Microsoft ‘mahnt’ Berliner Datenschutzbeauftragte ab

[English]Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit 'abgemahnt' (ein Vorgang, der so manchen Beobachter etwas ratlos zurücklässt). Es geht nämlich um Leitfäden für Videokonferenzen, wo Hinweise zu Prüfkriterien für eine datenschutzrechtlich sichere Nutzung in Firmen und Behörden gegeben werden.


Anzeige

Worum geht es genau?

Angesichts der steigenden Anteile von Videokonferenzen während der Coronavirus-bedingten Kontaktbeschränkungen hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit im April 2020 Checklisten zur Durchführung von Videokonferenzen veröffentlicht. In der zweiseitigen "Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen", die inzwischen gelöscht, aber noch im Google Cache zu finden, ist, warnt Berlins Datenschutzbehörde vor dem Einsatz von verbreitet eingesetzten Programmen, die bestimmte datenschutzrechtliche Bedingungen eventuell nicht erfüllen.

Ich habe das Dokument als PDF-Fassung vorliegen. Die Informationen sind in recht allgemeiner Form gehalten und geben Empfehlungen, was Firmen bei der Nutzung von Videokonferenzsoftware beachten sollten. So wird darauf hingewiesen, dass die Nutzung von Videokonferenzdiensten von Betreibern, die ihren Sitz außerhalb der EU haben, rechtlich problematisch sei. Als ideal sehen die Datenschützer den Fall an, dass die Unternehmen die Videokonferenzsoftware selbst hosten. Ist dies nicht möglich, ist die Empfehlung, auf europäische Anbieter auszuweichen. Als problematisch werden Anbieter mit Sitz außerhalb der EU, z.B. in den USA genannt. Hier sollten die Nutzer darauf achten, ob der Diensterbringer rechtlich in der EU residiert – und warnen vor Konstruktionen, wo Tochterunternehmen nur Wiederverkäufer der Leistungen von US-Firmen seien. Der Nutzer bleibe aber, trotz europäischem Ansprechpartner auf den rechtlichen Risiken sitzen.

Im Verlauf des Dokuments wurde die Microsoft Corporation und deren Dienste Skype und Teams als Beispiel für mögliche Risiken genannt – ohne das aber weiter auszuführen. Las sich für mich so wie 'schaut genauer hin, wenn ihr das nutzt' – aber die Entscheidung wurde dem Datenschutzbeauftragten der jeweiligen Behörde bzw. Firma überlassen.

Die 'Abmahnung' Microsofts

Bis zu diesem Punkt ist noch alles klar. Eine Datenschutzbehörde erstellt einen Leitfaden und gibt den Nutzern Anhaltspunkte, worauf man achten sollte. Wenn ein Unternehmen sich falsch dargestellt sieht, wäre in meinen Augen die Vorgehensweise, das Ganze in einer öffentlichen Pressemitteilung richtig zu stellen und auf die betreffende Datenschutzbehörde zuzugehen, um die Geschichte zu klären.


Anzeige

Anmerkung: Martin Geuß hat auf Dr. Windows inzwischen diese Pressemitteilung Microsofts verlinkt. Darin heißt es: Wir haben zur Kenntnis genommen, dass die Berliner Beauftragte für Datenschutz und Informationssicherheit („BlnBDI") auf ihrer Webseite einen auf den 30. März 2020 datierten Vermerk mit dem Titel „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen" (im Folgenden „Vermerk") veröffentlicht hat. Dieser enthält Andeutungen, die auf datenschutzrechtliche Risiken beim Einsatz von Microsoft Teams und Skype for Business Online durch Unternehmen schließen lassen.

Zu dem Vermerk stellen wir nach eingehender Prüfung fest:

  1. Microsoft nimmt den Datenschutz sehr ernst und ist überzeugt, dass unsere Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform sind und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können.
  2. Der Vermerk kam ohne Anhörung oder sonstige Einbeziehung von Microsoft zustande, enthält in Bezug auf Microsoft Produkte missverständliche Aussagen und legt zum Teil unzutreffende datenschutzrechtliche Wertungen zugrunde.

