LiveZilla Live Chat Software
 

FAQ – Microsoft TEAMS & der Datenschutz

Schlagwortverlinkungen: Videokonferenzen, Lokale Server, Privacy Shield, Cloud-Act, Datenverarbeitung durch Microsoft, E-Mail, Einverständniserklärung, DSGVO-konform, Verschlüsselung, Speichern in der Cloud, Hessen, Datenschutzaufsichtsbehörde

 

Videokonferenzen

»    Sind Videokonferenzen mit Microsoft TEAMS datenschutzkonform?

Ja, mit Microsoft TEAMS for Education. Hier sind individuelle Einstellungen möglich, die auf den EDU Bereich abgestimmt sind. Die Grenzwerte sind überragend. Siehe https://docs.microsoft.com/de-de/microsoftteams/limits-specifications-teams 

 

»    Muss der Mitschnitt von TEAMS-Videokonferenzen administrativ abgeschaltet werden, um DSGVO-konform zu arbeiten?

Wir empfehlen den Mitschnitt bzw. Aufnahmen in TEAMS global und damit für diverse Klassen Administrativ abzuschalten. Dennoch gibt es die Möglichkeit Aufnahmen individuell Lehrern zu gewähren, wenn es z.B. eine Lehrerveranstaltung gibt, bei der ausdrücklich von jedem Teilnehmer gewünscht ist, eine Aufnahme zu erhalten. Natürlich muss auch das Einverständnis der Teilnehmer vorliegen.

 

»    Darf ich in der Schule die Videokonferenzmöglichkeit nach der DSGVO verwenden? Uns würde gesagt, wir dürften nur BigBlueButon verwenden.

Ja, sie dürfen Microsoft Teams als Videokonferenzmöglichkeit nach DSGVO verwenden, wenn man den Mustervorlagen der „DSGVO-Handreichung“ gefolgt ist. BigBlueButon ist z.B. eine Empfehlung vom Bundesland Baden-Württemberg, dass allen Schulen vom Land BW kostenlos zur Verfügung gestellt wird. Hinweis: BigBlueButon ist eine Empfehlung des Landes und kein Muss.

 

Lokaler Server

»    Sind lokal betriebene Server die beste Lösung, um DSGVO-konform zu arbeiten?

Die technischen Schutzmaßnahmen müssen „dem aktuellen Stand der Technik“ entsprechen, was für lokal betriebene Server in kaum einer Bildungseinrichtung gewährleistet werden kann. Diese Forderung bedeutet eine vollkommene Abkehr vom bisherigen Prinzip „my home is my castle“, das in dem 30 Jahre alten Bundesdatenschutzgesetz vertreten wurde, weil es vor dem Internetzeitalter verfasst wurde.

Das Gesetz setzt sich erstmals mit den dramatisch wachsenden Gefahren durch technische Sicherheitslücken auseinander und verlangt den technisch bestmöglichen Schutz personenbezogener Daten in Abhängigkeit von den Nachteilen, die einer Person durch unbeabsichtigte Veröffentlichung entstehen können.

Im Kern anerkennt die DSGVO damit, dass angesichts der Entwicklung des Internets ein adäquater Datenschutz durch eine lokale Serverinfrastruktur in aller Regel nicht mehr erbracht werden kann. Nur sehr große, professionell betriebene und entsprechend ausgestattete Rechenzentren verfügen über die Mittel, den wachsenden Bedrohungen wirksame Schutzmaßnahmen entgegensetzen zu können.

Dies wiederholt in gewissem Sinne die Jahrzehnte alte Entwicklung in einem anderen Bereich: weg vom Kohle- oder Ölofen in jeder Wohnung hin zur heutigen Fernwärme. Niemand wird heute den dadurch erreichten Sicherheitsgewinn mehr bestreiten.

 

»    Welche Alternative gibt es zu lokalen Servern in der Schule? Nur eine Cloud? Wir haben eine Firma, die den Server verwaltet! Ist das dann zulässig? Der Server wird auch gebraucht, um Software zu zertifizieren!

