In vielen Unternehmen ist noch immer nicht der „Vor-Corona-Alltag“ eingekehrt. Viele Mitarbeiter befinden sich noch im Homeoffice, Geschäftsreisen werden abgesagt. Oft ist es nicht möglich, Kollegen oder Geschäftspartner persönlich zu treffen. Es muss auf alternative Kommunikationswege zurückgegriffen werden. Das Mittel der Wahl ist zumeist ein Videocall. Zahlreich Anbieter stehen zur Verfügung. Doch seit der drastisch gestiegenen Nachfrage nach solchen Kommunikationswegen erscheint es immer schwieriger, auch einen Diensteanbieter zu finden, der diese Leistung DSGVO-konform zur Verfügung stellt. Gefühlt täglich häufen sich Mitteilungen über Datenschutzverstöße bei Videocall-Tools.
Zuletzt hat sich Microsoft Teams wegen der einfachen Nutzbarkeit und der weiten Verbreitung von Office 365 großer Beliebtheit erfreut. Doch laut der Berliner Datenschutzaufsichtsbehörde soll Microsoft Teams nicht DSGVO-konform sein.
Ist da was dran?
Hauptkritikpunkt der Berliner Aufsichtsbehörde: Der Auftragsverarbeitungsvertrag, Art. 28 DSGVO
Unter anderem hat die Datenschutzaufsichtsbehörde den von Microsoft zur Verfügung gestellten Auftragsverarbeitungsvertrag kritisiert. Auftragsverarbeitungsverträge sind regelmäßig bei der Nutzung von SaaS-Tools abzuschließen, so eben auch bei der Nutzung von Microsoft Teams.
Mindestanforderungen gem. Art. 28 DSGVO nicht erfüllt
Gem. Art. 28 DSGVO müssen in einem Auftragsverarbeitungsvertrag mindestens folgende Punkte zwischen Verantwortlichem und Auftragsverarbeiter geregelt sein: Gegenstand und Dauer der Datenverarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Pflichte und Rechte des Verantwortlichen. Insbesondere darf der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten. Die Berliner Datenschutzbeauftragte kritisierte die Undurchsichtigkeit des Vertragswerkes von Microsoft. Es existierten zu viele Verweise auf Anlagen, wodurch für den Leser nicht offensichtlich ist, welche Klauseln nun Geltung finden sollen.
Änderungen am Auftragsverarbeitungsvertrag
Ein weiterer Kritikpunkt der Aufsichtsbehörde ist, dass Microsoft eine geänderte Fassung des Auftragsverarbeitungsvertrags online gestellt hat – ohne Kunden hierüber zu informieren.
Datenverarbeitung zu eigenen Zwecken
Ein großes Manko wird auch darin gesehen, dass sich Microsoft in dem Auftragsverarbeitungsvertrag vorbehält, die Auftragsdaten auch zu eigenen Zwecken, unter anderem zur Verfolgung legitimer Geschäftstätigkeiten zu verarbeiten. Dass es hierfür eine Rechtsgrundlage gibt wird angezweifelt. Außerdem sieht die Berliner Datenschutzbeauftragte darin eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO. Gemeinsame Verantwortlichkeit meint (im Gegensatz zur Auftragsverarbeitung), dass zwei oder mehr Verantwortliche Zwecke und Mittel der Datenverarbeitung gemeinsam festlegen und die Verarbeitung eben nicht unter Weisung eines Verantwortlichen stattfindet. Alle Verantwortliche tragen gleichermaßen die Verantwortung.
Allerdings soll hier erwähnt werden, dass Microsoft lediglich interne Zwecke als „legitime Geschäftstätigkeiten“ aufzählt, wie beispielsweise die Abrechnungs- und Kontoverwaltung oder Finanzberichterstattung. Vor diesem Hintergrund handelt Microsoft in höchst eigenem Interesse. Es ist eben nicht ungewöhnlich, dass Unternehmen Daten von Vertragspartnern zur Rechnungsstellung verarbeiten. Das Vorliegen einer gemeinsamen Verantwortlichkeit erscheint in diesem Fall somit fraglich.
Kann Microsoft Teams noch verwendet werden?
Unmittelbaren Einfluss hat die Kritik der Berliner Datenschutzaufsichtsbehörde lediglich auf Unternehmen, die im Zuständigkeitsbereich der Berliner Behörde sind. Andere Unternehmen können Microsoft Teams weiterhin nutzen. Richterliche Entscheidungen liegen zu dem Fall noch nicht vor.
Kein Kommentar