Anschließend wird die Sicht Microsofts zu diesem Sachverhalt unterbreitet. Ist in Ordnung, kann man so machen und damit wäre es auch gut gewesen.

Microsoft hat aber einen anderen, konfliktträchtigeren und aus meiner Sicht kritischen Weg gewählt. Der Chefjurist von Microsoft Deutschland wirft der Berliner Beauftragten für Datenschutz und Informationsfreiheit vor, dass die "Annahmen faktisch oder rechtlich unzutreffend" seien. Er sieht die Kritik auf das Unternehmen und dessen Produkte Teams und Skype bezogen (nur mal angemerkt: die Datenschützer geben lediglich Prüfkriterien an, es gibt keine Aufforderung, Teams oder Skype nicht zu nutzen – das entscheidet der Datenschutzverantwortliche des jeweiligen Nutzerunternehmens).

Ab diesem Punkt wird es jetzt schwierig. Die Datenschützer schreiben, dass "Videokonferenzen das Risiko bergen, unbefugt, auch im Auftrag von Dritten, mitgehört und aufgezeichnet zu werden", was schon mal grundsätzlich nicht falsch ist. Irgendwann in späteren Absätze werden Microsoft Teams und Skype als Beispiele erwähnt, wo möglicherweise rechtliche Risiken lauern würden. Da sich bezüglich der Risiken allgemein auf den vorhergehenden Text bezogen wird, ist für mich unklar, welche Risiken konkret gemeint sind.

Die heise-Redaktion, die das Thema hier aufbereitet haben, schreibt, dass das Dokument als Vermerk gekennzeichnet sei und sich in erster Linie an öffentliche Institutionen und Firmen richte. Die heise-Redaktion sieht in der Leitlinie eher allgemein gehaltene Informationen, auf was die Nutzer achten müssen, um rechtlich sicher zu sein.

Wie dem auch immer sei, die Juristen von Microsoft haben die Berliner Beauftragte für Datenschutz und Informationsfreiheit, laut t-online.de, wegen dieser Videokonferenz-Leitfäden mit den angeblichen Warnungen vor Microsoft-Produkten wohl 'abgemahnt'. Die Behörde wird, in dem t-online.de vorliegenden Schreiben, aufgefordert, "unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen". Microsoft sehe seinen Ruf erheblich und sich kommerziell geschädigt. Finanzielle Forderungen enthält das Schreiben, laut t-online, nicht.

An dieser Stelle eine Anmerkung. Ich bin nicht sicher, ob t-online.de den Sachverhalt der Abmahnung juristisch korrekt dargestellt hat oder ob die Microsoft Hausjuristen gepatzt haben. Meines Wissens – ich bin kein Jurist – sind Behörden nicht abmahnfähig. Microsoft könnte höchstens vor einem Verwaltungsgericht in Richtung Amtshaftungsklage aktiv werden. Davon habe ich allerdings nichts gelesen. Zumindest sollte man an dieser Stelle ein leichtes Fragezeichen in Bezug auf die Quelle t-online für den hier dargelegten Sachverhalt anbringen.

Die Redaktion von t-online.de, die das Ganze hier dokumentiert hat, schreibt, dass nach den vorlegenden Informationen: 'der Berliner Fall' auch bei anderen Datenschutzbehörden Thema sei. Es gäbe, so T-Online, zumindest von einigen Landesdatenschutzbeauftragten den Wunsch, dass Berlins oberste Datenschützerin Maja Smoltczyk gegenüber Microsoft nicht nachgebe. T-Online schreibt, dass der Fall auch Brisanz bekomme, weil der Autor eines der beiden Papiere ein Experte des Deutschen Industrie- und Handelskammertags ist.

