Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

10 Antworten auf „Microsoft Teams – Einwilligung“

  1. Danke schonmal für die Vorlage zur Einwilligung! Sie ist auch sehr nützlich um das Verarbeitungsverzeichnis zu erstellen.
    Mir ist noch aufgefallen, dass anders als in dem Dokument beschrieben Daten in den USA gespeichert werden:

    MFA und B2B dürfen nicht verwendet werden: https://msit.powerbi.com/view?r=eyJrIjoiYzEyZTc5OTgtNTdlZS00ZTVkLWExN2ItOTM0OWU4NjljOGVjIiwidCI6IjcyZjk4OGJmLTg2ZjEtNDFhZi05MWFiLTJkN2NkMDExZGI0NyIsImMiOjV9

    https://docs.microsoft.com/de-de/office365/enterprise/o365-data-locations?geo=Europe#Europe Wo Daten gespeichert werden

    Außerdem habe ich gehört, dass Benutzerdaten wie Name und Domäne auch in den USA gespeichert werden, um Dienste anzubinden. Wisst ihr mehr darüber?

    1. Zunächst einmal zur letzten Frage. Dass “Benutzerdaten wie Name und Domäne” auch in den USA gespeichert werden, ist mir nicht bekannt. Wenn dem so sein sollte, sollte man es herausfinden können, da Microsoft hier sehr transparent ist.

      Wie Sie beschreiben, erfordert die Nutzung von MFA, egal ob SMS, Microsoft Authenticator App oder OATH Codes, und B2B die Dienste von US Servern. Damit werden tatsächlich auch personenbezogene oder -beziehbare Daten in die USA übermittelt. Vor dem Hintergrund, dass der EU-US Privacy Shield als Rechtsgrundlage für eine solche Übermittlung entfällt, bleibt nur noch eine umfassende Information der Betroffenen über mögliche Risiken, welche sich aus einer solchen Übermittlung ergeben können und eine Einwilligung auf der Grundlage von Art. 49 Abs. 1 lit. a DS-GVO.

      Microsoft sagt Kunden zu, dass die Daten zu Teams in Deutschland gespeichert werden. Durch die Ausnahmesituation durch Covid19 kam es zu Serverüberlastungen im Zusammenhang mit der verstärkten Nutzung durch Home-Office und Distanzunterricht. Deshalb hat Microsoft sich das Recht genommen, Daten von EU Nutzern bei Bedarf auch in der EU oder sogar in den USA zu speichern und Dienste von dort aus zur Verfügung zu stellen. Einen entsprechenden Hinweis gibt es unter Informationen dazu, wo Ihre Microsoft 365-Kundendaten gespeichert werden:

      Aufgrund der beispiellosen Umstände rund um die COVID-19-Krise und der Notwendigkeit, die Nachfrage nach Onlinediensten in Europa zu verwalten, können wir, wenn Ihre Organisation eine Bildungseinrichtung ist, Ihren Microsoft 365-Mandanten in der Europäischen Union (EU), der Europäischen Freihandelsassoziation (EFTA), in Vereinigtes Königreich (UK), in den Vereinigten Staaten (USA) oder Kanada (CA) bereitstellen oder Ihre Daten an ein beliebiges Rechenzentren in EU, EFTA, UK, USA oder Kanada übertragen.  Dies bedeutet, dass Ihre ruhenden Daten in der EU, in der EFTA, im Vereinigten Königreich, in den USA oder in Kanada gespeichert werden können.  Unser Engagement für Compliance, Datenschutz und Sicherheit bleibt unverändert, während wir notwendige und umsichtige Maßnahmen zur Aufrechterhaltung der Dienstverfügbarkeit implementieren. Wir werden alle anwendbaren Gesetzen hinsichtlich des Datentransfers einhalten.

      Von Kontakten bei Microsoft habe ich gehört, dass diese Regelung nur für Neukunden gilt und bisher auch noch kein Gebrauch davon gemacht werden musste und alle Daten von EU Kunden innerhalb der EU geblieben sind. Das war im Mai 2020 und die Lage hat sich seither entspannt.

      Ergänzend ist auch noch zu sagen, dass mit Stand von Mai die Möglichkeiten zur Steuerung der Übermittlung von Telemetriedaten in Teams noch nicht auf dem Stand war wie in anderen Microsoft 365 Anwendungen. Ob man da jetzt weiter ist, müsste ich erst recherchieren.

      Die Einwilligung und die zugehörigen Informationen zur Datenverarbeitung müssen in nächster Zeit auf jeden Fall ergänzt werden, um die Veränderungen durch das Ende des EU-US Privacy Shield zu berücksichtigen. Es bleibt ohnein abzuwarten, wie die deutschen Aufsichtsbehörden sich verhalten werden. Aktuell (Ende Juli 2020) sind sie noch dabei sich zu koordinieren.

      1. Vielen Dank!
        Dann sollte ich auf MFA und B2B was ja Gastbenutzerzugriff bedeutet, verzichten?

        Gut, dass die ruhenden Daten derzeit in der EU geblieben sind.

  2. Datenschutz in allen Ehren; doch hier zeigt sich, dass die DSGVO an der Realität vorbei und weltfremd geschaffen wurde. Sicherlich bestand Handlungsbedarf. Doch nicht so!

    Wer eine komplexe Leistung einer Software wie MS-Teams und desen Serverinfrastruktur eines Unternehmen in Anspruch nehmen will, muss sich damit abfinden, dass das Unternehmen wissen will, wer der Nutzer ist und wie das Nutzungsverhalten ist. Schon allein aus technischen Gründen ist dies erforderlich. Denn nur so (!!!) kann die regelmäßig erforderlich Software und Hardware aktuell und den technischen Erfordernissen angepasst werden.

