtlich des Datentransfers einhalten.

      Von Kontakten bei Microsoft habe ich gehört, dass diese Regelung nur für Neukunden gilt und bisher auch noch kein Gebrauch davon gemacht werden musste und alle Daten von EU Kunden innerhalb der EU geblieben sind. Das war im Mai 2020 und die Lage hat sich seither entspannt.

      Ergänzend ist auch noch zu sagen, dass mit Stand von Mai die Möglichkeiten zur Steuerung der Übermittlung von Telemetriedaten in Teams noch nicht auf dem Stand war wie in anderen Microsoft 365 Anwendungen. Ob man da jetzt weiter ist, müsste ich erst recherchieren.

      Die Einwilligung und die zugehörigen Informationen zur Datenverarbeitung müssen in nächster Zeit auf jeden Fall ergänzt werden, um die Veränderungen durch das Ende des EU-US Privacy Shield zu berücksichtigen. Es bleibt ohnein abzuwarten, wie die deutschen Aufsichtsbehörden sich verhalten werden. Aktuell (Ende Juli 2020) sind sie noch dabei sich zu koordinieren.

      1. Vielen Dank!
        Dann sollte ich auf MFA und B2B was ja Gastbenutzerzugriff bedeutet, verzichten?

        Gut, dass die ruhenden Daten derzeit in der EU geblieben sind.

  2. Hallo.
    Aus heutiger Sicht stimmt die von Ihnen in den Erklärungen dargelegte Auslegung nicht mehr.
    Weder SCC/SVK oder BCR sind noch legale Grundlagen für einen Datentransfer über US-amerikanische Telekommunikationsanbieter. Diese fallen alle unter Cloud-Act, FISA 702 und andere gesetzliche Regelungen und damit ist in keinem Falle eine Sicherheit für Daten von Nicht-US Bürgern gegeben.
    Nicht einmal eine Einwilligung nach §49 Abs 1 Lit. a DSGVO kommt in Frage, da die Daten von Kindern gemäß §8 DSGVO bzw. Erwägungsgrund 38 als besonders sensibel eingestuft sind. Regelmäßig ist davon auszugehen, dass weder Kinder noch Eltern die Reichweite und Konsequenzen dieser Einwilligung anhand der (von Ihnen sehr Microsoft-freundlich dargestellten ) Erläuterungen in den Einwilligungen abschätzen können. MfG
    Noch ein Hinweis: Sie verwenden auf Ihrer Website (aktuell hier in NoScript zu sehen) gstatic, also Google Dienste. Dies ist seit 16.7.2020 nicht mehr erlaubt und stellt einen Rechtsverstoß dar.
    Dies als Quintessenz aus meinem Konsultationen mit den LDB´s aus MV, Berlin und der DSK sowie NOYB.

    1. Danke für die Hinweise. Ich werde mich damit auseinandersetzen.

      Die Google Fonts hatte ich bei der Erstellung der Website über ein Plugin deaktiviert und stattdessen die Fonts auf den Server geladen. Beim Überprüfen habe ich dann dank Ihres Hinweises festgestellt, dass doch wieder Google Fonts von den Google Servern geladen wurden. Mit einem weiteren Plugin wird dieses jetzt auch abgestellt.

Schreibe einen Kommentar zu mr_tee Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.