Microsoft Teams Datenschutz: DSGVO-konform nutzen

Microsoft Teams und Datenschutz: DSGVO-Überblick

Microsoft Teams ist eines der meistgenutzten Kollaborationstools in deutschen Unternehmen. Mit Funktionen wie Chat, Videokonferenzen, Dateifreigabe und integrierten Office-Anwendungen hat sich Teams als zentrale Plattform für die digitale Zusammenarbeit etabliert. Doch gerade weil in Teams täglich sensible Geschäftsdaten, personenbezogene Informationen und vertrauliche Kommunikation verarbeitet werden, ist der Datenschutz bei Microsoft Teams ein zentrales Thema für jedes Unternehmen.

Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an den Umgang mit personenbezogenen Daten. Unternehmen, die Teams einsetzen, müssen sicherstellen, dass die Nutzung rechtskonform erfolgt. Das betrifft nicht nur die technischen Einstellungen, sondern auch vertragliche Vereinbarungen mit Microsoft, die Information der Beschäftigten und die Dokumentation in der Datenschutzerklärung.

In diesem vollständigen Leitfaden erfahren Sie, welche Datenschutz-Herausforderungen Microsoft Teams mit sich bringt, wie Sie diese lösen und Teams DSGVO-konform in Ihrem Unternehmen einsetzen können.

Datenschutz-Probleme bei Microsoft Teams

Telemetriedaten und Diagnosedaten

Microsoft sammelt bei der Nutzung von Teams umfangreiche Telemetrie– und Diagnosedaten. Diese Daten umfassen Informationen über die Nutzung einzelner Funktionen, Leistungsdaten, Fehlermeldungen und Geräteinformationen. Aus datenschutzrechtlicher Sicht ist problematisch, dass der Umfang dieser Datenerhebung für Unternehmen oft nicht vollständig transparent ist. Die Datenschutzkonferenz (DSK) hat in ihren Bewertungen wiederholt darauf hingewiesen, dass die Telemetriedatenerfassung von Microsoft-Produkten datenschutzrechtliche Bedenken aufwirft.

Unternehmen sollten die Diagnosedaten in den Admin-Einstellungen auf das Minimum reduzieren. Microsoft unterscheidet zwischen erforderlichen und optionalen Diagnosedaten — letztere sollten laufend deaktiviert werden.

Datenspeicherung und Datenübermittlung in die USA

Obwohl Microsoft für europäische Kunden Rechenzentren in der EU betreibt (unter anderem in Deutschland und den Niederlanden), können bestimmte Daten dennoch in die USA übermittelt werden. Dies betrifft insbesondere Support-Zugriffe und bestimmte Backend-Dienste. Nach dem Wegfall des EU-US Privacy Shield durch das Schrems-II-Urteil und der Einführung des EU-US Data Privacy Framework (DPF) im Juli 2023 hat sich die Rechtslage zwar verbessert, dennoch bleibt ein Restrisiko bei US-Datentransfers bestehen.

Microsoft ist unter dem Data Privacy Framework zertifiziert, was aktuell eine gültige Rechtsgrundlage für Datentransfers in die USA darstellt. Unternehmen sollten dennoch die Entwicklung der Rechtsprechung beobachten und zusätzliche Schutzmaßnahmen wie Verschlüsselung implementieren.

Aufzeichnung von Besprechungen

Teams bietet die Möglichkeit, Videokonferenzen und Besprechungen aufzuzeichnen. Diese Aufzeichnungen werden standardmäßig in OneDrive oder SharePoint gespeichert. Aus Datenschutzsicht ergeben sich mehrere Probleme: Die Aufzeichnung enthält personenbezogene Daten (Bild, Stimme, Name) aller Teilnehmer. Es bedarf einer Rechtsgrundlage für die Aufzeichnung, und alle Teilnehmer müssen vorab informiert und einverstanden sein. Zudem müssen Aufbewahrungsfristen definiert und eingehalten werden.

Anwesenheitsüberwachung und Aktivitätsstatus

Der Aktivitätsstatus in Teams (verfügbar, beschäftigt, abwesend) sowie die Anwesenheitsberichte bei Besprechungen können zur Überwachung von Mitarbeitern missbraucht werden. Arbeitgeber dürfen diese Daten nicht zur Leistungs- oder Verhaltenskontrolle verwenden, ohne dass hierfür eine Rechtsgrundlage besteht und der Betriebsrat einbezogen wurde.