    Wer das nicht will, muss sich eine eigene Hard- und Softwarestruktur zulegen. Das kostet aber viel Zeit und viel Geld. Allein die notwendige Testphase könnte Jahre dauern!
    Dabei ist zudem zu berücksichtigen, dass bei der Digitalisierung von Schulen die einzelnen Bundesländer zuständig sind und eine möglichst bundesweit einheitlich Software bei all den vielen unterschiedlichen Interessen und damit verbundenen kaum machbar ist.
    Und ohne entsprechendes IT-Personal an den Schulen gehts ohnehin nicht.

    Meckern und kritisieren allein reicht nicht.
    Ich sage diese aus Erfahrung mit eigen erstellten großen IT-Vorhaben.

    1. Da kann ich nur zustimmen. Vieles ist hier an der Realität vorbei geregelt worden. Die größten Versäumnisse sehe ich bei der Politik, die die Schulen in diese Situation gebracht hat. Es wäre ein Leichtes, auf Bundes- oder Landesebene an die großen Anbieter heranzutreten, um Lösungen zu finden. Alternativ hätte man in Lösungen investieren sollen, die echtes Potential haben, wie z.B. NextCloud. Stattdessen bastelt man sich in den verschiedenen Bundesländern eigene Lösungen zusammen, die dann schlecht laufen. Es gibt durchaus auch Positivbeispiele, doch die sind viel zu spät gekommen bzw. kommen gerade erst.

  3. Ich frage mich, wie eine Einwilligung bei einer strittigen Sache hier zum Tragen kommen kann (Stichwort: Ungleichgewicht)
    https://dsgvo-gesetz.de/erwaegungsgruende/nr-43/

    Und wie geht man bei einem Verbot in Hessen – selbst mit Einwilligung – damit um, wenn in NRW ein Datenschutzbeauftragter eine Einwilligung ausgeht, der Landesdatenschutzbeauftragte bis zum Abschluss der Prüfung aber von der Nutzung abrät.
    https://www.datenschutzexperte.de/haftung-datenschutzbeauftragter/

  4. Eine Einwilligung kann und darf nur freiwillig sein. Ist sie dieses nicht, ist sie nicht rechtswirksam und damit ungültig. Freiwilligkeit setzt voraus, dass bei einer Nicht-Einwilligung den Betroffenen in Bezug auf Lernen und Leistungen keine Nachteile entstehen. Dafür muss es vergleichbare Alternativen geben, über welche Schüler die erforderlichen Informationen und Unterstützung erhalten.
    Abgesehen davon soll es schon Fälle geben, in denen Betroffene eine Plattform ausdrücklich nutzen wollen und man möchte ihnen dieses ermöglichen. In einigen Bundesländern wird ausdrücklich betont, dass eine Nutzung auch mit Einwilligung der Betroffenen nicht zulässig ist. Dort wäre auch unter solchen Voraussetzungen eine Nutzung nicht möglich.

    Die Frage, inwieweit die Einwilligung im Zusammenhang mit Schule und Lernen überhaupt ein taugliches Rechtsinstrument darstellt, kommt regelmäßig auf. Die Einwilligung wird deshalb gerade im Zusammenhang mit Lern-, Arbeits- und Kommunikationsplattformen und Anwendungen kritisch gesehen. Anders ist das, wenn es um Aufnahmen (Bild, Ton, Video) zur Öffentlichkeitsarbeit geht, die diese nicht im Zusammenhang mit schulischem Lernen und Leistung stehen.

    Wie geht man damit um, wenn es in verschiedenen Bundesländern unterschiedliche Regelungen gibt?
    Solange es im eigenen Bundesland kein ausdrückliches Verbot durch das Schulministerium oder entsprechende Aussagen der Aufsichtsbehörde gibt, steht es in der Entscheidung der Schulleitung als Verantwortlichem im Sinne des Datenschutzrechts, eine Verarbeitung zuzulassen oder zu untersagen. Gibt es dann noch Aussagen der Aufsichtsbehörde eines anderen Bundeslandes, die eine Nutzung unter bestimmten Bedingungen für möglich hält, kann die Schule sich darauf durchaus berufen, falls es zum Streitfall kommt. Was in einem Bundesland durch eine Aufsichtsbehörde als zulässig angesehen wird, kann nicht in einem anderen Bundesland – sofern dort nicht ausdrücklich verboten – zur Strafe führen.

  5. Ich kann euch allen nur zustimmen! Ich bin selbst Schüler an einer Schule, der MS Teams von Anfang an zur Verfügung gestellt wurde. Jetzt wollen uns aber die “ganz hohen Tiere” das super Tool wieder wegnehmen! Ich meine, was ist das denn?!?! Man müsste doch nur eine Einverständniserklärung an alle austeilen! Die stupide und realitätsferne Art, mit der hier in Deutschland der Datenschutz gehandhabt wird ist auf dauer nicht mehr mit anzusehen! Ich glaube, es ist im Interesse aller, dass die DSGVO ein wenig aufgearbeitet wird. Aber darauf können wir, glaube ich, bei unserer Politik noch lange warten. Und wer die HPI Schulcloud für eine Alternative hält… Also da gibt es ja nicht mal einen Chat! Und das, obwohl der Betreiber garantiert hat, diese Funktion bis Oktober 2020 einzufügen! Das zeugt natürlich wieder mal von der deutschen Fortschrittlichkeit! Also echt mal! Ich rufe alle Schüler auf, gegen diese Unzulänglichkeiten vorzugehen! Dagegen muss man sich starkmachen! Denn bevor die Schnarchnasen im Senat aufwachen, sind wir alle geimpft! Liebe Grüße!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert