Stellungnahme zum Vermerk „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen“

Eine Frau sitzt am Schreibtisch und nutzt Videobesprechungen in Microsoft Teams.

Update vom 8. Juli 2020

Die Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) hat auf ihrer Website am 3. Juli 2020 „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten“ (im Folgenden: Hinweis) veröffentlicht. Dieser enthält – wie schon der Vermerk der BlnBDI vom 30. März 2020 – Andeutungen, die auf datenschutzrechtliche Risiken beim Einsatz von Microsoft-Produkten wie Microsoft Teams  schließen lassen.

Microsoft nimmt Datenschutz sehr ernst und ist überzeugt, dass unsere Produkte im Allgemeinen und damit auch Microsoft Teams datenschutzkonform sind und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können. Der Einschätzung der Berliner Beauftragten für Datenschutz und Informationssicherheit („BlnBDI“) können wir nicht folgen. Leider wurden die Informationen, die wir der BlnBDI zur Verfügung gestellt haben, bislang größtenteils nicht berücksichtigt. Wir suchen weiterhin den Dialog mit der BlnBDI, um Rückfragen und Unklarheiten zu klären.

Im Einzelnen:

Zu 1) „Anbieter behält sich die Verarbeitung von Auftragsdaten zu eigenen Zwecken vor“

Diese Datenverarbeitung ist im Data Protection Addendum („DPA“), welches für alle Microsoft Teams-Angebote für Geschäftskunden Anwendung findet, im Abschnitt mit dem Titel „Verarbeitung für legitime Geschäftstätigkeiten von Microsoft“ definiert: Es handelt sich hierbei um mit der Erbringung der Services  in Verbindung stehende Tätigkeiten wie zum Beispiel nutzungsbasierte Rechnungsstellung, Kapazitätsplanung und Bekämpfung von Cyberkriminalität.

Eine Nutzung für Benutzerprofilerstellung, Werbung oder ähnliche kommerzielle Zwecke ist vertraglich ausdrücklich ausgeschlossen.

Soweit überhaupt personenbezogene Daten betroffen sind, sind die für diese Tätigkeiten verwendeten Daten begrenzt. Es handelt sich zu einem großen Teil um servicegenerierte Daten, die als solche schon nicht vom Kunden offengelegt werden und nur von Microsoft generierte pseudonymisierte Kennungen enthalten.

Microsoft agiert dabei bereits aufgrund des Fehlens einer gemeinsamen Entscheidung über die Zwecke und Mittel der Verarbeitung – unter Zugrundelegung der Rechtsprechung des EuGH – als unabhängige Verantwortliche und nicht als gemeinsame Verantwortliche.

Zu 2 und 3) „Mängel im Auftragsverarbeitungsvertrag/Viele Unklarheiten und Widersprüche im Auftragsverarbeitungsvertrag“

Das DPA sowie Anlage 3 regeln eindeutig, dass die Anlage 3 (Bestimmungen der Datenschutz-Grundverordnung der Europäischen Union) für Microsoft verpflichtend ist – soweit der Anwendungsbereich der DSGVO eröffnet ist. Das DPA enthält auf Seite 8 (Datensicherheit – Prüfung der Einhaltung) für diesen Abschnitt eine Klarstellung, dass Anlage 3 sowie die Standardvertragsklauseln unverändert bleiben. Hierbei ist zu berücksichtigen, dass Microsoft seinen Kunden weltweit einheitliche Verträge anbietet – in 34 Sprachen übersetzt. Gerade für unsere international tätigen Konzernkunden ist diese Einheitlichkeit sehr wichtig, aber dadurch findet das Microsoft DPA auch auf Sachverhalte Anwendungen, die anderen Rechtsordnungen als der DSGVO unterliegen, wodurch gegebenenfalls andere vertragliche Regelung geboten sind.

