In Zeiten, in denen kaum ein Weg an Homeoffice und Homeschooling vorbeiführt, sind Systeme zur virtuellen Kommunikation unabdingbar. Zoom, Teams und Co. erlebten über die letzten 1-2 Jahre einen riesigen Boom, mochten die Datenschützer noch so laut ihre Bedenken äußern. Ein Verbot der betreffenden, anscheinend nicht DSGVO konformen Systeme für staatliche Schulen steht nach wie vor im Raum, jedoch wurde sich meist darauf geeinigt, den Betrieb dieser Systeme mangels wirklich praktikabler Alternativen zunächst noch zu tolerieren.

Aber wo genau liegen die Probleme z.B. bei einem System wie Microsoft Teams?

Um welche Daten geht es?

Neben den Profildaten, die jeder Nutzer Microsoft selbst bekanntgibt, wie Name, Mailadresse, Telefonnummer oder auch einem Profilbild, speichert Microsoft Teams natürlich auch die Daten aus Chats und solche, die der Anwender für die eigene oder gemeinsame Nutzung im Team abspeichert. Daneben erstellt Microsoft auch Nutzungsanalysen, für die ebenfalls persönliche Daten gespeichert werden. Das betrifft beispielsweise das Anrufverhalten, Daten zur Anrufqualität, Diagnosedaten und weitere Daten über die Nutzung interner Dienste.

Wo werden meine Daten gespeichert?

Gerade wenn man Microsoft Teams im Rahmen eines Microsoft 365 Abonnements nutzt, sind die logischen Speicherorte oft recht unterschiedlich. Manches landet in OneDrive, manches auch in Sharepoint. Physikalisch gesehen verspricht Microsoft jedoch, zumindest im Unternehmens- und Behördenumfeld, die anfallenden Daten in der jeweiligen Region bzw. sogar im eigenen Land zu speichern und zu verarbeiten.

Um eine möglichst hohe Verfügbarkeit gewährleisten zu können, werden Daten von Microsoft redundant in zwei verschiedenen Rechenzentren gespeichert.

1.               Vertragliche Probleme

Viele Datenschützer, unter anderem auch die Berliner Aufsichtsbehörde [1], machen vieles an Textpassagen und Formulierungen des sogenannten Auftragsverarbeitungsvertrages fest. Microsoft behält sich hier die Verarbeitung von Auftragsdaten zu eigenen Zwecken vor, präzisiert diese auch und schließt auch einige Nutzungsarten ausdrücklich aus (z.B. Werbezwecke). Im Detail bleiben natürlich dennoch Räume für Interpretationen und datenschutzrechtliche Unklarheiten.

Ärgerlich ist allerdings auch, wenn Microsoft, ohne darüber zu informieren, Änderungen am Auftragsverarbeitungsvertrag vornimmt. Laut einigen Datenschützern ist nicht immer klar welche Klausel in welchem Text nun wirklich gültig ist.

Die Verwendung personenbezogener Daten

Wie erwähnt benennt Microsoft in seinem Auftragsverarbeitungsvertrag (AV-Vertrag) durchaus, zu welchen „eigenen Zwecken“ personenbezogene Daten verarbeitet werden. Allerdings ist zu bedenken, dass neben den Daten, die der Anwender selbst preisgibt, auch Nutzerdaten, wie Diagnosedaten, Daten zum Nutzungsverhalten oder Telemetriedaten gesammelt werden.

Hierfür bietet der AV-Vertrag aber keine ausreichende Rechtsgrundlage. Dies ist zumindest die Auffassung der Datenschutzkonferenz des Bundes und der Länder Ende 2020. Eine andere Rechtsgrundlage liegt aber nicht vor, gerade im sensiblen Behördenumfeld kann das problematisch werden.

Für involvierte Unterauftragnehmer gibt es in den Verträgen eine pauschale Zustimmungsregelung. Diese wird von Datenschützern oft als unzureichend bewertet, da es keine Übersicht der aktuell genehmigten Dienstleister gäbe und diese im Übrigen auch Veränderungen unterworfen sei.

Problematisch ist auch zu bewerten, dass Microsoft zwar vertraglich zusagt, Daten von Behörden und Unternehmen innerhalb der EU verarbeitet und gespeichert werden, US-Behörden jedoch gemäß dem CLOUD-Act das Recht haben, von US-Firmen die Herausgabe von Daten zu verlangen. Hier liegt sicher ein nicht auflösbarer Zielkonflikt vor.

