Datenschutz bei Microsoft 365 – Teil 3: Microsoft Teams

Was ist Microsoft Teams?

Microsoft Teams (kurz „Teams“) ist das zentrale Kollaborations-System in Microsoft 365 zur Zusammenarbeit mit Kollegen und auch externen Dritten. Unter Teams sind Funktionen wie persönliche und Gruppen-Chats, Informationskanäle, Audio- und Videokonferenzen, Telefonanrufe oder auch das Teilen von Daten und Dateien und dessen gemeinsame Bearbeitung zusammengefasst. Besonders die Vielzahl an Möglichkeiten zur Verarbeitung personenbezogener Daten, kann eine Herausforderung für den Datenschutz darstellen.

Früher war Skype for Business das zentrale Tool für Chat, Telefonie und Videokonferenzen. Skype for Business endet jedoch zum 31. Juli 2021 und geht in Teams auf. Altkunden können Skype und Teams für die Umstellung parallel betreiben. Neukunden erhalten Skype nicht mehr.

Welche Datenschutzrisiken bestehen beim Einsatz von Microsoft Teams?

Wie bei allen Tools, ist die Verwendung und der Zweck der Datenverarbeitung ausschlaggebend für die Einschätzung der Datenschutzrisiken. Insbesondere folgende Risiken sind bei einem Einsatz zu betrachten:

  • Teams ist sowohl auf interne, wie auch auf externe Kommunikation ausgelegt. Um die Rechtmäßigkeit feststellen zu können, ist es erforderlich die konkreten Anwendungsfälle, potenzielle Kommunikationspartner und den Schutzbedarf der dabei verwenden Informationen zu übermitteln und zu bewerten.
  • Teams ist nicht vollständig Ende zu Ende verschlüsselt. Zwar werden bei Audio und Video-Anrufen Kommunikationsverbindungen zwischen den Beteiligten direkt aufgebaut und verschlüsselt, jedoch erfolgt die Verwaltung und die Generierung der zentralen Schlüssel durch die Teams-Server. Ein Restrisiko bleibt damit bestehen, dass Personen, die Zugang zu den Servern haben, auch Zugang zu den Konferenzen erhalten könnten.
  • Wie in jeder Kommunikation macht der Ton die Musik. Diskriminierung oder Mobbing in Konferenzen oder Chats sind ebenso möglich. Auch besteht die Gefahr einer Aufzeichnung von Konferenzen ohne Zustimmung.
  • Teams lässt sich durch unterschiedlichste Add-ons erweitern. Auch hierdurch können Daten an unbefugte Dritte übermittelt oder unzulässig verarbeitet werden.
  • Teams besitzt keine Möglichkeit, separate Zugangskennwörter für Konferenzen zu vergeben. Damit besteht die Möglichkeit, dass sich fremde Personen, die Zugang zu den Einladungslinks erhalten, ebenfalls auf eine Konferenz aufschalten können.
  • In Teams wird über die Free/Busy-Funktion die Erreichbarkeit eines Anwenders angezeigt. Unzulässige Verhaltens- und Leistungskontrollen sind damit möglich.

Hilfreiche organisatorische Regelungen für Microsoft Teams

  • Für Beschäftigte sollten klare Nutzungs- und Verhaltensvorgaben erstellt werden, um den Umgang mit Microsoft Teams zu regeln:
    • Festlegung wie Teams verwendet werden soll, welche Daten hierüber geteilt werden dürfen und in welchen Fällen Video- und Audiokonferenzen stattfinden dürfen.
    • Vorgaben zur Einladung und Zusammenarbeit mit externen Teilnehmern sowie zur Identifikation externer Teilnehmer treffen.
    • Wer darf wann Konferenzen aufzeichnen? Welche Bedingungen sind hierzu einzuhalten (z.B. Einwilligung, Informationspflichten etc.) und wie ist mit diesen Aufzeichnungen umzugehen?
    • Verhaltensregeln für die Verwendung von persönlichen und Gruppenchats.
    • Regeln zum Teilen von Informationen.
  • Besteht ein fester Kreis an externen Teilnehmern, die regelmäßig Teams nutzen sollen (z. B. Klienten, Schüler, Webinar-Teilnehmer etc.), empfiehlt es sich auch hier, Nutzungsbedingungen aufzustellen und die Teilnehmer zu sensibilisieren und gegebenenfalls zum Einsatz von Teams zu schulen. Zu empfehlen ist bspw.:
    • Verhaltensregeln bei Audio- und Videokonferenzen aufzustellen
    • Verhaltensregeln für Chats aufzustellen
    • das Aufzeichnen mittels Fremdgeräte (Abfilmen des PCs mit dem Handy) oder mittels Bildschirm-Recordern zu untersagen
  • Es sollten klare Konzepte existieren, wie Kanäle/Teams-Channel in Teams erstellt und zu verwende sind. Besonders öffentliche/frei zugängliche Kanäle oder nicht verwaltete Kanäle sind zu hinterfragen.
  • Es sollten Reglungen existieren, wie mit Verwendungsberichten in Microsoft Teams umzugehen ist.
  • Die Mitarbeiter sollten über die Free/Busy-Funktion aufgeklärt werden. Um unzulässigen Leistungs- und Verhaltenskontrollen entgegen zu wirken, sollten die Mitarbeiter grundsätzlich ihren Status auf „Beschäftigt“ stellen, auch wenn dies nicht zutrifft. Die Mitarbeiter sollten entscheiden können, wann sie ihren Status ändern und wie sie damit umgehen.

