Durch die immer weitere Verbreitung von Microsoft Teams – auch und gerade über Unternehmensgrenzen hinweg – arbeiten immer mehr Mitarbeiter von Firmen in gemeinsamen Teams zusammen.
Dieses erfolgt typischerweise über die Einladung eines Gastbenutzers in ein Team, wenn eine längerfristige Zusammenarbeit angestrebt wird oder zur Durchführung eines Online-Meetings, das oftmals nur einmalig durchgeführt wird, also eine temporäre Verarbeitung der Daten nach sich zieht. Es kommt aber doch zu einer langfristigen Verarbeitung der Daten, wenn Meetings aufgezeichnet werden, damit sie später noch abrufbar sin
In Artikel 13 und 14 der Datenschutzgrundverordnung werden die Informationspflichten zur Verarbeitung von personenbezogenen Daten gegenüber den Betroffenen geregelt. Wie kann ein verantwortliches Unternehmen diese Informationspflicht komfortabel umsetzen?
Folgenden Lösungsansatz nutze ich bei meinen Kunden, die Microsoft Teams einsetzen:
Wir erstellen „Datenschutzhinweise für Geschäftspartner“ – diese haben in Abgrenzung zu den allgemeinen Datenschutzhinweisen der Webseite – sehr detaillierte Informationen zur Verarbeitung der personenbezogenen Daten von Interessenten, Kunden, Lieferanten und Bewerbern. Natürlich werden alle relevanten Informationen aus Art 13 DSGVO erteilt. Für die Nutzung von Microsoft Teams gibt es aber einen speziellen Absatz, der in etwa folgendermaßen aussehen kann:
Bürokommunikation: Microsoft (Microsoft 365, Microsoft Teams)
Wir nutzen Microsoft 365 und Microsoft Teams, zur Durchführung unserer üblichen Bürokommunikation sowie für Telefonkonferenzen, Online-Meetings und/oder Videokonferenzen. Wenn wir Online-Meetings aufzeichnen, werden wir Ihnen das vor Beginn mitteilen und – soweit erforderlich – um eine mündliche Zustimmung bitten. Sollten Sie eine Aufzeichnung nicht wünschen, können Sie das Online-Meeting verlassen.
Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren.
Microsoft 365 und Microsoft Teams sind ein Service der Microsoft Ireland Operations, Ltd. Dafür haben wir einen Auftragsverarbeitungsvertrag mit dem Anbieter geschlossen.
Bei der Nutzung von „Microsoft Teams“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
- Angaben zum Benutzer: Anzeigename, E-Mail-Adresse, Profilbild (optional), Bevorzugte Sprache
- Meeting-Metadaten: z. B. Datum, Uhrzeit, Meeting-ID, Telefonnummer, Ort
- Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem Online-Meeting die Chatfunktion zu nutzen. In diesem Fall werden, die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen.
Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Microsoft Teams“-Applikationen abschalten bzw. stummstellen.
Sollte keine vertragliche Beziehung zu Ihnen bestehen, ist die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten Art. 6 Abs. 1 lit. f) DSGVO. Hier besteht unser Interesse an der effektiven Durchführung von Online-Meetings.
Diese Datenschutzhinweise für Geschäftspartner veröffentlichen wir auf einer versteckten Webseite des Internetauftritts (diese Seite erscheint nicht im Menü, ist nicht durch Google indexierbar und kann nur über den direkten Link aufgerufen werden).
Dieser Link wird in die allgemeine Signatur des E-Mail-Programms eingebunden. Somit kommen wir mit jeder versandten E-Mail den Informationspflichten gegenüber unseren Geschäftspartnern nach.
Aber wie können Einladungen in Teams und Online-Meetings ebenfalls um die Informationen ergänzt werden?
Da bietet Microsoft den Kunden zwei Stellen, die einen Verweis auf rechtliche Informationen ermöglichen.
Einladung eines Gastbenutzers
Wenn ein externer Benutzer in ein Team eingeladen wird, erhält er eine E-Mail, in der er die Aufnahme ins Azure Active Directory und Datenübermittlung an das einladende Unternehmen bestätigen kann. Ohne Konfiguration der Datenschutzerklärung wird kein Hinweis auf Art 13 DSGVO gemacht, der Eingeladene wird also nicht über die Verarbeitung seiner Daten informiert, obwohl das Unternehmen bereits seine E-Mail-Adresse verarbeitet:
Eine DSGVO-konforme Information lässt sich aber ganz einfach als Administrator des Azure Active Directory (AAD) einfügen.
Melden Sie sich im Portal an, gehen Sie in die Einstellungen Ihres Tenants und fügen Sie entsprechenden Feld den Link auf die Datenschutzhinweise für Geschäftspartner ein:
Schon enthält jede versandte Einladung einen Link auf die Pflichtinformationen nach Art 13 DSGVO.
Einladung zu einem Online-Meeting
Die gleichen Informationen können im Teams-Administrations-Center ebenfalls für alle Termineinladungen einfach eingetragen werden.
Die Einstellungen befinden sich unter dem Menüpunkt Besprechungen / Besprechungseinstellungen:
Tipp: Der Link auf die Datenschutzhinweise ist nicht sofort für jeden Empfänger erkennbar. Daher füge ich in der Fußzeile immer einen Hinweis ein, dass sich die DSGVO-Pflichtinformationen hinter dem Link „Rechtliche Hinweise“ befindet. Dann sieht jede Einladung zu einem Online-Meeting folgendermaßen aus:
Viel Spaß beim Umsetzen einer DSGVO-konformen Information nach Art 13 DSGVO von externen Teamsbenutzern in Microsoft Teams.