2.               Technische Probleme

In den Rechenzentren sind die Daten durch mehr als eine Verschlüsselungsform geschützt abgelegt, wobei Microsoft insbesondere auf die eigenen Lösungen Bitlocker und Distributed Key Manager (DKM) setzt. Die durch Bitlocker geschützten Daten sind dabei mit einem oder mehreren AES265-Keys verschlüsselt. Die clientseitige DKM-Funktion verwendet eine ganze Reihe geheimer Schlüssel, wobei nur Mitglieder einer bestimmten Sicherheitsgruppe Zugriff auf die einzelnen Schlüssel haben. Daneben werden auch noch Kunden- und Service-Keys verwendet, die voneinander getrennt an unterschiedlichen Speicherorten abgelegt sind.

Zusätzlich gibt es noch sogenannte Verfügbarkeitsschlüssel, welche eine Wiederherstellung möglich machen, selbst wenn man die Kontrolle über den eigenen Stammschlüssel verloren hat. Zugriff auf diesen Schlüssel hat beispielsweise das Supportteam von Microsoft, welches damit natürlich auch Zugriff auf alle Daten hat.

Abseits der gespeicherten Daten ist die Datenübertragung leider nicht Ende-zu-Ende verschlüsselt, stattdessen wird „nur“ eine Transportverschlüsselung (innerhalb der Tunnel-Endpunkte) verwendet, was sie anfällig macht für Man-in-the-Middle-Attacken. Die hierfür bisher genutzten TLS Versionen 1.0 und 1.1 wurden ab Anfang Januar 2022 durch Version 1.2 ersetzt [3]. Die Umstellung auf eine Ende-zu-Ende-Verschlüsselung ist sein Mitte 2020 angekündigt [4], bisher aber nicht umgesetzt Interessanterweise ist die fehlende Ende-zu-Ende-Verschlüsselung jedoch nicht der Grund, warum Teams von Datenschützern kritisiert wird, da z.B. die von ihnen als DSGVO-konform empfohlene Open-Source-Software BigBlueButton ebenfalls keine Ende-zu-Ende-Verschlüsselung besitzt.

Fazit

Eine generelle Empfehlung, für oder gegen MS Teams für die geschäftliche Nutzung ist, wie man im Beitrag gesehen hat, nicht möglich.

Es gilt vielmehr die einzelnen datenschutzrechtlichen und technischen Themen einer individuellen Bewertung zu unterziehen und dann eine Entscheidung zu treffen, ob man die Risiken, die sich aus dem eigenen Nutzungsprofil ergeben, tragen möchte.

Es gilt also, die hier nochmals zusammengefassten Risikothemen abzuwägen:

  • Speicherorte der Daten wenig transparent
  • Unschärfe bezüglich Gültigkeit einzelner Klauseln und Vertragstexte, bedingt durch unangekündigte Änderungen und Verweise auf Anlagen zum Vertrag.
  • Pauschale Zustimmung zu involvierten Dienstleistern.
  • Eingeschränkte Transparenz bezüglich aktueller zugelassener Dienstleister.
  • Unklare Rechtsgrundlage für Verarbeitung personenbezogener Daten zu eigenen Zwecken.
  • Zielkonflikt zwischen vertraglicher Zusicherung, dass alle Daten innerhalb der EU verbleiben und Cloud-Act Verpflichtung gegenüber US-Behörden.
  • Keine Ende zu Ende Verschlüsselung.
  • Nutzung TLS Version 1.2 ab 2022 bringt mehr Sicherheit, kann jedoch zu Kompatibilitätsproblemen führen.

Letztlich muss jeder Verantwortliche die Risiken, die ein Einsatz von Teams im eigenen Umfeld in sich birgt, bewerten und entscheiden, welche dieser Risiken tragbar sind. Das Ergebnis kann dabei durchaus unterschiedlich ausfallen.

Quellen

[1] Einschätzung der Berliner Aufsichtsbehörde:

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Empfehlungen_Videokonferenzsysteme.pdf

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

Stellungnahme von Microsoft:

https://news.microsoft.com/de-de/stellungnahme-zum-vermerk-berliner-datenschutzbeauftragte-zur-durchfuehrung-von-videokonferenzen-waehrend-der-kontaktbeschraenkungen/

https://www.microsoft.com/de-de/berlin/artikel/einsatz-von-microsoft-teams-im-bildungsbereich.aspx

[2] Pressemitteilung der DSK:

https://www.datenschutzkonferenz-online.de/media/pm/20201113_pm_oh_videokonferenzsysteme.pdf

[3] Microsoft Deaktivierung von TLS 1.0 und 1.1

https://docs.microsoft.com/de-de/lifecycle/announcements/transport-layer-security-1x-disablement

[4] Microsoft Ankündigung Ende-zu-Ende-Verschlüsselung in Teams:

https://news.microsoft.com/de-de/im-daten-dschungel-ende-zu-ende-verschluesselung-in-microsoft-teams/

https://techcommunity.microsoft.com/t5/microsoft-teams-blog/use-end-to-end-encryption-for-one-to-one-microsoft-teams-calls/ba-p/2867066