In den letzten Tagen und Wochen wurde viel über die datenschutzrechtlichen Probleme und Einstellungen in Microsoft Teams, Zoom & Co. diskutiert, die ich hier nicht weiter ausführen möchte. Das haben die Medien ausreichend erledigt.
Ich habe gestern mit meinem Datenschutzkollegen Andreas Bethke über die aktuell möglichen Lösungsansätze zur Durchführung von Onlinemeetings gesprochen. Dabei kam natürlich auch die Frage nach Microsoft Teams auf, die ich hier etwas ausführlicher betrachten möchte.
Nutzung von Microsoft Teams aus Sicht des Datenschutzes
Die Nutzung von Microsoft Teams muss detaillierter betrachtet werden, um eine datenschutzrechtliche Einordnung zu treffen.
Microsoft Teams nutzt diverse Dienste innerhalb der Microsoft Cloud-Infrastruktur zur Speicherung der unterschiedlichen Informationsobjekte.
Die Speicherung von Chats, Kanalnachrichten und den Teams-Strukturen erfolgt technisch in Azure. Voicemails und Kontakte in Exchange Online. Die Bilder werden in einem Azure-basierten Mediendienst gespeichert und die in Microsoft Teams abgelegten Dateien werden in OneDrive for Business (Dateien in privaten Chats) oder SharePoint Online (Dateien in Teams) gespeichert.
Optional kann die Aufzeichnung von Onlinemeetings erfolgen. Die aufgezeichneten Meetings werden in Microsoft Stream, der Microsoft-eigenen Videoplattform innerhalb von Microsoft 365, gespeichert.
Es ist wichtig zu wissen wo die Rechenzentren für Azure, Exchange Online, SharePoint und OneDrive sowie Stream räumlich angesiedelt sind. Diese stehen für europäische Kunden in Dublin (Irland) und Amsterdam (Niederlande) und seit November 2019 auch in Frankfurt und Berlin (Deutschland). Jeder Neukunde kann folglich auswählen, dass seine Daten in Deutschland gespeichert werden, wenn er einen neuen Tenant (Mandant, Mietbereich) anlegt. Bestehende Kunden, die schon länger Microsoft-Dienste nutzen, können ihren Tenant zur Migration nach Deutschland kennzeichnen. Dann wird Microsoft die Migration für Sie übernehmen.
Zusammenfassend betrachtet stehen somit alle Dienste, die für die Speicherung der Teams-relevanten Daten zuständig sind, in Europa, und somit im Geltungsbereich der DSGVO. Es erfolgt keine Übermittlung von Kundendaten in die USA.
Einzige Ausnahme bildet hier der Service „B2B“ – hierbei handelt es sich um ein zentrales Verzeichnis, in dem z. B. externe Gäste ihres Tenants eingetragen werden. Dieses B2B-Verzeichnis wird zusätzlich in die USA repliziert. Bei den übermittelten Informationen handelt es sich um Minimalinformationen wie z. B. Name und Anmeldeadresse (meistens die geschäftliche E-Mailadresse).
Ein wichtiger Sicherheitsaspekt ist, dass über 100 Rechenzentren von Microsoft C5-zertifiziert sind (eine Zertifizierung für Cloud Service-Provider vom Bundesamt für Sicherheit in der Informationstechnik).
Diese garantiert die Sicherheit der Kundendaten in den europäischen Rechenzentren.
Nutzung von Microsoft Teams aus Sicht von Informationsschutz
Häufig höre ich von Kunden die Frage: „Werden die Daten in Microsoft Teams eigentlich verschlüsselt gespeichert?“.
Natürlich werden alle Daten bei Transport und Speicherung verschlüsselt. Der notwendige Schlüssel, der zur Verschlüsselung genutzt wird, wird von Microsoft generiert und dem Kundenaccount (Tenant, Mandant) zugeordnet.
Falls Kunden, diesem von Microsoft generierten Schlüssel nicht vertrauen, besteht in einigen Lizenztypen die Möglichkeit von „Bring your own Key“ (BYOK). So kann der Kunde seinen eigenen Schlüssel generieren, der dann zur Verschlüsselung bei Transport und Speicherung verwendet wird. Dieser eigene Schlüssel wird zu diesem Zweck auf den Microsoft-Servern gespeichert. Falls es Kunden gibt, die auch diesem Verfahren nicht trauen, weil Microsoft den Schlüssel evtl. auslesen könnte, gibt es eine dritte Variante. Die dritte Möglichkeit besteht in der Nutzung von „Hold your own Key“ (HYOK. Hierbei wird der Schlüssel in einer kundeneigenen PKI-Infrastruktur gespeichert und nicht auf Cloud-Servern von Microsoft
(EDIT(10.12.2021): seit 2020 ist Verwendung von HYOK nicht mehr möglich und wurde durch die Double Key Encryption ersetzt).
Dadurch, dass Microsoft seine Daten innerhalb der Microsoft-Infrastruktur speichert, werden auch alle Schutzmaßnahmen, die in Microsoft 365 zur Verfügung stehen, auf die Teams-Inhalte angewendet.
Zum einen handelt es sich hierbei um Maßnahmen zur Erhöhung der IT-Sicherheit, z. B. durch Nutzung der Office ATP-Funktionen. Eine der Funktionen ist SafeLinks. Durch SafeLinks werden alle Hyperlinks auf eine Webseite vor dem Klicken geprüft, ob sie auf eine schadhafte Webseite verweisen (auch in Microsoft Teams, z. B. in Kanalnachrichten und Chats) und der Zugriff auf die Webseite ggf. für den Benutzer gesperrt. Zum anderen wird durch SafeAttachments sichergestellt, dass keine Dateien mit schadhaften Inhalten aufgerufen werden können. Sollte doch eine Datei mit Malware versehentlich in Microsoft Teams vorliegen, erfolgt vor dem Öffnen oder Herunterladen der Datei eine Prüfung auf schadhafte Inhalte und der Download wird ggf. unterbunden.
Außerdem bietet Microsoft ein umfangreiches Portfolio an Lösungen, die dem Informationsschutz dienen. Hierbei handelt es sich z. B. um Data Loss Prevention oder Microsoft Information Protection, das auf Basis einer Dokumentenklassifizierung unterschiedliche Schutzmaßnahmen ermöglicht. Aber auch viele branchenspezifische und unternehmenseigene Complianceanforderungen lassen sich mit dem Insider Risk Management oder der Communication Compliance abbilden.
Zu guter Letzt sei noch ein Blick auf die Kosten geworfen. Leider sind Kunden oftmals nicht bereit teurere Lizenzen zu verwenden. Daher sollten Kunden im Rahmen einer Risikoanalyse den Schutzbedarf ihrer Daten ermitteln und eine Kosten- / Nutzenrechnung aufstellen. Wenn Sie einen hohen Schutzbedarf haben, dann rechnen sich auch etwas teurere Lizenzen sofort. Bei einem geringeren Schutzbedarf sind natürlich auch günstigere Lizenzen ein probates Mittel.