Aufsichtsbehörde: Microsoft Teams ist rechtswidrig!

In einer Stellungnahme erklärt die Berliner Aufsichtsbehörde die datenschutzrechtlichen Verträge aller großen Anbieter von Videokonferenztools für nicht DSGVO-konform. Nach Ansicht der Behörde ist die Nutzung von Microsoft Teams, Skype (for Business), GoTo-Meeting ebenso rechtswidrig wie die Nutzung von Konkurrenzprodukten wie WebEx, GoogleMeet oder Zoom. Rechtskonform nutzbar seien ausschließlich weniger verbreitete europäische Lösungen. Doch was ist dran an der Einschätzung der Berliner? Wir versuchen, uns dem Thema etwas differenzierter zu nähern.

Microsoft Teams als großer Anbieter

Microsoft Teams ist derzeit wohl eines der am weitesten verbreiteten Videokonferenz-Tools. Insbesondere seitdem zahlreiche Unternehmen auf Office365 umsteigen und im Zuge dessen auch Skype (for Business) oder andere Dienste durch Microsoft Teams ersetzen.

Im Folgenden soll deshalb exemplarisch die Kritik der Behörde an Microsoft Teams genauer unter die Lupe genommen und auf Ihre Stichhaltigkeit hin überprüft werden. Dabei wird bewusst nicht auf alle Kritikpunkte eingegangen. Es soll vielmehr dargestellt werden, dass datenschutzrechtliche Einschätzungen von Aufsichtsbehörden nicht allgemeine Gültigkeit haben und kritisch überprüft werden müssen.

Was die Aufsichtsbehörde geprüft und was sie nicht geprüft hat

Im Rahmen einer Kurzprüfung hat die Aufsichtsbehörde den durch Microsoft zur Verfügung gestellten Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geprüft und bewertet. Der Abschluss eines solchen Vertrages ist im Falle von Diensten, welche als „Software as a Service“ (SaaS) angeboten werden, regelmäßig notwendig. So bedarf auch die Nutzung von Microsoft Teams als SaaS-Lösung eines solchen Vertrages. Neben Microsoft Teams funktionieren auch alle anderen von der Behörde bewerteten Videokonferenztools als SaaS-Lösung.

Nach Ansicht der Behörde weist der geprüfte Auftragsverarbeitungsvertrag von Microsoft, ebenso wie die Verträge aller anderen großen Anbieter, grundlegende Mängel auf. Das führt dazu, dass die Behörde der Ansicht ist, dass allein schon aus diesem Grund eine rechtskonforme Nutzung nicht möglich ist. Eine weitergehende Prüfung der datenschutzrechtlich relevanten technischen Aspekte hat die Behörde gar nicht erst vorgenommen.

Kritik der Aufsichtsbehörde

Die Hauptkritikpunkte der Berliner Aufsichtsbehörde am Auftragsverarbeitungsvertrag zu Microsoft Teams sind dabei die Folgenden:

Verarbeitung zu eigenen Zwecken

Microsoft behält sich im Auftragsverarbeitgungsvertrag die Verarbeitung von Auftragsdaten zu eigenen Zwecken vor. Die Behörde zweifelt an, dass es hierfür eine Rechtsgrundlage gibt. Weiterhin könne die Verarbeitung zu eigenen Zwecken zu einer gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DSGVO führen. Einen solchen Vertrag stellt Microsoft allerdings im Rahmen der Nutzung von Teams nicht zur Verfügung. Entsprechend verstoße ein so gemeinsam Verantwortlicher, welcher Teams nutzt ebenso gegen Art. 26 DSGVO wie auch gegen Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 lit. a DSGVO.

Nichterfüllung der Mindestanforderungen des Art. 28 DSGVO

Der Auftragsverarbeitungsvertrag enthalte nicht die gesetzlichen Mindestanforderungen nach Art. 28 DSGVO. Der Verweis auf Anlagen des Vertrages, welche wiederum weitergehende gesetzliche Anforderungen enthalte, sei deshalb als Ergänzung nicht ausreichend, weil Microsoft den Leser im Unklaren darüber lasse, welche Klausel aus welchem Text nun gelte.