Für die Auswahl von IT-Dienstleistern („Auftragsverarbeiter“) gelten in der DSGVO wesentlich strengere Maßstäbe und eine Bildungseinrichtung muss konkret nachweisen können, dass die Auswahl nach objektiven datenschutzrechtlichen Kriterien erfolgt ist, z. B. durch eine Zertifizierung des Anbieters. So sind z. B. die Microsoft EU Rechenzentren nach dem Datenschutz-Standard ISO 27018 zertifiziert. Artikel 28 (1) lautet: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt …“.

 

Privacy Shield, Cloud Act

»    Wie ist mit dem Wegfall der Privacy Shield umzugehen? Welche Auswirkungen hat das Schrems-II Urteil auf Teams?

Microsoft transferiert keine Nutzdaten außerhalb der EU, aber Anmeldedaten, damit Sie Ihre E-Mail z. B. auch in Japan lesen können. Es gibt mehrere Möglichkeiten, Datentransfers in die USA zu legitimieren, insbesondere EU-Standardvertragsklauseln, die nach dem Urteil des EUGH gültig bleiben. Die Standardvertragsklauseln sind fester Bestandteil des Auftragsverarbeitungs-Vertrags, den Microsoft anbietet und der sich über alle Office 365-Dienste erstreckt. Sie bieten einen wesentlich höheren Schutz als andere Verfahren, da sie auf einer Zertifizierung durch die EU beruhen. Hier finden Sie eine ausführliche Stellungnahme von Microsoft zum grenzüberschreitenden Datentransfer, die auf das EUGH Urteil eingeht.

 

»   Als amerikanisches Unternehmen unterliegt Microsoft dem Cloud Act vom 23. März 2018, welches den USA erlaubt, auf Daten amerikanischer Unternehmen zuzugreifen, auch wenn sie nicht in den USA liegen. Nachdem der europäische Gerichtshof das Privacy Shield Abkommen mit den USA aufgekündigt hat, wie will Microsoft da sicherstellen, dass keine Schüler*innendaten aus den deutschen Rechenzentren in die USA abfließen und dort für unbekannte Zwecke verwendet werden?

USA hat den sog. Cloud-Act beschlossen. Das ist ein Gesetz, welches das Recht eines Gerichts regelt, Daten im Rahmen eines Strafverfahrens z. B. von Microsoft oder einer anderen Firma in der Welt direkt zu erbitten statt über ein Rechtshilfeverfahren, das Jahre dauert und nicht mehr zeitgemäß ist. Es ist ausgelegt als bilaterales Abkommen und schon von einigen Ländern wie Großbritannien unterzeichnet worden. Es geht dabei um normale Gerichtsverfahren. In dem extrem unwahrscheinlichen Fall, dass ein Europäer in USA in ein Strafverfahren verwickelt ist und dieses Gericht von Microsoft Daten dieses Straftäters haben will, die noch dazu in der EU liegen, würde Microsoft (wie im Trustcenter ausführlich beschrieben) erstens den Angeklagten informieren und für ihn ggf. in seinem Auftrag Widerspruch einlegen. Aufgrund des Widerspruchs zu den EU-Gesetzen würde das Gericht auf diesem Wege kaum schneller an Daten kommen als über den alten Rechtshilfeweg. Mehr dazu finden Sie hier.

 

Datenverarbeitung 

»    Was verhindert, dass Microsoft Daten über die Teilnehmer sammelt, verwendet und auswertet?

Der Zugriff auf personenbezogene Daten durch Supportmitarbeiter außerhalb der EU kann grundsätzlich unterbunden werden (sog. Lockbox).

 

»    Da die Zustimmung zur Datenverarbeitung an Freiwilligkeit geknüpft ist, dürfte die Freiwilligkeit in Frage stehen, solange diese zur Teilnahme an unterrichtlichen notwendig ist. Was ist Ihr Standpunkt?

