Datenschutz mit Microsoft Teams

04. Juni 2021
Gastbeitrag von Dr.rer.nat. Ralf W. Schadowski*

Bild: ©  LinkedIn Sales Solutions - Unsplash.com

In den Medien erfahren wir in jüngster Zeit wiederholt von widersprüchlichen Hinweisen zur rechtmäßigen Nutzung von Microsoft-Lösungen. Dies gilt ebenfalls zum Beispiel für Microsoft Teams. Entscheider sind dadurch verwirrt, was nun zu tun ist. Viele Datenschutzbeauftragte sind ebenfalls verunsichert, welchen Rat sie Verantwortlichen geben sollen und geben daher oft auch fälschlicherweise keine Zustimmung zur Nutzung von Microsoft Teams.

Organisationen müssen moderne, kosteneffiziente Kommunikationsplattformen nutzen, um nicht den internationalen Anschluss zu verlieren. Weiterhin muss stets im Einklang mit rechtlichen Anforderungen gearbeitet werden im Sinne der Compliance.

Was ist zu tun?

Wir lehren Datenschutzbeauftragte in der Ausbildung das TOSR-Modell als Grundlage einer strukturierten Bewertung, die zu klaren Aufgabenstellungen für die Beteiligten und durch Härtungen zu einem akzeptablen Restrisiko führen. Im Bereich der personenbezogenen Daten reicht dazu die Erstellung einer Datenschutzbewertung. Bei der Verarbeitung besonders schützenswerter Daten (Art. 9 DSGVO), zum Beispiel Gesundheitsdaten, Religionsdaten oder Profilbildung der Betroffenen ist eine Datenschutzfolgeabschätzung obligatorisch zur Erfüllung der Rechenschaftspflichten (Art. 5 Abs. 2 DSGVO). Wir empfehlen daher zu einer ersten, nicht abschließenden Bewertung mindestens die nachstehenden TOSR-Kriterien vor der Nutzung von Microsoft Teams schriftlich zu würdigen:

Betrachtung mithilfe des TOSR-Modell

Technik

• Entspricht das Träger-Clientsystem dem Stand der Technik?
  • vollständige Applikations-Inventarisierung
  • Deinstallation und Deaktivierung nicht benötigter Applikationen und Dienste
  • Schadcode-Schutz zentral gesteuert
• ...

Organisation

• Erstellung einer Richtlinie und/oder Orientierungshilfe, die den Einsatz von Teams an die Mitarbeiter regelt
• Erstellung eines Rollen-/Berechtigungs-Konzeptes in Teams inkl. Exit-Regelung bei ausscheidenden Teilnehmern
• Erweiterung des Datensicherungskonzeptes um die Daten, die in Teams gespeichert werden sollen
• Streng klassifizierte Daten mit dem Stand der Technik vor Datenabfluss sichern (zum Beispiel Rights Management, Azure Information Protection, …) 
• Erweitern Sie Ihr Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO / § 70 BDSG um die Prozesse mit personenbezogenen Daten, die künftig in Teams abgebildet werden
• Mitarbeiter-Training planen und umsetzen
• Ggfs Betriebsvereinbarung erstellen und abschließen
• ...

Strategie

• Ist Teams die für Ihren Zweck am besten geeignete Lösung? 
• In welcher Geo-Region (Tenant) ist Teams vertraglich zu nutzen (global, EU, Deutschland)
• Festlegung der Leistungsmerkmale, die in Teams genutzt werden sollen
• Festlegung der Datenkategorien, die in Teams (nicht) verarbeitet werden sollen
• Kann der Lebenszyklus der Daten in Teams gesteuert werden
• ...

Recht

• OST-Verträge (Online Services Terms) mit Microsoft im internen Vertragsmanagement ablegen
• Dienstleister bei Einführung und Support auf Art. 28 DSGVO, GeschGehG, StGB verpflichten
• Rechtsvorschriften (DSGVO, BDSG, SGB, StGB, …) auf Beschränkungen prüfen (zum Beispiel bei Berufsgeheimnisträgern)
• NDA-/Vertraulichkeitsvereinbarungen mit Auftraggebern auf Beschränkungen prüfen
• ...

Im Ergebnis der Bewertung verbleibt das zu akzeptierende Restrisiko, welches durch das Management verantwortet werden muss (und meistens auch kann). Die Organisation ist und bleibt bei Nutzung von Microsoft Teams beim Verantwortlichen im Sinne der Datenschutznormen.

Die genannten Anforderungen gelten in ähnlicher Form für jede Cloud-Lösung; Auszüge dieser Checklisten auch für lokale IT-Lösungen. Empfehlung: Schaffen Sie Standards für die Abläufe und orientieren Sie sich stets streng an diesen.

* Dr. Ralf Schadowski hat als Datenschutzbeauftragter und IT-Sicherheitsexperte in den vergangenen zehn Jahren rund 1.000 Unternehmen geprüft. Er ist ISO-zertifizierter, anerkannter und mehrfach bestellter Datenschutzbeauftragter zahlreicher deutscher Mittelstandsunternehmen.

Um den hohen Anforderungen des Themas gerecht zu werden, empfehlen wir die Zusammenarbeit mit einem externen Datenschutzbeauftragten wie beispielsweise Dr. Ralf Schadowski, mehrfach zertifizierter Datenschutzbeauftragter und anerkannter Auditor für IT-Sicherheit. Wenn Sie Unterstützung im Bereich Datenschutz benötigen, sprechen Sie uns gerne an!