Datenschutz : Teams – den Wildwuchs einhegen

Technische Einstellungen reichen nicht aus, um den Einsatz von Teams datenschutzkonform zu gestalten. Organisatorische Regelungen müssen hinzutreten. Im Folgenden werden ausgewählte Regelungsbereiche vorgestellt.

Teams-Räume und Sharepoint

Teams organisiert Kommunikation und Dateiablage in Teams-Räumen. Für jeden Teams-Raum wird automatisch ein Sharepoint eingerichtet. Die Nutzung von Teams bedeutet deshalb automatisch immer auch die Nutzung von Sharepoint. In einem solchen Teams-Raum werden verschiedene Funktionen, wie z. B. Videokonferenzen, Telefonie, Dateiablage, Aufgabenverwaltung, gebündelt zur Verfügung gestellt.

Protokollierungen

Teams ist Teil von Microsoft 365. Microsoft 365 verfügt über eine umfangreiche Protokollierung von Nutzeraktivitäten. Für jede aktivierte Protokollierung muss das nutzende Unternehmen über eine Rechtsgrundlage verfügen, die die Protokollierung ausnahmsweise legitimiert. Zur Durchführung des Beschäftigungsverhältnisses sind Protokolle von Nutzeraktivitäten regelmäßig nicht erforderlich, sodass § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) als Rechtsgrundlage ausscheidet. Einwilligungen sind hier ebenfalls grundsätzlich unwirksam, sodass als Rechtsgrundlage noch die Interessenabwägung nach Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung (DS-GVO) übrig bleibt. Doch diese Interessenabwägung ist kein Selbstläufer. Da Unternehmen das Verhalten von Beschäftigten nur in engeren Grenzen elektronisch überwachen dürfen, ist sorgfältig zu prüfen, ob diese Grenzen nicht überschritten werden.

Weiterhin müssen die protokollierten Daten auch für einen oder mehrere Zwecke erforderlich sein und auch praktisch verwendet werden.

Lassen sich Protokolle, für die kein Zweck, keine Rechtsgrundlage oder keine Erforderlichkeit nachweisbar ist, nicht abschalten, darf Teams im Unternehmen nicht verwendet werden. Andernfalls entstehen möglicherweise Schadensersatzansprüche der Beschäftigten – abgesehen von der Verwirklichung mehrerer bußgeldbewehrter Verstöße gegen die DS-GVO.

Es bietet sich an, einen Genehmigungsprozess für Protokolle zu etablieren. Im Rahmen dieses Prozesses wäre die Rechtmäßigkeit zu prüfen und zu dokumentieren. Einzubeziehen wären der Datenschutzbeauftragte, der Betriebsrat (wenn vorhanden) und eine genehmigende Führungskraft.

Genehmigung von Teams-Räumen Personenbezogene

Daten dürfen ausschließlich für festgelegte Zwecke verarbeitet werden. Weiterhin müssen personenbezogene Daten gelöscht werden, wenn sie für diese Zwecke nicht mehr benötigt werden und eine gesetzliche Aufbewahrungspflicht, die nur für wenige Daten und Vorgänge besteht, nicht entgegensteht.

Beide Anforderungen lassen sich am einfachsten umsetzen, wenn ein Teams-Raum zweckbezogen eingerichtet wird. Im Idealfall kann der gesamte Teams-Raum beim Entfallen des Zwecks gelöscht werden.

Es empfiehlt sich, einen Genehmigungsprozess für Teams-Räume zu schaffen. Das mag bürokratisch klingen, erleichtert aber die Umsetzung der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) und die Prüfung der Rechtmäßigkeit (u. a. Art. 24 DS-GVO).

Im Antrag sollten mindestens der Zweck, der beabsichtigte Zeitpunkt der Raumlöschung und der beabsichtigte Nutzerkreis angegeben werden. Des Weiteren sollte eine Person benannt werden, die die Löschung des Raumes organisiert. Einzubeziehen wären der Datenschutzbeauftragte und eine genehmigende Führungskraft.

Zur Kontrolle, ob eingerichtete Teams-Räume noch benötigt werden, bietet es sich an, dass Führungskräfte einmal jährlich eine Liste der Teams-Räume aus ihrem Verantwortungsbereich erhalten. Die Führungskräfte müssten angeben, welche Teams-Räume noch erforderlich sind, um eine Löschung durch die IT zu vermeiden.

Fehlendes Back-up

Um Daten aus Teams durch ein Back-up gegen unbeabsichtigten Verlust oder Veränderung zu schützen, bedarf es Programme von Drittanbietern. Standardmäßig gibt es kein Back-up von Teams-Räumen, auf das Unternehmen Zugriff hätten.