Fakt ist, dass Schulen einen gesetzlichen Lehrauftrag bekommen haben und Schüler eine gesetzliche Schulpflicht. Von Schulen werden technische Maßnahmen zur Verfügung gestellt, die das Unterrichten von zu Hause möglich machen. Gehen wir mal auf ein praktisches Beispiel ein, was Ihre Frage bedeuten kann: Ein Lehrer unterrichtet per TEAMS. Den meisten Schülern ist es möglich per TEAMS teilzunehmen. Einem Schüler aber nicht. Hier kann man z.B. die Möglichkeit anbieten sich per Telefon in den TEAMS Unterricht einzuwählen. Wie Teams DSGVO konform in den Schulen eingesetzt werden kann, können Sie auf folgender Website entnehmen: https://www.cotec.de/datenschutz-microsoft

 

»    Was macht Microsoft mit meinen Daten?

Das Microsoft Geschäftsmodell basiert nicht auf der Kommerzialisierung von Kundendaten. Microsoft wird Kundendaten niemals für Werbezwecke oder ähnliche kommerzielle Zwecke nutzen.

Grundlage des Vertragsverhältnisses zwischen der Bildungseinrichtung und Microsoft ist der Auftragsverarbeitungsvertrag Microsoft Online Services Terms, ergänzt durch den Anhang zu den Datenschutzbestimmungen für Onlinedienste, der auch die Standardvertragsklauseln als Vertragsbestandteil enthält.

Diese Verträge wurden erst kürzlich deutlich erweitert, um alle Vorschläge des niederländischen Ministeriums für Recht und Sicherheit (Dutch MoJ) zu berücksichtigen. Dieses Ministerium hat sich als ein einzige Datenschutzbehörde in Europa mit den AV-Verträgen von Microsoft genauestens auseinandergesetzt und die nun vollzogenen Änderungen erwirkt, um eine vollständige Konformität mit der DSGVO sicherzustellen.

Microsoft ermöglicht dem Nutzer von Office 365 eine Ende-zu-Ende Verschlüsselung (Azure Information Protection)

Die Daten in den EU-Rechenzentren sind in mehreren Ebenen verschlüsselt.

Die Nutzerdaten bleiben immer in der EU gespeichert und verlassen die EU nicht.

Der Datentransfer zu Office 365 ist verbindungstechnisch verschlüsselt und zusätzlich innerhalb und zwischen den Rechenzentren verschlüsselt.

Sie können über diesen Link klare Informationen erhalten, wo sich Ihre Daten befinden, wer Zugang zu diesen Daten hat, wie Microsoft diese Daten schützt und welche Zertifizierungen Microsoft erfüllt.

Diagnosedaten werden nicht für Werbung, Profilbildung oder Nutzer-Tracking eingesetzt. Mit dem kostenlosen Diagnosedatenanzeiger steht eine App zur Verfügung, mit der die gesammelten und übermittelten Diagnosedaten von Windows 10 und Office 365 analysiert und kontrolliert werden können, so dass die Konfiguration durch den Administrator der Bildungseinrichtung, den zuständigen Datenschutzbeauftragten oder die Aufsichtsbehörde auch verifiziert werden kann. Dies ist vor kurzem für Windows 10 Education (Seite 22 dieses Links) von der bayerischen Datenschutzbehörde bestätigt worden.

 

»    Sammelt Microsoft Telemetriedaten, ohne den Nutzer zu informieren?

Alle großen Software-Anbieter übertragen bei der Nutzung ihrer Software anonymisierte Daten an den Hersteller. Dies hat zwei Gründe. Grund Nr. 1 ist Funktionskontrolle und mögliche Verbesserung: funktionieren die Dienste wie beabsichtigt? Sind sie gut nutzbar? Wo treten Probleme auf? Grund Nr. 2 ist die Analyse der Hardware, Treiber, Software-Versionen usw., um Sicherheitsschwächen beheben und Aktualisierungen vorzunehmen zu können. Diagnosedaten werden von Microsoft nicht für Werbung, Profilbildung oder Nutzer-Tracking eingesetzt. Microsoft dokumentiert auf seinen öffentlichen Webseiten im Detail, welche Daten aus Windows, Office, dem Edge-Browser und weiteren Diensten zu Microsoft übertragen werden: Browserdaten, Office Daten, Office Einstellungen, Windows 10 Daten, Windows 10 Einstellungen.