Zu 4) „Unzulässige Datenexporte“

Das DPA enthält in Anlage 2 die sog. EU-Standardvertragsklauseln mit einer klaren Vorrangsregelung zugunsten der Standardvertragsklauseln, soweit diese anwendbar sind. Klausel 10 der Standardvertragsklauseln erlaubt ausdrücklich erforderlichenfalls weitere geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen. ln den Jahren 2013 und 2014 hat Microsoft eine ausgedehnte Diskussion mit der Artikel-29-Arbeitsgruppe über solche zusätzlichen Klauseln, u.a. zur Auditierung, geführt. Das Ergebnis war die Erklärung der Artikel-29-Gruppe aus dem Jahr 2014, dass unsere vertragliche Umsetzung im Einklang mit den Standardvertragsklauseln steht. Diese Erklärung ist hier abrufbar.

Microsoft sichert Datenexporte in Einklang mit der DSGVO durch Standardvertragsklauseln und/oder Privacy Shield ab.

Zu 5) „Anbieter hat veröffentlichten Auftragsverarbeitungsvertrag ohne Kennzeichnung umfangreich nachträglich geändert

Microsoft wurde durch Kunden und die Berliner Aufsichtsbehörde auf Fehler in der deutschen Version des DPA hingewiesen. Hierbei handelte es sich um Übersetzungsfehler aus der englischen Version, die korrigiert wurden. Microsoft bedauert die mangelnde Qualitätskontrolle bei der deutschen Sprachversion sehr. Klarzustellen ist, dass hier keinerlei inhaltliche Änderungen beabsichtigt waren. Es gibt keinerlei Abweichung in der tatsächlichen – DSGVO-konformen – Handhabung der Daten; selbstverständlich auch keine unterschiedliche Handhabung aufgrund der mit den Kunden vereinbarten Vertragssprache. Zum Vergleich kann auch gerne die (unveränderte) englische Version des DPA, die als Basis für die Übersetzung in andere Sprachen verwendet wurde, herangezogen werden.

 

Stellungnahme vom 6. Mai 2020

Wir haben zur Kenntnis genommen, dass die Berliner Beauftragte für Datenschutz und Informationssicherheit („BlnBDI“) auf ihrer Webseite einen auf den 30. März 2020 datierten Vermerk mit dem Titel „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ (im Folgenden „Vermerk“) veröffentlicht hat. Dieser enthält Andeutungen, die auf datenschutzrechtliche Risiken beim Einsatz von Microsoft Teams und Skype for Business Online durch Unternehmen schließen lassen.

Zu dem Vermerk stellen wir nach eingehender Prüfung fest:

  1. Microsoft nimmt den Datenschutz sehr ernst und ist überzeugt, dass unsere Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform sind und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können.
  2. Der Vermerk kam ohne Anhörung oder sonstige Einbeziehung von Microsoft zustande, enthält in Bezug auf Microsoft Produkte missverständliche Aussagen und legt zum Teil unzutreffende datenschutzrechtliche Wertungen zugrunde.

Im Einzelnen:

1. Datenschutz als Priorität von Microsoft auch und gerade in Krisenzeiten

Microsoft ist bewusst, wie essentiell die Aufrechterhaltung der möglichst reibungslosen Kommunikation in diesen äußerst ungewöhnlichen und herausfordernden Zeiten ist und wie wichtig dabei unsere Produkte zur Kommunikation für unsere Kundinnen und Kunden, deren Beschäftigten und die Wirtschaft insgesamt sind.

Für Microsoft hat die Einhaltung der Datenschutzgesetze (DS-GVO, BDSG etc.) schon seit Jahren oberste Priorität. Dies gilt nicht nur für die Entwicklung der Produkte, sondern gleichermaßen für die Ermöglichung ihrer rechtskonformen und sicheren Nutzung durch unsere Kundinnen und Kunden.

Die von Microsoft umgesetzten technischen und organisatorischen Maßnahmen genügen dabei höchsten Ansprüchen an die Sicherheit der verarbeiteten Daten.