Wenn kein Back-up existiert, sollten nur Daten abgelegt werden, deren Verlust oder ungewollte Veränderung keine Auswirkungen auf Menschen oder das Unternehmen hat.

Videokonferenz

Bei einem Telefonat wird die Stimme übertragen. Bei einer Videokonferenz wird die Audiospur durch Livebilder der Anwesenden ergänzt. Diese Livebilder stellen datenschutzrechtlich einen tieferen Eingriff in das Persönlichkeitsrecht als eine Übertragung der Stimme dar. Auch für Videobilder gilt, dass deren Verarbeitung erforderlich sein muss, um den mit der Videokonferenz verfolgten Zweck zu erreichen. Ein pauschales Verlangen, Videobilder immer zu übertragen, reicht ebenso wenig aus wie der Gedanke der Höflichkeit. Kommt es nur auf das Gesagte an, spricht einiges dafür, dass Videobilder nicht erforderlich sind, d. h. auch nicht gefordert werden dürfen.

Die Möglichkeit zur Aufzeichnung sollte seitens der IT-Administration innerhalb der Teams-Konfiguration deaktiviert werden. Die Deaktivierung schützt Beschäftigte davor, die Aufzeichnung ohne Befugnis zu aktivieren. Die unbefugte Aufzeichnung von nicht-öffentlich gesprochenen Worten stellt eine Straftat dar (§ 201 Strafgesetzbuch (StGB)).

Für Ausnahmen vom Aufzeichnungsverbot lässt sich ein Prüf- und Genehmigungsprozess schaffen. Im Rahmen dieses Prozesses sollten die Rechtsgrundlage zur Aufzeichnung, die Erforderlichkeit, die Zwecke sowie die Information der Beteiligten geprüft und geklärt werden. Einbezogen werden sollte der Datenschutzbeauftragte und – sofern vorhanden – der Betriebsrat. Sofern eine Aufzeichnung genehmigt wird, sind die Teilnehmer der Videokonferenz über Beginn und Ende der Aufzeichnung zu informieren.

Videokonferenzen sollten so eingerichtet werden, dass Teilnehmer manuell eingelassen werden.

Chats

Chats stellen eine einfache Möglichkeit zur schnellen Abstimmung mit Kollegen und Kolleginnen dar. Ein Chat verleitet aber auch dazu, die Abstimmungsergebnisse nicht weiter zu dokumentieren, sodass beim Löschen eines Chats auch diese Dokumentation verloren geht. Auch für Chats gilt die Löschpflicht, sodass ein Verzicht auf das Löschen nicht zielführend wäre. Deshalb sollte bei der Einrichtung eines Teams-Raums geregelt werden, wann Chats gelöscht werden und wie Abstimmungsergebnisse außerhalb zu dokumentieren sind. Wenn in einem Chat weitere Teilnehmer zu einem späteren Zeitpunkt einbezogen werden, haben diese Zugriff auch auf Nachrichten, die vor dem Beitritt ausgetauscht worden sind. Um zu vermeiden, dass Geschäftsgeheimnisse oder personenbezogene Daten unberechtigt weitergegeben werden, sollte geregelt werden, welche Inhalte nicht in einem Chat behandelt werden dürfen.

Zugriffe für Externe

Teams bietet die Möglichkeit, unternehmensfremde Personen zuzulassen. Dieses Recht haben grundsätzlich alle internen Nutzer. Teams sieht dafür keinen Genehmigungsprozess vor.

Auf welche Inhalte des Teams-Raums die Externen Zugriff erhalten, wird durch die eingeräumten Zugriffsrechte bestimmt. Beim Einräumen der Zugriffsrechte ist sicherzustellen, dass Externe ausschließlich auf Videokonferenz- und Telefonfunktionen zugreifen können. Weitreichende Zugriffsrechte, wie z. B. „Gast-Zugriffe“, sollten durch einen Genehmigungsprozess autorisiert werden.

Es wird empfohlen, mindestens einmal pro Jahr zu prüfen, ob alle vergebenen Zugriffsrechte noch erforderlich sind.

Fazit

Teams stellt ein nützliches und mächtiges Werkzeug dar. Gleichzeitig bietet es zahlreiche Möglichkeiten, Unternehmen und Menschen zu schädigen. Um die positiven Seiten zu nutzen und die Risiken zu senken, helfen organisatorische Regeln weiter. Durch eine Betriebsvereinbarung, Richtlinie oder Arbeitsanweisung lassen sich organisatorische Spielregeln festlegen. Dabei sollten insbesondere folgende Felder betrachtet werden:

• Protokollierungen,
• Genehmigung von Teams-Räumen,
• fehlendes Back-up,
• Videokonferenz,
• Chats,
• Zugriffe für Externe

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH