Update 2023: hier haben wir vor Microsoft Teams und Microsoft 365 gewarnt, nun wurde Microsoft mit dem wenig begehrten Negativpreis Big Brother Award für sein Lebenswerk ausgezeichnet!

„Die Konferenz der deutschen Datenschutzaufsichtsbehörden hat im November 2022 nach jahrelanger Diskussion mit Microsoft einstimmig festgestellt, dass Microsoft 365 nicht mit der DSGVO in Einklang zu bringen sei.“

Datenschutz beim Microsoft-Produkt Teams

„Ein Arbeitskreis der Datenschutzkonferenz von Bund und Ländern hält einen rechtskonformen Einsatz von Microsoft 365 in öffentlichen Institutionen für unmöglich.“[1]

Die Probleme beginnen bereits damit, dass Microsoft nicht transparent arbeitet und Informationen erst nach schwierigen und umständlichen Nachfragen heraus gibt. Dies gilt insbesondere, wenn es um die so genannten Telemetriedaten geht. Microsoft sammelt diese Daten, um Informationen zur Diagnose und Metadatenauswertung zu bekommen. Auch enthalten diese Daten Informationen über die Nutzung und die Leistung von Anwendungskomponenten. Diese Inforationen können über eine ID dem Nutzer zugeordnet werden. Allerdings können Nutzer in den Programmeinstellungen die Verarbeitung ihrer Diagnosedaten reduzieren. Man muss allerdings wissen, wie dies möglich ist. Die niederländische Regierung, welche die Datenschutzkonformität von Microsoft 365 (ehemals Office 365), zu dem Teams gehört, prüfen ließ, bezweifelt, dass für die Verarbeitung der Telemetrie- und Diagnosedaten überhaupt ein Personenbezug notwendig ist.

Nutzt Microsoft die Telemetrie- und Diagnosedaten für die Produktentwicklung und die Unterstützung von maschinellem Lernen, ist dies keine weisungsgebundene Tätigkeit im Sinne des Art. 28 DSGVO. Dies ist in den so genannten OST(Online Services Teams)- Vertragsbedingungen für die Nutzung von Microsoft 365 geregelt, die Microsoft jederzeit und einseitig ändern kann. Das kann Nachteilig für den Nutzer sein.

Da Microsoft die Telemetrie- und Diagnosedaten für mindestens 30 Tage und maximal bis 18 Monate auf Servern in den USA speichert, ist ein zugriff für Produktentwicklung und Analysezwecke in dieser Zeit möglich. Im Einzelfall kann ein Microsoft-Team Teile dieser Daten auch länger nutzen.

Aus diesen im ersten Blick dürren Analysen ergeben sich aber durchaus Datenschutzrisiken.

  • Nutzer können nicht wirklich abschätzen, welche Datenschutzrisiken aufgrund der fehlenden Transparenz mit der Verwendung von Microsoft 365, und damit auch von Teams, für sie verbunden sind.
  • Dass sich Microsoft allein als Auftragsverarbeiter versteht, ist datenschutzrechtlich bedenklich. Die Gestaltung in gemeinsamer Verantwortung gem. Art. 26 DSGVO wäre hier Datenschutzkonformer.
  • Ungeklärt ist die Zweckbindungspflicht. Während Art. 5 Abs. 1b der DSGVO fordert, dass der Zweck der Datenverarbeitung vor der Erhebung festgelegt wird, lässt die Microsoft bei den Telemetrie- und Diagnosedaten im Allgemeinen.
  • Dass die Telemetrie- und Diagnosedaten außerhalb des Geltungsbereichs der DSGVO übermittelt werden wurde mit dem EU-US Privacy Shields erklärt - diesen hat der Europäische Gerichtshof jedoch für rechtswidrig erklärt.
  • Völlig ungeklärt ist noch, wie sich Microsoft im Falle einer Herausgabeforderung von US-Behörden (z.B. der NSA) verhält. Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Firmen zur Herausgabe von bei ihnen gespeicherten Daten von Nicht-US-Bürgern. Nach US-amerikanischer Rechtsauffassung ist dies auch ohne ein Rechtshilfeersuchen an die zuständigen europäischen Sicherheitsbehörden möglich.
  • Das europäische Datenschutzrecht schreibt vor, dass Daten zu löschen sind, wenn ihr Zweck erfüllt wurde oder eine gesetzliche Aufbewahrungszeit abgelaufen ist. Die Aufbewahrungsdauer der Diagnosedaten verstößt deshalb gegen die Löschpflicht aus Art. 17 Abs.1 der DSGVO.
  • Die Datenschutzerklärungen von Microsoft sind auf mehr als 400 Seiten niedergelegt.[2] Eine informierte Entscheidung wird somit allen Beteiligten - Schulleitungen, Lehrerinnen, Eltern, Schülerinnen quasi unmöglich gemacht.