Mike Kuketz hat den Fall in diesem Kommentar aufgegriffen und einige 'brisante Punkte'' thematisiert. Demnach hätte Berlin mehr als Recht gehabt, Ross und Reiter zu benennen (was sie so explizit nie getan haben). Einfach als Hinweis für die Datenschutzverantwortlichen in Unternehmen und Behörden, wenn Sie die DSGVO-Konformität diverser Produkte und Dienstleister 'bewerten'.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat insofern reagiert, als die Prüfkriterien inzwischen von den Webseiten entfernt wurden. Die inzwischen gelöschten Leitlinien des Berliner Beauftragten für Datenschutz und Informationsfreiheit tragen in der mir vorliegenden Fassung das Datum 30. April 2020. Laut heise wurde das Dokument aber Anfang April 2020 erstellt. Zu diesem Zeitpunkt hatte Microsoft aber seine Datenschutzbedingungen für Teams (nach Kritik von Datenschützern) gerade überarbeitet.

Insgesamt bleibe ich an dieser Stelle jetzt allerdings fassungslos zurück, auch wenn ich das Ganze juristisch nicht beurteilen kann. Für mich stellt es sich momentan so dar, dass das US-Unternehmen die juristische Keule herausholt, um allgemein gehaltene, aber unliebsame, Videokonferenz-Leitfäden über das Instrument einer allgemeinen Verfügung aus dem Web zu fegen. Sprich: Das könnte jeden Blog und jede Webseite in ähnlicher Weise zu jedem Thema treffen.

Hier bleibt nur auf einen kräftigen Streisand-Effekt zu setzen. Und es bleibt zu hoffen, dass die Datenschützer der Länder an einem Strang ziehen, die Sache ausfechten und am Ende des Tages eine klare Furche ziehen. Denn andernfalls kann man sich die DSGVO getrost hinter den Spiegel stecken. Für mich habe ich einen Schluss gezogen, wie ich künftig 'werblich' im Blog mit Produkten eines bestimmten Unternehmens umgehe.

Ähnliche Artikel:
Microsoft Teams: Schwachstelle erlaubte Kontenübernahme
Microsoft Teams und die Sicherheit …
Verursacht Windows 10 VPN-Bug-Fix Update Teams-Probleme?
MS Teams: Bug verhindert Whiteboard-Nutzung in Europa
MS-Teams: Bei Windows Server auf virtuellen Speicher achten
Einschränkungen bei MS Teams, OneNote, Office365
Microsoft Teams hat 44 Millionen DAUs – und es klemmt
Störung: Microsoft Teams rumpelt (16./17.3.2020)
MS Teams wegen Zertifikatsfehler down (3.2.2020)


Anzeige

Dieser Beitrag wurde unter Allgemein abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Microsoft ‘mahnt’ Berliner Datenschutzbeauftragte ab

  1. Henry Barson sagt:

    Schade, dass vor Microsoft so gekuscht wird (Dokumente offline genommen). Andererseits war das Datenschutzthema auch vor der DSGVO schon immer eher eine Art Feigenblatt-Rhetorik. Gel(i)ebt wurde das BDSG auch eher von Leuten wie Peter Gola und vor allem Rudolf Schomerus (Der "BDSG-Papst"). Ich selbst war auch einige Jahre bDSB und durfte mir so manches mal an den Kopf fassen über die eigensinnigen Auslegungen der Geschäftsführung bspw. bezüglich E-Mail-Archivierung und da ist z.B. ein Dilemma, man darf nur Hinweise geben, man ist nicht weisungsbefugt. Schlimmstenfalls muss man sich von der bDSB-Bestellung abbestellen lassen, oder, ggf. anonym, gegen die eigene Firma klagen bei der jeweiligen Landesdatenschutzbehörde ("Es lebe der Föderalismus!" – sieht man ja jetzt bei Corona 😉), doch wer beißt schon in die Hand, die ihn füttert; gleiches gilt im Übrigen für externe DSB.
    Ich unterstütze die Haltung von Günter, und zumindest privat, wird Microsoft immer weiter ausgemistet. Die Frau klammert zwar noch an ihrem iPad (ja, ja, Apple, aber eben auch US-Konzern), doch habe ich da auch noch keine echte Alternative gefunden.