Die allgegenwärtigen (auch bei Microsoft selbst bestehenden) Sorgen und Fragen unserer Kundinnen und Kunden, wie mit der COVID-19 Pandemie umzugehen ist und wie wichtige betriebliche Abläufe trotz geltender Beschränkungen für menschliche Kontakte beispielsweise durch den Einsatz von Microsoft Teams und Skype for Business Online aufrechterhalten werden können, sind für Microsoft kein Grund auch nur ansatzweise von den hohen Standards des anwendbaren Datenschutzrechts abzuweichen.

2. Kommentierung der im Vermerk enthaltenen Aussagen

Microsoft ist bewusst, dass der Vermerk bei unseren Kundinnen und Kunden gegebenenfalls zu Fragen im Hinblick auf die datenschutzkonforme Einsetzbarkeit von Microsoft Teams und Skype for Business Online führt.

Nachfolgend gehen wir auf die Inhalte des Vermerks ein und legen dabei zugleich die wesentlichen technischen, organisatorischen und rechtlichen Maßnahmen dar, die Microsoft getroffen hat, damit unsere Kundinnen und Kunden diese Produkte datenschutzkonform einsetzen können.

a. Videokonferenzen und -telefonie über Microsoft Teams und Skype for Business Online sind während der Übertragung stets verschlüsselt.

Über Microsoft Teams und Skype for Business Online durchgeführte Videokonferenzen und Videotelefonate erfolgen in der dem Internetstandard entsprechenden Transport Layer Security (TLS) und Mutual TLS (MTLS) Verschlüsselung. Konkret bedeutet dies, dass sowohl die Vermittlung der Verbindung zwischen den Teilnehmerinnen und Teilnehmern als auch die Übertragung der Ton- und Bilddaten verschlüsselt erfolgt. Ausführliche Details siehe: https://docs.microsoft.com/de-de/microsoftteams/teams-security-guide.

b. Microsoft Teams und Skype for Business Online werden nach dem aktuellen Stand der Technik betrieben und abgesichert.

Microsoft Teams und Skype for Business Online werden nach dem aktuellen Stand der Technik und nach höchsten Sicherheitsstandards betrieben und abgesichert. Auf unserer Webseite können Sie sich unter https://www.microsoft.com/de-de/trust-center über die von uns eingehaltenen Standards und bestehenden Zertifikate informieren. Microsoft ist dabei unter anderem nach ISO/IEC 27018 (Code of Practice for Protecting Personal Data in the Cloud) und ISO/IEC 27001 zertifiziert.

c. Microsoft Teams und Skype for Business Online können ohne Einschränkung auch für sensible Gespräche und Inhalte genutzt werden.

Sie müssen sich bei der Nutzung von Microsoft Teams und Skype for Business Online keine Gedanken über die konkreten Inhalte machen; die Produkte können ohne Einschränkung auch für sensible Gespräche und Inhalte genutzt werden.

Microsoft Teams und Skype for Business sehen keine Abhörmöglichkeiten vor. Ein Abhören, als das systematische und inhaltsbezogene Erfassen von Inhaltsdaten, findet auch im Rahmen des Betriebs von Microsoft Teams und Skype for Business Online durch Microsoft nicht statt.

Ungeachtet dessen stellt Microsoft marktübliche Funktionen zur benutzerseitigen Erstellung von Mitschnitten oder Tonaufnahmen und Bildaufnahmen zur Verfügung. Im Zusammenhang mit der Erbringung bestimmter Funktionalitäten kann es auch notwendig sein, dass software- und systemseitig auf Inhalte der Audio- und Videokommunikation zugegriffen wird. Dies geschieht beispielsweise im Zusammenhang mit der sogenannten Diktierfunktion (bei der durch Nutzerinnen und Nutzer gesprochenes Wort in Text umgewandelt werden kann) oder der sogenannten Übersetzungsfunktion (bei der aber keine kognitive Wahrnehmung durch Personen stattfindet). Der Einsatz von Microsoft Teams und Skype for Business wird dadurch aber nicht unzulässig. Mitschnitte sowie Tonaufnahmen und Bildaufnahmen werden von Microsoft entsprechend des DPA als Auftragsverarbeiter für den Kundinnen und Kunden verarbeitet.

d. Über die Microsoft Online Service Terms werden die datenschutzrechtlich erforderlichen vertraglichen Vereinbarungen abgeschlossen.