Datenschutzfreundliche Voreinstellungen für Microsoft Teams

  • Das Aufzeichnen von Konferenzen sollte nur bestimmten Personen möglich sein und kann in den Besprechungsrichtlinien deaktiviert werden. Ebenso kann hier eingestellt werden, ob externe Teilnehmer eine Konferenz steuern oder starten dürfen.
  • Externe Teilnehmer sollten immer in einen Wartebereich geladen werden und sind dann vom Organisatoren freizugeben. Damit kann in einem gewissen Maß verhindert werden, dass Unbefugte Zugang zu Konferenzen erhalten oder sich auf laufende Konferenzen aufschalten.
  • In den zentralen Besprechungsrichtlinien eines Tenants (Kundenkonto des Unternehmens) kann eingestellt werden, ob externe Teilnehmer anonym an einer Besprechung teilnehmen können. Wird dies deaktiviert, können nur Personen teilnehmen, die ein Microsoft Konto eingerichtet haben. Beide Varianten können aus Datenschutzsicht Vor- wie auch Nachteile haben. Standardmäßig können Teilnehmer ohne Konto an Besprechungen teilnehmen.
  • Über die zentralen Besprechungseinstellungen eines Tenants können auch die Einladungs-Mails angepasst werden. Empfehlenswert ist es, hier die Informationspflichten/Datenschutzerklärungen einzubinden oder auch Hinweise zu Einwilligungen anzugeben.
  • Regeln Sie auch, wer Livekonferenzen organisieren darf und wer daran teilnehmen darf.
  • Über Nachrichtenrichtlinien sind Chats administrativ einstellbar. Aus Datenschutzsicht sollten hier insbesondere Lesebestätigungen deaktiviert werden. Ebenso sollten Sie die URL-Vorschau deaktivieren, da ansonsten Daten der Teamsteilnehmer an den Dienstanbieter der URL weitergeleitet werden. Auch die Einbindung von Giphys oder Memes kann zu einem Abruf von Informationen von Drittanbietern führen. Diese sollten Sie ggf. ebenfalls deaktivieren.
    Zudem sollten Sie prüfen, ob das Aufzeichnen von Sprachnachrichten zulässig und nach welcher Rechtsgrundlage möglich ist. Ist dies nicht vorgesehen, können Sie dies ebenfalls in den Nachrichteneinstellungen deaktivieren/einschränken.
  • Zusätzliche Apps in Teams sollten grundsätzlich deaktiviert sein und nur erforderlich Apps freigeschalten werden. Auch sollten Sie bereits eingebundene Apps wie Schichten („Shifts“) oder Planner auf ihre Zulässigkeit/Verwendung prüfen und ggf. deaktivieren. (Hinweis: Gegebenenfalls müssen Apps, die von Usern bereits in Verwendung sind, über das AD eingeschränkt/deaktiviert werden.)
  • In den organisationsweiten Einstellungen ist einstellbar, ob man per Mail mit Kanälen kommunizieren darf. Zugleich ist es möglich festzulegen, welche Dateifreigaben in Cloud-Diensten (Dropbox, Google Drive etc.) zulässig sind. Eine Deaktivierung ist zu bevorzugen.
    Ebenso können auch die Exchange-Adressbuchrichtlinien aktiviert werden. Über die Adressbuchrichtlinien können Einschränkungen zur Suche von Benutzern erfolgen. Dies ist besonders hilfreich, wenn in einem Tenant Gruppen bestehen, die nach dem Trennungsgebot keinen Zugriff auf andere Benutzer erhalten sollen. Z.B. die Einschränkung bei Schulen, andere Schüler außerhalb der Klasse zu suchen. Die Einrichtung der Richtlinien zur Umsetzung des Trennungsgebotes und zur Umsetzung der Datenminimierung ist zu empfehlen.
  • Empfehlenswert ist es, die Verwendungsberichte in Teams zu pseudonymisieren, um die Rückführung auf einzelne Benutzer nur Administratoren zu ermöglich, die auch die zentrale Userverwaltung übernehmen.
  • Um bei der Nutzung der Free/Busy-Funktion die Möglichkeit einer Leistungs- und Verhaltenskontrolle zu erschweren, sollten Client-Installationen nicht automatisch mit dem hochfahren des Clients starten. Ebenso ist vielen Usern nicht bewusst, das Teams im Hintergrund weiterläuft, auch wenn sie den Dienst im Vordergrund geschlossen haben. Auch hier ist zu empfehlen, dass der Dienst mit Schließen der Fenster beendet wird.
  • Bei einer Videokonferenz besteht die Möglichkeit, dass Teilnehmer ihren Hintergrund ausblenden (sogenannter Blur). Diese Funktion sollte allen Teilnehmern, egal ob intern oder extern, zur Verfügung stehen. Derzeit können Richtlinien für den Blur nur über PowerShell bearbeitet werden. (Nähere Hinweise finden Sie hier)

Sollten Sie noch Fragen zum Datenschutz, Microsoft 365 oder Microsoft Teams haben, wenden Sie sich gerne an uns. Schauen Sie demnächst gerne wieder vorbei für den nächsten Teil unserer Microsoft 365-Reihe.

Sie benötigen professionelle Unterstützung zum Thema Datenschutz bei Microsoft 365? Lassen Sie sich jetzt von erfahrenen Datenschutzexperten bei ENSECUR beraten!
Zur Office 365 Datenschutz Beratung

Links zu weiteren Beiträgen der Reihe:

Teil 1: Grundlagen
Teil 2: Microsoft Forms
Teil 4: Delve, MyAnalytics und Produktivitätsbewertung
Teil 5: Compliance
Teil 6: Yammer
Teil 7: OneDrive
Teil 8: Office Online – Word, Excel, PowerPoint, OneNote
Teil 9: Exchange
Teil 10: Intune
Teil 11: Admin Center

Link zu unserem White Paper Microsoft 365

Hilfreiche Links:

Autor: Michael Konitzer

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.