  2. volker01 sagt:

    "… dass unsere Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform sind und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können." …

    Warum schreibt Microsoft nicht:
    Wir halten alle Vorgaben der DGSVO vollumfänglich ein. PUNKT.

    volker

    • Henry Barson sagt:

      Weil Juristengeschwurbel pro Buchstabe mit Gold aufgewogen wird und nicht vergessen, wo der ganze Compliance-Krempel seinen Ursprung hat, in den USA wird nicht ohne Grund erst mal verklagt, etc.

    • Andreas B. SH sagt:

      Wie sicher die aber in der Sache selbst stehen, erkennt man schon an der Floskel: "Wir nehmen … sehr ernst." – Lachhaft!!!

  3. Blupp sagt:

    Weil es im Artikel anklang: Abmahnungen sind ein Mittel des Wettbewerbsrechts. Behörden stehen mit Firmen (hier Microsoft) sicher nicht im Wettbewerb, somit ist Microsofts "Abmahnung" dann eher was für die Rundablage.

  4. Ärgere das Böse! sagt:

    "…Microsoft nimmt den Datenschutz sehr ernst und ist überzeugt, dass unsere Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform sind und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können…"
    Die Aussage ist für die USA richtig. Die EU und die Schweiz haben aber andere Gesetze. Stimmt die Aussage auch dafür?

  5. Dekre sagt:

    O.K. – Jetzt wird sich gegen Microsoft aufgeregt. Es ist ein liebes Opfer.

    Ich habe nun einiges gelesen und bin in mir doch mehr und mehr mit Zweifel behaftet. Es geht im Kern mE gar nicht um die Datensicherheit. Es geht ein Exempel zu statuieren. Die DSGVO der EU ist nicht neu. Das wird aber immer wieder verkannt. Es gibt das BDSG und das schon immer.

    Die Datenschutzbeauftragten der Länder müssen sich um ernsthafte Fälle kümmern, wie um Großkonzerne wie Bertelsmann etc. Ich weiß es aus Erfahrung. Die Datenschutzbeauftragten haben sich vor Mai 2018 bewußt in Verletzung des Gesetzes nicht darum gekümmert und wollen sich jetzt kümmern?

    Worum geht es eigentlich um diesen Fall? Es geht um "Skype" und sonstige Anwendungen von MS wie "Team"

    Der Witz an der ganzen Sache ist doch der, dass jeder der diese Anwendung benutzt sich um klaren sein muss, dass diese durch Dritte mitgeschnitten werden kann. Beckmesserisch tut sich nun die Berliner Behörde auf und ist sich in der COVID-19-Situation nicht zu blöde, selbst HomeOffice zu betreiben und diverse Dienste zu nutzen.

    Kein "Schwein" und auch nicht die "Klugen" in den Behörden kümmert sich darum, dass es im MS Windows seit Jahrzehnten Lücken gibt, die nie geschlossen werden. Das war hier auch mal des öfteren Thema und Günter hat ein (wohl mehrere) Blogbeitrag verfasst.

    Ich kriege mich gar nicht mehr ein … Jedenfalls ist das Telefax als "Quelle der Datenunsicherheit" mal bezeichnet worden. Nun hat man festgestellt, dass das Gegenteil der Fall ist. Das ist ein ggf. hier ein anderes Thema und dazu wird auch viel Müll produziert, so auch zum telefonieren.

    Gut, jetzt sind die Kassen leer und diese müssen nun gefüllt werden. Blöd ist nur, dass die Bußgelder nicht (nur) der öffentlichen Hand zugehen. Diese werden verteilt und das bestimmt der Richter (!) und die Lobby .

  6. DWE sagt:

    Da können wir aber froh sein, dass nicht noch jemand behauptet hat, Microsoftprodukte wären unsicher. :)

    https://www.heise.de/security/meldung/Boese-GIFs-Microsoft-Teams-Konten-mit-verminten-Bildern-kapern-4711282.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.