Nachträglich Änderung des Auftragsverarbeitungsvertrags ohne Mitteilung

Die Aufsichtsbehörde rügt auch den Prozess der Aktualisierung des Auftragsverarbeitungsvertrages im Juni 2020. So sei eine aktualisierte Version online gestellt worden ohne entsprechend darauf hinzuweisen.

Überprüfung der Kritik

Bei den oben beschriebenen Hauptkritikpunkten handelt es sich zunächst einmal um eine Einschätzung einer einzelnen Aufsichtsbehörde. Höchstrichterliche Rechtsprechung gibt es zu diesen Fragen zum jetzigen Zeitpunkt nicht. Insofern muss es erlaubt sein die Einschätzung der Behörde einer kritischen Überprüfung zu unterziehen. Zu den aufgeworfenen Themen gilt es deshalb, das Folgende anzumerken:

Verarbeitung zu eigenen Zwecken

In der Tat behält sich Microsoft vor, Kundendaten und personenbezogene Daten unter anderem auch zur Verfolgung von legitimen Geschäftstätigkeiten zu verarbeiten. Als legitime Geschäftstätigkeiten werden dabei die folgenden Zwecke benannt:

  • Abrechnungs- und Kontoverwaltung; Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen)
  • interne Berichterstattung und Modellierung (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie)
  • Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen könnten
  • Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
  • Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der im Folgenden beschriebenen Offenlegungsbeschränkungen)

Sodann heißt es weiter:

„Bei der Verarbeitung für legitime Geschäftstätigkeiten von Microsoft wird Microsoft Kundendaten oder personenbezogene Daten nicht für folgende Zwecke verwenden oder anderweitig verarbeiten: (a) Benutzerprofilierung oder (b) Werbung oder ähnliche kommerzielle Zwecke. Wenn Microsoft diese Daten für legitime Geschäftstätigkeiten verarbeitet, erfolgt diese Verarbeitung ausschließlich zu den in diesem Abschnitt genannten Zwecken.“

Der Auslegung dieser Regelungen durch die Aufsichtsbehörde stehen folgende Bedenken entgegen:

Bei den „legitimen Geschäftstätigkeiten“ werden Verarbeitungstätigkeiten aufgelistet, bei der Microsoft ausschließlich eigene Interessen verfolgt. Es handelt sich hierbei auch um legitime Interessen der Geschäfts- und Unternehmensführung. Insoweit agiert Microsoft hier als alleinige Verantwortliche. Die Datenverarbeitungen werden sich weiterhin auch grundsätzlich auf Art. 6 Abs. 1 lit. b, c oder f DSGVO stützen lassen können. Somit liegt hier vielmehr eine Form der getrennten Verantwortlichkeit vor. Bei jeder Geschäftsbeziehung werden Vertragspartnerdaten vom Geschäftspartner zu Zwecken der Rechnungserstellung oder den sonstigen oben genannten Geschäftszwecken verarbeitet. Das ist nichts Ungewöhnliches. Auch nicht im Falle einer Auftragsverarbeitung. Nur weil der Geschäftspartner die Daten auch zu eigenen Zwecken verarbeitet, führt dies nicht automatisch zu einer gemeinsamen Verantwortlichkeit.