AV-Vertrag mit Microsoft (DPA)

Bevor ein Unternehmen Microsoft Teams einsetzt, muss ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO geschlossen werden. Microsoft stellt hierfür das sogenannte Data Protection Addendum (DPA) bereit, das automatisch Bestandteil der Lizenzvereinbarungen (Microsoft Product Terms) ist.

Das Microsoft DPA regelt unter anderem folgende Punkte:

• Art, Zweck und Dauer der Datenverarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO
• Einsatz von Unterauftragsverarbeitern
• Unterstützung bei Betroffenenrechten
• Regelungen zu Datentransfers in Drittländer

Unternehmen sollten das DPA sorgfältig prüfen und dokumentieren, dass es den Anforderungen des Art. 28 DSGVO genügt. Das aktuelle DPA finden Sie im Microsoft Trust Center. Für eine vollständige Datenschutzberatung zum Thema Auftragsverarbeitung empfehlen wir unseren Artikel zu Art. 28 DSGVO.

Microsoft Teams DSGVO-konform konfigurieren: Schritt für Schritt

Mit den richtigen Einstellungen im Microsoft Teams Admin Center können Sie den Datenschutz erheblich verbessern. Folgen Sie dieser Schritt-für-Schritt-Anleitung:

Schritt 1: Diagnosedaten minimieren

Navigieren Sie im Microsoft 365 Admin Center zu Einstellungen → Organisationseinstellungen → Dienste → Microsoft 365-Apps. Deaktivieren Sie dort die optionalen Diagnosedaten und setzen Sie die Diagnosedatenebene auf „Erforderlich“. Deaktivieren Sie Connected Experiences, die Inhalte analysieren, sofern nicht zwingend benötigt.

Schritt 2: Externe Kommunikation einschränken

Im Teams Admin Center unter Benutzer → Externer Zugriff sollten Sie den Zugriff auf vertrauenswürdige Domänen beschränken. Deaktivieren Sie die Kommunikation mit Skype-Nutzern und nicht verwalteten Teams-Konten, sofern nicht geschäftlich erforderlich.

Schritt 3: Gastzugriff kontrollieren

Unter Benutzer → Gastzugriff können Sie festlegen, welche Rechte externe Gäste in Teams haben. Beschränken Sie die Berechtigungen auf das Notwendige: Deaktivieren Sie beispielsweise die Möglichkeit für Gäste, eigene Kanäle zu erstellen oder Apps hinzuzufügen.

Schritt 4: Besprechungsrichtlinien anpassen

Unter Besprechungen → Besprechungsrichtlinien konfigurieren Sie zentrale Datenschutzeinstellungen:

• Aufzeichnung: Beschränken Sie die Aufzeichnungsmöglichkeit auf Organisatoren oder deaktivieren Sie sie global
• Transkription: Deaktivieren Sie die automatische Transkription, wenn nicht benötigt
• Anwesenheitsberichte: Beschränken Sie den Zugriff auf Organisatoren
• Chat: Legen Sie fest, ob der Chat in Besprechungen aktiviert sein soll

Schritt 5: Aufbewahrungsrichtlinien definieren

Im Microsoft Purview Compliance Center sollten Sie Aufbewahrungsrichtlinien für Teams-Chats und Kanalnachrichten festlegen. Definieren Sie klare Löschfristen entsprechend Ihrer Datenschutzrichtlinie — beispielsweise 90 Tage für allgemeine Chats und 365 Tage für Projektkanäle.

Schritt 6: Verschlüsselung aktivieren

Aktivieren Sie die Ende-zu-Ende-Verschlüsselung für 1:1-Anrufe im Teams Admin Center. Beachten Sie, dass bei aktivierter E2E-Verschlüsselung bestimmte Funktionen wie Aufzeichnung und Transkription nicht verfügbar sind. Für besonders vertrauliche Besprechungen ist dies jedoch die empfohlene Einstellung.