Die Online Service Terms und das Data Protection Addendum („DPA“) – die auf unserer Webseite auch in deutscher Sprache zur Verfügung stehen – enthalten alle nach dem geltenden europäischen Datenschutzrecht erforderlichen vertraglichen Inhalte. Nach dem DPA agiert Microsoft bei der Bereitstellung und dem Betrieb von Microsoft Teams und Skype for Business als sogenannter Auftragsverarbeiter. Microsoft verarbeitet dabei personenbezogene Daten nur zu den im DPA angegebenen Zwecken.

Ebenfalls online können Sie alle erforderlichen Informationen über unsere Unterauftragsverarbeiter einsehen. Selbstverständlich haben wir mit den von uns eingesetzten Unterauftragsverarbeitern vertragliche Vereinbarungen getroffenen, um auch insoweit die datenschutzrechtlichen Anforderungen umzusetzen.

e. Die Microsoft Online Service Terms sichern auch einen Transfer von Daten außerhalb der EU/des EWR datenschutzkonform ab.

Soweit Kundendaten und personenbezogenen Daten in die USA oder in ein anderes Land, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind, übermittelt und dort gespeichert bzw. verarbeitet werden, werden stets geeignete und vom Datenschutzrecht anerkannte Garantien eingesetzt. Microsoft hält sich bei der Einbeziehung von Unterauftragsverarbeitern – egal ob aus Drittländern oder aus der EU – an die anwendbaren Datenschutzbestimmungen.

Das europäische Datenschutzrecht verbietet insbesondere den Einsatz von Ressourcen außerhalb der EU nicht und lässt dies vielmehr bei Beachtung einiger zusätzlicher Anforderungen ausdrücklich zu. Soweit Microsoft beim Betrieb von Microsoft Teams und Skype for Business Online Ressourcen außerhalb der EU / des EWR einsetzt, geschieht dies stets unter Beachtung dieser zusätzlichen Anforderungen.

Microsoft nutzt hierzu die von der EU Kommission erlassenen EU Standardvertragsklauseln (2010/87/EU); diese finden Sie in Anlage 2 zum DPA. Darüber hinaus ist Microsoft Corp. auch nach EU-U.S. und Swiss-U.S. Privacy Shield zertifiziert.

f. Auch sogenannte Berufsgeheimnisträger können Microsoft Teams und Skype for Business Online einsetzen.

Sie können Microsoft Teams und Skype for Business auch als Berufsgeheimnisträger einsetzen. Microsoft stellt hierfür auf Anfrage eine Zusatzvereinbarung für Berufsgeheimnisträger bereit.

3. Zusammenfassung

Zusammenfassend lässt sich festhalten, dass die Microsoft Teams und Skype for Business Online alle datenschutzrechtlichen Anforderungen erfüllen. Die im Vermerk genannten „Grundlegenden Anforderungen“ hat Microsoft vollständig oder überschießend erfüllt. Die im Vermerk aufgeführten „Risiken“ bestehen bei der Nutzung von Microsoft Teams und Skype for Business Online nicht.

Tags: , , ,

Weitere Infos zu diesem Thema

4. Mai 2020
Datenschutz in Zeiten von COVID-19

Digitalen Technologien kommt bei der Bekämpfung der Pandemie eine große Bedeutung zu – sie können große Datenmengen schneller auswerten und Muster frühzeitig erkennen. Da die dafür notwendigen Daten sehr sensibel sind, ist der Schutz der Privatsphäre besonders wichtig. Wir haben sieben Prinzipien entwickelt, die Regierungen, Gesundheitsbehörden, Forschende sowie die Industrie ab sofort und für die kommenden Phasen der Pandemie berücksichtigen sollten.