Darüber hinaus gibt es den kostenlosen Diagnosedatenanzeiger, mit der Sie als Anwender alle Diagnosedaten, die in Windows 10 und Office 365 gesammelt werden, analysieren und kontrollieren können. Dies ist vor kurzem für Windows 10 Education von der bayerischen Datenschutzbehörde bestätigt worden. Viele Telemetriedaten sind notwendig, damit Microsoft den entsprechenden Softwareliefervertrag erfüllen kann. Dafür ist nach DSGVO keine Einwilligung erforderlich, sondern nur eine Information darüber, wie in den obigen Links angeführt. Trotzdem gibt es immer wieder Diskussionen über die Legitimität der Telemetriedaten. So hat der Heise-Verlag vor einigen Monaten eine entsprechende Beschwerde der niederländischen Datenschutzbehörde zum Datenschutz-GAU hochstilisiert, obwohl die niederländische Behörde kurze Zeit später aufgrund der Anpassungen von Microsoft eine sehr positive Bilanz und Empfehlung für Microsoft 365 Apps und Windows 10 ausgesprochen hat. Diese Prozesse erfordern immer einen Kompromiss zwischen Transparenz und Wahlmöglichkeiten einerseits und praktischer Benutzbarkeit und Sicherheit der Software andererseits und werden daher auch immer Anpassungen erfordern.

Man findet in diesem Zusammenhang immer wieder Vorschläge, beispielsweise das "Customer Experience Improvement Program in den Microsoft 365 Apps" zu deaktivieren. Die anerkannte Qualität von Microsoft Office beruht aber ganz zentral auf den vielen Rückmeldungen und Vorschlägen der weltweiten Benutzer. Wir raten ausdrücklich davon ab, solchen Empfehlungen zu folgen. Es wäre sehr bedauerlich, wenn sich der europäische Konsument dadurch zum stimmlosen und unmündigen Nutzer degradieren ließe oder, weit schlimmer, unwissentlich sicherheitsrelevante Eigenschaften abschaltet.

 

E-Mail & Datenschutz

»    Ist der Austausch von personenbezogenen Daten z.B. von Noten über die Office-Email Adresse zwischen Lehrer und Schüler DSGVO konform?

Ja, wenn Sie richtig EDU Lizenziert sind.

 

»    Darf Outlook Exchange für dienstliche Emails (in Bayern) verwendet werden?

Ja, wenn es sich um eine EDU oder Business Lizenz handelt.

 

Einverständniserklärung

»    Sind Einverständniserklärungen von Schülern nach DSGVO notwendig?

Ja. Sehen Sie sich dazu folgende Muster an.

 

Office 365 datenschutzkonform einsetzen

»    Dürfen Bildungseinrichtungen Office 365 dienstlich und für den Unterricht einsetzen?

Grundsätzlich dürfen Bildungseinrichtungen die Unternehmens-Plattform Microsoft Office 365 einsetzen, wenn sie dabei die Datenschutzgrundverordnung einhalten. Es ist wichtig zu verstehen, dass die Datenschutzverantwortung bei jedem IT-Dienst, den die Bildungseinrichtung einsetzt, zur Gänze bei der Bildungseinrichtung liegt, nicht bei Microsoft. Bildlich gesprochen bietet Microsoft ein Fahrzeug an, das nach StVO alle Vorschriften erfüllt und zugelassen ist, aber der Fahrer ist die Bildungseinrichtung. Sie muss festlegen, warum welche personenbezogenen Daten verarbeitet und gespeichert werden, wie lange sie gespeichert bleiben und wer Zugriff auf die Daten hat.

 

» Wären Klarnamen von Lehrer und Schülern in Office365 noch DSGVO-konform oder müssen diese unbedingt anonymisiert werden?

Klarnamen sind zulässig, sofern Sie die Verarbeitung der Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen und durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen nicht beeinträchtigt wird.

 

»    Nach welchen datenschutzrechtlichen Grundlagen dürfen Bildungseinrichtungen Office 365 einsetzen?