Datenschutzerklärung für Microsoft Teams

Wenn Ihr Unternehmen Microsoft Teams einsetzt, müssen Sie dies in Ihrer Datenschutzerklärung transparent darstellen. Gemäß Art. 13 und 14 DSGVO müssen betroffene Personen über die Datenverarbeitung informiert werden. Die Datenschutzerklärung sollte folgende Informationen zu Teams enthalten:

• Name und Kontaktdaten des Anbieters (Microsoft Ireland Operations Limited)
• Zweck der Verarbeitung (Videokonferenzen, Chat, Zusammenarbeit)
• Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. b oder f DSGVO)
• Art der verarbeiteten Daten (Kommunikationsinhalte, Metadaten, Telemetriedaten)
• Empfänger und Datenübermittlung in Drittländer
• Speicherdauer
• Hinweis auf den AV-Vertrag (DPA)
• Betroffenenrechte

Nutzen Sie hierzu auch unsere Informationen zur Datenschutzerklärung.

Betriebsrat und Microsoft Teams

Die Einführung von Microsoft Teams ist in Unternehmen mit Betriebsrat mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG. Teams ist eine technische Einrichtung, die grundsätzlich zur Überwachung von Verhalten und Leistung der Arbeitnehmer geeignet ist. Der Betriebsrat hat daher ein Mitbestimmungsrecht bei der Einführung und Ausgestaltung der Teams-Nutzung.

In der Praxis empfiehlt sich der Abschluss einer Betriebsvereinbarung, die folgende Punkte regelt:

• Zweck und Umfang der Teams-Nutzung
• Verbot der Leistungs- und Verhaltenskontrolle
• Regelungen zur Aufzeichnung von Besprechungen
• Umgang mit dem Aktivitätsstatus
• Regelungen zur privaten Nutzung
• Schulung der Beschäftigten
• Auswertung von Nutzungsdaten

Ein externer Datenschutzbeauftragter kann bei der Erstellung einer datenschutzkonformen Betriebsvereinbarung unterstützen. Informieren Sie sich über unsere Datenschutz-Schulungen für Mitarbeiter und Betriebsräte.

Datenschutzkonforme Alternativen zu Microsoft Teams

Wenn Ihr Unternehmen besonders hohe Datenschutzanforderungen hat oder die Abhängigkeit von US-Anbietern reduzieren möchte, gibt es europäische und Open-Source-Alternativen:

Jitsi Meet

Jitsi Meet ist eine Open-Source-Lösung für Videokonferenzen, die auf eigenen Servern betrieben werden kann. Dadurch behalten Sie die volle Kontrolle über alle Daten. Jitsi unterstützt Ende-zu-Ende-Verschlüsselung und erfordert keine Registrierung für Teilnehmer. Für Unternehmen mit eigenem IT-Betrieb ist Jitsi eine hervorragende datenschutzkonforme Alternative.

BigBlueButton

BigBlueButton ist eine Open-Source-Webkonferenzlösung, die ursprünglich für den Bildungsbereich entwickelt wurde. Sie bietet Funktionen wie Bildschirmfreigabe, Whiteboard, Breakout-Räume und Aufzeichnung. BigBlueButton kann auf eigenen Servern in Deutschland gehostet werden und ist vollständig DSGVO-konform betreibbar.

Nextcloud Talk

Nextcloud Talk ist Teil der Nextcloud-Suite und bietet Chat, Audio- und Videokonferenzen. Als Self-Hosted-Lösung werden alle Daten auf Ihren eigenen Servern gespeichert. Nextcloud ist eine europäische Lösung mit Hauptsitz in Deutschland und bietet vollständige Compliance-Funktionen.

Wire

Wire ist ein Schweizer Messenger mit starkem Fokus auf Sicherheit. Wire bietet standardmäßige Ende-zu-Ende-Verschlüsselung, Videokonferenzen und Dateifreigabe. Die Server stehen in der EU, und Wire ist nach ISO 27001 zertifiziert.