Nichterfüllung der Mindestanforderungen des Art. 28 DSGVO

Die DSGVO gibt zwar den Mindestinhalt in Art. 28 DSGVO vor, bezüglich der Struktur und Aufbau eines solchen Vertragstextes besteht allerdings ein gewisser Gestaltungsspielraum. Versteht man also den 27-seitigen Auftragsverarbeitungsvertrag inkl. seiner Anlage als zusammenhängendes Vertragskonvolut findet man durchaus die Mindestangaben aus Art. 28 DSGVO. Sie sind nur innerhalb des Vertragskonvoluts nicht durchgängig und zusammenhängend geregelt und daher teilweise an unterschiedlichen Stellen verortet. Kritik ist hierbei aber sicherlich bezüglich der Übersichtlichkeit angebracht. In diesem Zusammenhang kann durchaus über einen Verstoß gegen den Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a DSGVO diskutiert werden. Im Rahmen einer solchen Diskussion ist aber sicherlich auch Teil der Wahrheit, dass der Auftragsverarbeitungsvertrag im B2B-Verhältnis abgeschlossen wird und insoweit keine natürliche Person bzw. Verbraucher als Endkunde geschützt werden muss.

Nachträgliche Änderung des Auftragsverarbeitungsvertrag ohne Mitteilung

Dieser Kritikpunkt ist berechtigt. Im Juni 2020 und auch im Juli 2020 wurde der Auftragsverarbeitungsvertrag in der Tat in veränderter Form online gestellt, ohne dass darüber informiert wurde. Es ist allerdings auch anzumerken, dass die meisten Änderungen lediglich sprachlicher Natur sind. Weiterhin wird in der Einleitung des Auftragsverarbeitungsvertrags klargestellt, dass

„der jeweils aktuelle DPA [gilt] und […] während der Laufzeit dieses Onlinedienstabonnements unverändert [bleibt]“

Somit sind Änderungen während des Vertragsverhältnisses für den Kunden unerheblich.

Das Verhalten von Microsoft lässt zwar auf eine schlechte Geschäftspraktik oder interne Mängel bei den Prozessabläufen schließen. Für die datenschutzrechtliche Bewertung hat dies aber keinerlei Relevanz.

Das sagt Microsoft dazu

Inzwischen hat sich auch Microsoft selbst zu der Kritik geäußert. Deren Einschätzung deckt sich in einigen Teilen mit der hier vorgenommenen Einschätzung. In anderen ist diese Stellungnahme jedoch ebenso kritisch zu bewerten. Das wiederum würde einen weiteren Artikel füllen…

Was bedeutet das?

Für ein Unternehmen, welches Microsoft Teams verwendet stellt sich natürlich die Frage, welche Auswirkungen diese Diskussion auf den eigenen Umgang mit Microsoft Teams hat. Hierzu ist zunächst einmal zu sagen, dass es sich bei der behördlichen Kritik um die Meinung einer einzelnen Aufsichtsbehörde handelt. Direkte Relevanz hat sie nur für Unternehmen, für welche die Berliner Aufsichtsbehörde zuständig ist. Für alle anderen ist aus jetziger Sicht nicht ersichtlich, weswegen bei dem Einsatz von Microsoft Teams von einem klaren Rechtsverstoß auszugehen ist. Bei einer kritischen Überprüfung des zur Verfügung gestellten Auftragsverarbeitungsvertrags sowie einer datenschutzfreundlichen Konfiguration erscheint der Einsatz von Microsoft Teams auch in Zeiten der DSGVO möglich.

Andere Aufsichtsbehörden äußern sich im Übrigen bei anderen Telekonferenz-Tools durchaus etwas differenzierter. So hält die Baden-Württembergische Aufsichtsbehörde das Tool von Zoom nach anfänglicher Kritik inzwischen für durchaus DSGVO-konform einsetzbar. Bei dieser Einschätzung haben allerdings insbesondere die datenschutzrechtlich relevanten technischen Aspekte eine Rolle gespielt. Aspekte, welche bei der Stellungnahme der Berliner Aufsichtsbehörde überhaupt keine Rolle gespielt haben, obwohl sie es sollten.

Original Meldung der Behörde:

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

Stellungnahme von Microsoft:

https://news.microsoft.com/de-de/stellungnahme-zum-vermerk-berliner-datenschutzbeauftragte-zur-durchfuehrung-von-videokonferenzen-waehrend-der-kontaktbeschraenkungen/