Die Bildungseinrichtung (oder der Schulträger) schließt einen Auftragsverarbeitungsvertrag, ergänzt durch den Anhang zu den Datenschutzbestimmungen für Onlinedienste, mit Microsoft Irland gemäß DSGVO ab, der die EU-Standardvertragsklauseln enthält. Diese werden von auch allen Subunternehmen auferlegt. Damit ist Microsoft Irland gleichgestellt mit EU-Anbietern. Die Speicherung der Nutzdaten erfolgt nur innerhalb der EU und die Daten verlassen die EU nicht. Microsoft Rechenzentren werden laufend nach strengsten internationalen Standards zertifiziert, sowohl nach ISO 27001, 27002, als auch nach dem Datenschutzstandard ISO 27018. Alle Nutzdaten sind server- und verbindungsseitig verschlüsselt. Die gespeicherten Daten können zusätzlich mit einem eigenen Zertifikat verschlüsselt werden (Azure Information Protection). Für die Inhalte ist der Auftraggeber selbst verantwortlich. Eine ausführliche Darlegung der datenschutzrechtlichen Grundlagen bzgl. des Einsatzes von Office 365 finden in der Handreichung der DSGVO.

Verwechseln Sie bitte niemals die Firmen- und Organisations-Cloud Office 365 mit den Privatkundenangeboten von Microsoft. Letztere sind nicht geeignet für den Einsatz in einer Bildungseinrichtung.

 

»    Sind alle Office 365 bzw. Microsoft Lizenzen av-konform?

Alle Business und Education Produkte sind DSGVO-konform.

 

»    Bietet die A1-Lizenz alle erforderlichen Standards für DSGVO-Konformität?

Ja, wenn einem die darin enthaltenen Dienste reichen und man den Mustervorlagen der „DSGVO-Handreichung“ gefolgt ist. Siehe: https://www.cotec.de/media/pdf/6e/31/a7/DSGVO_Handreichung.pdf

 

Verschlüsselung

»    Betrifft die Notwendigkeit der Verschlüsselung den "reinen" Unterrichtsbetrieb, also z.B. die gemeinsame Erstellung von Unterrichtsinhalten?

Mit Microsoft Azure Information Protection decken Sie so vieles ab:

  • Komfortable und einfache Ein-Klick-Verschlüsselung
  • Begrenzt den Zugriff von E-Mails und Dateien auf vorab definierte Benutzergruppen in Ihrer Office 365 Instanz
  • Ermöglicht sichere Bearbeitung dienstlicher Dokumente von zu Hause
  • Alle E-Mails und Dokumente können damit durch ein 2048-bit Zertifikat (RSA 2048 + SHA 256) geschützt werden. Dieses kann automatisch erzeugt werden und vorab bereitgestellt werden ("Bring Your Own Key")
  • Sie behalten stets die Kontrolle über nach außen gegebenen Dokumenten
  • Verfügbar auch auf mobilen Geräten
  • Zusammen mit der Multi-Faktor-Anmeldung an Office 365 hoch wirksamer Schutz gegen Daten- und Identitätsdiebstahl.

 

»    Gilt die 2-Faktor-Autorisierung auch für die A1-Lizenz?

Nein. Die A1 beinhaltet aber die Self-Service Kennwortzurücksetzung. Wer MFA als zusätzliches Sicherheitsfeature wünscht, dem empfehlen wir die Microsoft 365 A3 Version. Es gibt auch andere Artikel, die diesen Dienst beinhalten. Siehe https://docs.microsoft.com/de-de/azure/active-directory/authentication/concept-mfa-licensing

 

»    Können Systembetreuer, welche die Verwaltung der Microsoftkonten der Schule betreuen auf die Daten der Kollegen zugreifen?

Mit Microsoft 365 A3 Lizenz kann die Identität der Person durch Mehrfaktor-Anmeldung gesichert werden.

 

Cloud 

»    Darf ich meine Daten in der „Cloud“ speichern?