Microsoft Viva und Datenschutz

Microsoft Viva ist eine in Teams integrierte Plattform für Employee Experience, die Module wie Viva Insights, Viva Learning und Viva Engage umfasst. Besonders Viva Insights wirft Datenschutzfragen auf, da es Produktivitätsanalysen auf Basis von Microsoft-365-Nutzungsdaten erstellt. Die persönlichen Insights sind nur für den jeweiligen Nutzer sichtbar, während Manager-Insights aggregierte und anonymisierte Daten verwenden. Dennoch sollte der Einsatz von Viva Insights mit dem Betriebsrat abgestimmt und in der Datenschutz-Folgenabschätzung berücksichtigt werden. Deaktivieren Sie Viva Insights, wenn keine klare Rechtsgrundlage und keine Betriebsvereinbarung vorliegen.

Datenschutz-Folgenabschätzung für Microsoft Teams

Aufgrund der umfangreichen Datenverarbeitung empfehlen Aufsichtsbehörden die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO für den Einsatz von Microsoft Teams. Eine DSFA ist insbesondere dann erforderlich, wenn Teams für die systematische Überwachung oder umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten eingesetzt wird.

Die DSFA sollte folgende Aspekte bewerten:

• Systematische Beschreibung der Verarbeitungsvorgänge
• Bewertung der Notwendigkeit und Verhältnismäßigkeit
• Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
• Geplante Abhilfemaßnahmen und Sicherheitsvorkehrungen

Verzeichnis der Verarbeitungstätigkeiten für Microsoft Teams

Gemäß Art. 30 DSGVO müssen Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten (VVT) führen, das auch die Nutzung von Microsoft Teams dokumentiert. Der Eintrag im VVT sollte folgende Informationen enthalten:

• Bezeichnung der Verarbeitungstätigkeit: Nutzung von Microsoft Teams für Kommunikation und Zusammenarbeit
• Verantwortlicher: Ihr Unternehmen mit Kontaktdaten
• Zweck: Interne und externe Kommunikation per Chat, Video und Telefonie, Dateifreigabe und kollaboratives Arbeiten
• Betroffene Personen: Beschäftigte, externe Kommunikationspartner, Kunden, Dienstleister
• Datenkategorien: Stammdaten (Name, E-Mail), Kommunikationsinhalte (Chat, Audio, Video), Metadaten (Zeitstempel, Teilnehmerlisten), Gerätedaten (IP-Adresse, Betriebssystem)
• Empfänger: Microsoft Ireland Operations Limited als Auftragsverarbeiter, ggf. weitere Microsoft-Unterauftragsverarbeiter
• Löschfristen: Gemäß interner Aufbewahrungsrichtlinie (z. B. Chat-Nachrichten nach 90 Tagen, Aufzeichnungen nach 30 Tagen)
• Technische und organisatorische Maßnahmen: Verweis auf das Microsoft DPA und eigene Konfigurationsmaßnahmen

Die regelmäßige Aktualisierung des VVT ist zentral, insbesondere wenn Microsoft neue Funktionen wie den AI Companion einführt oder bestehende Verarbeitungsprozesse ändert. Als externer externer Datenschutzbeauftragter unterstützen wir Sie bei der Erstellung und Pflege Ihres Verzeichnisses der Verarbeitungstätigkeiten.

Mitarbeiter-Schulung zum Datenschutz bei Teams

Die beste technische Konfiguration nützt wenig, wenn die Mitarbeiter nicht im datenschutzkonformen Umgang mit Microsoft Teams geschult sind. Eine regelmäßige Datenschutz-Schulung sollte folgende Themen abdecken:

• Grundlagen des Datenschutzes bei Videokonferenzen und Chat-Kommunikation
• Korrekte Einladung externer Teilnehmer und Umgang mit dem Gastzugriff
• Regeln für die Aufzeichnung von Besprechungen und das Einholen von Einwilligungen
• Sichere Dateifreigabe und Vermeidung von Datenlecks über externe Kanäle
• Umgang mit dem Aktivitätsstatus und Schutz der Privatsphäre
• Erkennung von Phishing-Angriffen über Teams-Nachrichten
• Meldepflichten bei Datenschutzvorfällen im Zusammenhang mit Teams

Phishing über Teams-Nachrichten ist ein wachsendes Sicherheitsrisiko. Angreifer nutzen kompromittierte Konten oder externe Zugänge, um schädliche Links oder Dateien über Teams zu verbreiten. Schulen Sie Ihre Mitarbeiter, verdächtige Nachrichten zu erkennen und zu melden, auch wenn diese von scheinbar vertrauenswürdigen Absendern stammen.