Mit erhöhtem Datenschutzrisiko ist auch die Nutzung der Web-Version von Microsoft 365 verbunden, da die Cloud-Dienste von OneDrive womöglich auch nicht sicher sind. Auf die Speicherung von vertraulichen Informationen dort sollte verzichtet werden.

Bei der Nutzung von Controller Connect Experiences (z.B. den Übersetzungsdiensten) sammelt Microsoft Nutzungsdaten in einem nicht bekannten Umfang.

Auch wenn Microsoft seine Datenschutzeinstellungen ständig anpasst, ist die Nutzung seiner Dienste (inclusive Teams) nur unter den Bedingungen möglich, die Microsoft wie folgt beschreibt:

„Anstatt als statisches Software-Programm auf Ihrem Gerät installiert, basieren die Schlüsselkomponenten von Windows auf Cloud und beide, sowohl Cloud als auch lokale Elemente von Windows werden regelmäßig aktualisiert, um Ihnen die neuesten Verbesserungen und Features zu bieten. Um dieses Computer-Erlebnis anzubieten, erheben wir Daten über Sie, Ihr Gerät und wie Sie Windows verwenden.“

https://privacy.microsoft.com/de-DE/privacystatement#mainnoticetoendusersmodule

Aus den veröffentlichen Dokumenten der Berliner Datenschutzbehörde wird deutlich, dass sie Dienstleitungen von Microsoft, namentlich Teams und Skype, sowie die Videokonferenzlösung von Zoom (letztes mit Stand vom 02.04.2020) für nicht datenschutzgerecht hält. Dies stellt die Behörde in ihrer veröffentlichten Checkliste noch einmal ausdrücklich klar. Dort heißt es:

„Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter die aufgeführten Bedingungen nicht erfüllen, darunter Microsoft, Skype Communications und Zoom Video Communications.“

Neben dieser klaren datenschutzrechtlichen Einschätzung stellt sich die Frage, ob man Kinder und Jugendliche auf ein Produkt prägen möchte.

[1] Heise: Datenschützer sehen Microsoft 365 in Behörden als nicht rechtskonform an

[2] Heise: Schule digital: (K)ein Platz für Microsoft

Ergänzung:

Einzelne Datenschutzbeauftragte hierzu:

  • Nordrhein-Westfalen: „Eine Verwendung von Microsoft Office 365 hinsichtlich der Verarbeitung personenbezogener Daten kann daher nicht empfohlen werden.“ (Quelle)
  • Hessen: „Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.“ (Quelle)
  • Berlin: „Leider erfüllen auch einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht. Dies trifft derzeit (Stand 3. Juli 2020) z. B. auf die Dienste Blizz, Cisco WebEx, Cisco WebEx über Telekom, Google Meet, GoToMeeting, Microsoft Teams, Skype, Skype for Business Online und zoom zu. Mit NETWAYS Web Services Jitsi, sichere-videokonferenz.de, TixeoCloud, Werk21 BigBlueButton und Wire stehen allerdings Alternativen bereit, die die datenschutzrechtlichen Anforderungen erfüllen.“ (Quelle)

„Das Grundproblem liegt darin, dass Microsoft aufgrund der Beauftragung durch eine Behörde Kenntnis von Daten erhält, die auch für eigene Zwecke des Unternehmens genutzt werden, ohne dass hierfür eine Rechtsgrundlage ersichtlich wäre. Bei den Daten handelt es sich neben den Inhalten, die die Behörde verarbeitet, auch um Angaben über die Nutzerinnen und Nutzer, seien es Beschäftigte oder Schülerinnen und Schüler. Dies geschieht insbesondere über die Verwendung der Software.“ (Datenschutz und Informationsfreiheit, Jahresbericht 2019, S. 92)

  • Baden-Württemberg: „[Der Datenschutzbeauftragte] rügte „strukturelle Mängel des Produkts Microsoft Office 365“, darunter Abflüsse von personenbezogenen Daten an den Hersteller.'' (Quelle)
  • Bremen: „Sie [die Bremer Datenschutzbeauftragte] rate dringend davon ab, das MicrosoftPaket 365, so wie es aktuell konfiguriert sei, in der bremischen Verwaltung einzusetzen, da die Daten nicht in einem Rechenzentrum, sondern in einer Cloud verarbeitet würden, auf die zahlreiche Stellen Zugriff hätten.“ (Quelle)