Daten in Office 365 können durchgängig Ende-zu-Ende verschlüsselt gespeichert werden (Azure Information Protection) und der Zugriff kann auf einfache Art und Weise nur berechtigten Personen der Bildungseinrichtung ermöglicht werden. Damit sind die Daten in Office 365 wesentlich besser geschützt als auf lokalen Servern. In der DSGVO kommt es nicht auf den Speicherort an, sondern nur darauf, dass personenbezogene Daten nachweislich nach Stand der Technik geschützt werden. Es ist daher nicht verwunderlich, dass auch die Bundesregierung Office 365 für die Datenspeicherung einsetzt.

 

Weiteres

»    Ist Office 365 für hessische Schulen verboten?

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat in einer Stellungnahme Juli 2019 die Nutzung von Office 365 für hessische Schulen verboten, ohne sachgerechte Gründe anzuführen. Nachdem diese Stellungnahme sehr viel Aufmerksamkeit erregt hat, musste er eingestehen, weder mit den technischen und sachlichen Details von Office 365 noch mit Windows 10 vertraut zu sein. In einer korrigierten Stellungnahme im August 2019 duldet er nun die Nutzung von Office 365, nachdem Gespräche mit Microsoft "einen erheblichen Anteil der Bedenken entkräfteten".

 

»    Was bedeutet die neue Stellungnahme vom 20.11.2020? Sind das die bedeutenden Verbesserungen, die Datenschutzaufsichtsbehörden gefordert haben?

 

»    Muss ich im Azure Active Directory den "Nutzungsspeicherort" dezidiert für jeden Benutzer auf "Germany" einstellen, um die Speicherung der Daten in Deutschland zu gewährleisten?

Ja, wenn Sie manuell vorgehen. Sie können das aber auch durch Skripte oder Vorlagen durch einen bequemen Massenimport durchführen.

 

 

 

 

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.

Passende Artikel
co.Tec Cloud-Services - Microsoft Office 365 A1 Einrichtung
co.Tec Cloud-Services - Microsoft Office 365 A1...

Wir richten Ihnen Ihren EDU Tenant (Tenant = Office 365 Admin Konsole) ein, buchen die Microsoft Office 365 A1 Lizenzen ein und legen Benutzerkonten für Sie an. Mit einer Kurzschulung über die Adminkonsole machen wir Sie fit für das Arbeiten im Tenant.

1.499,00 €
co.Tec Cloud-Services - Microsoft TEAMS Einrichtung
co.Tec Cloud-Services - Microsoft TEAMS...

Sie möchten einen DSGVO konformen Ersatz z.B. von WhatsApp. Microsoft Teams ist ein digitaler Knotenpunkt, der Austausch, Inhalte, zugewiesene Aufgaben und Apps an einem Ort vereint. Lerngemeinschaften und Kommunikation mit Kollegen werden einfach. coTec richtet das für Sie ein.

1.299,00 €
co.Tec Cloud-Services - Microsoft Multi-Tenanteinrichtung
co.Tec Cloud-Services - Microsoft...

Die co.Tec Cloud-Services: Wir rüsten Sie für den Einstieg & das Arbeiten in der Microsoft 365 Tenant Welt kompetent aus.

49,90 €
co.Tec Cloud-Services - Microsoft Office 365 Benutzer Im- und Export
co.Tec Cloud-Services - Microsoft Office 365...

Wir importieren Ihnen alle Schüler und Lehrer/Mitarbeiter Benutzerkonten in Ihre Microsoft 365 Tenant Adminkonsole inkl. Lizenzzuweisung und Passwortvergabe. Auch unterjährige Benutzer- und Lizenzanpassungen sind inbegriffen.


999,00 €
co.Tec Cloud-Services - Microsoft Office 365 Kompletteinrichtung
co.Tec Cloud-Services - Microsoft Office 365...
Grundlage für die komplette Einrichtung ist ein Microsoft FWU-Vertrag oder eine schulweite Lizenzierung von Microsoft/Office 365.
Es handelt sich hierbei um eine Kompletteinrichtung auf einen vorhandenen „schuldomäne.onmicrosoft.com Tenant für alle Lehrer, Schüler und alle genehmigten Administratoren in einer NEUEN Domäne ohne Migration mit Vollzuordnung der A1* und ggf. ProPlus Dienste (oder höher).

1.999,00 €