Informieren Sie sich über unsere Datenschutz-Schulungen, die speziell auf die Anforderungen moderner Kollaborationstools zugeschnitten sind.

Häufige Fragen zum Teams Datenschutz (FAQ)

Ist Microsoft Teams DSGVO-konform?

Microsoft Teams kann DSGVO-konform eingesetzt werden, erfordert jedoch eine sorgfältige Konfiguration. Unternehmen müssen den AV-Vertrag (DPA) prüfen, Datenschutzeinstellungen optimieren, Mitarbeiter informieren und die Nutzung in der Datenschutzerklärung dokumentieren. Ohne entsprechende Maßnahmen ist der Einsatz datenschutzrechtlich problematisch.

Wo speichert Microsoft Teams die Daten?

Für europäische Kunden speichert Microsoft die Kerndaten (Chats, Dateien, Kanäle) in Rechenzentren in der EU. Bestimmte Dienste und Support-Zugriffe können jedoch Datentransfers in die USA auslösen. Microsoft bietet mit der EU Data Boundary Initiative zusätzliche Garantien für die Datenspeicherung in der EU.

Brauche ich einen AV-Vertrag für Microsoft Teams?

Ja, ein Auftragsverarbeitungsvertrag ist zwingend erforderlich. Microsoft stellt das Data Protection Addendum (DPA) bereit, das automatisch Teil der Lizenzvereinbarungen ist. Prüfen Sie, ob das DPA die Anforderungen des Art. 28 DSGVO erfüllt und dokumentieren Sie dies.

Dürfen Teams-Besprechungen aufgezeichnet werden?

Die Aufzeichnung von Teams-Besprechungen ist nur mit einer gültigen Rechtsgrundlage zulässig. In der Regel ist die Einwilligung aller Teilnehmer erforderlich. Alle Teilnehmer müssen vor Beginn der Aufzeichnung informiert werden. Arbeitgeber dürfen die Aufzeichnung nicht einseitig anordnen, wenn der Betriebsrat nicht zugestimmt hat.

Muss der Betriebsrat bei der Teams-Einführung beteiligt werden?

Ja, die Einführung von Microsoft Teams unterliegt der Mitbestimmung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG. Es empfiehlt sich der Abschluss einer Betriebsvereinbarung, die den Nutzungsumfang, den Datenschutz und das Verbot der Leistungsüberwachung regelt.

Welche Datenschutzeinstellungen sollte ich in Teams ändern?

Die wichtigsten Einstellungen sind: Diagnosedaten auf „Erforderlich“ reduzieren, externe Kommunikation einschränken, Aufzeichnung und Transkription kontrollieren, Aufbewahrungsrichtlinien definieren, Ende-zu-Ende-Verschlüsselung für vertrauliche Gespräche aktivieren und Gastzugriff auf das Notwendige beschränken.

Fazit: Teams Datenschutz richtig umsetzen

Microsoft Teams kann bei sorgfältiger Konfiguration und Beachtung der DSGVO-Anforderungen rechtskonform eingesetzt werden. Der Schlüssel liegt in der Kombination aus technischen Einstellungen, vertraglichen Regelungen (AV-Vertrag) und organisatorischen Maßnahmen (Schulung, Betriebsvereinbarung, Datenschutzerklärung). Unternehmen sollten die Datenschutz-Entwicklungen bei Microsoft kontinuierlich beobachten und ihre Konfiguration regelmäßig überprüfen.

DATUREX GmbH: Ihr Partner für Datenschutz bei Microsoft Teams

Als externer Datenschutzbeauftragter in Dresden unterstützt die DATUREX GmbH Unternehmen bei der datenschutzkonformen Einführung und Nutzung von Microsoft Teams. Wir helfen Ihnen bei der Konfiguration, der Erstellung von Betriebsvereinbarungen, der Durchführung von Datenschutz-Folgenabschätzungen und der Schulung Ihrer Mitarbeiter.

Erfahren Sie mehr über Datenschutz im Unternehmen oder kontaktieren Sie uns für eine unverbindliche Beratung.