{"id":231810,"date":"2020-05-19T00:12:00","date_gmt":"2020-05-18T22:12:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231810"},"modified":"2020-07-04T03:45:13","modified_gmt":"2020-07-04T01:45:13","slug":"microsoft-mahnt-berliner-datenschutzbeauftragten-ab","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/19\/microsoft-mahnt-berliner-datenschutzbeauftragten-ab\/","title":{"rendered":"Microsoft ‘mahnt’ Berliner Datenschutzbeauftragte ab"},"content":{"rendered":"

[English<\/a>]Microsoft Deutschland hat die Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit 'abgemahnt' (ein Vorgang, der so manchen Beobachter etwas ratlos zur\u00fcckl\u00e4sst). Es geht n\u00e4mlich um Leitf\u00e4den f\u00fcr Videokonferenzen, wo Hinweise zu Pr\u00fcfkriterien f\u00fcr eine datenschutzrechtlich sichere Nutzung in Firmen und Beh\u00f6rden gegeben werden.<\/p>\n

<\/p>\n

Worum geht es genau?<\/h2>\n

\"\"Angesichts der steigenden Anteile von Videokonferenzen w\u00e4hrend der Coronavirus-bedingten Kontaktbeschr\u00e4nkungen hat die Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit im April 2020 Checklisten zur Durchf\u00fchrung von Videokonferenzen ver\u00f6ffentlicht. In der zweiseitigen \"Checkliste f\u00fcr die Durchf\u00fchrung von Videokonferenzen w\u00e4hrend der Kontaktbeschr\u00e4nkungen\", die inzwischen gel\u00f6scht, aber noch im Google Cache zu finden, ist, warnt Berlins Datenschutzbeh\u00f6rde vor dem Einsatz von verbreitet eingesetzten Programmen, die bestimmte datenschutzrechtliche Bedingungen eventuell nicht erf\u00fcllen.<\/p>\n

Ich habe das Dokument als PDF-Fassung vorliegen. Die Informationen sind in recht allgemeiner Form gehalten und geben Empfehlungen, was Firmen bei der Nutzung von Videokonferenzsoftware beachten sollten. So wird darauf hingewiesen, dass die Nutzung von Videokonferenzdiensten von Betreibern, die ihren Sitz au\u00dferhalb der EU haben, rechtlich problematisch sei. Als ideal sehen die Datensch\u00fctzer den Fall an, dass die Unternehmen die Videokonferenzsoftware selbst hosten. Ist dies nicht m\u00f6glich, ist die Empfehlung, auf europ\u00e4ische Anbieter auszuweichen. Als problematisch werden Anbieter mit Sitz au\u00dferhalb der EU, z.B. in den USA genannt. Hier sollten die Nutzer darauf achten, ob der Diensterbringer rechtlich in der EU residiert \u2013 und warnen vor Konstruktionen, wo Tochterunternehmen nur Wiederverk\u00e4ufer der Leistungen von US-Firmen seien. Der Nutzer bleibe aber, trotz europ\u00e4ischem Ansprechpartner auf den rechtlichen Risiken sitzen.<\/p>\n

Im Verlauf des Dokuments wurde die Microsoft Corporation und deren Dienste Skype und Teams als Beispiel f\u00fcr m\u00f6gliche Risiken genannt \u2013 ohne das aber weiter auszuf\u00fchren. Las sich f\u00fcr mich so wie 'schaut genauer hin, wenn ihr das nutzt' \u2013 aber die Entscheidung wurde dem Datenschutzbeauftragten der jeweiligen Beh\u00f6rde bzw. Firma \u00fcberlassen.<\/p>\n

Die 'Abmahnung' Microsofts<\/h2>\n

Bis zu diesem Punkt ist noch alles klar. Eine Datenschutzbeh\u00f6rde erstellt einen Leitfaden und gibt den Nutzern Anhaltspunkte, worauf man achten sollte. Wenn ein Unternehmen sich falsch dargestellt sieht, w\u00e4re in meinen Augen die Vorgehensweise, das Ganze in einer \u00f6ffentlichen Pressemitteilung richtig zu stellen und auf die betreffende Datenschutzbeh\u00f6rde zuzugehen, um die Geschichte zu kl\u00e4ren.<\/p>\n

Anmerkung: Martin Geu\u00df hat auf Dr. Windows<\/a> inzwischen diese Pressemitteilung<\/a> Microsofts verlinkt. Darin hei\u00dft es: Wir haben zur Kenntnis genommen, dass die Berliner Beauftragte f\u00fcr Datenschutz und Informationssicherheit (\u201eBlnBDI\") auf ihrer Webseite einen auf den 30. M\u00e4rz 2020 datierten Vermerk mit dem Titel \u201eBerliner Datenschutzbeauftragte zur Durchf\u00fchrung von Videokonferenzen w\u00e4hrend der Kontaktbeschr\u00e4nkungen\" (im Folgenden \u201eVermerk<\/strong>\") ver\u00f6ffentlicht hat. Dieser enth\u00e4lt Andeutungen, die auf datenschutzrechtliche Risiken beim Einsatz von Microsoft Teams und Skype for Business Online durch Unternehmen schlie\u00dfen lassen.<\/p>\n

Zu dem Vermerk stellen wir nach eingehender Pr\u00fcfung fest:<\/p>\n

    \n
  1. Microsoft nimmt den Datenschutz sehr ernst und ist \u00fcberzeugt, dass unsere Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform sind und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden k\u00f6nnen.<\/li>\n
  2. Der Vermerk kam ohne Anh\u00f6rung oder sonstige Einbeziehung von Microsoft zustande, enth\u00e4lt in Bezug auf Microsoft Produkte missverst\u00e4ndliche Aussagen und legt zum Teil unzutreffende datenschutzrechtliche Wertungen zugrunde.<\/li>\n<\/ol>\n

    Anschlie\u00dfend wird die Sicht Microsofts zu diesem Sachverhalt unterbreitet. Ist in Ordnung, kann man so machen und damit w\u00e4re es auch gut gewesen.<\/p><\/blockquote>\n

    Microsoft hat aber einen anderen, konflikttr\u00e4chtigeren und aus meiner Sicht kritischen Weg gew\u00e4hlt. Der Chefjurist von Microsoft Deutschland wirft der Berliner Beauftragten f\u00fcr Datenschutz und Informationsfreiheit vor, dass die \"Annahmen faktisch oder rechtlich unzutreffend\" seien. Er sieht die Kritik auf das Unternehmen und dessen Produkte Teams und Skype bezogen (nur mal angemerkt: die Datensch\u00fctzer geben lediglich Pr\u00fcfkriterien an, es gibt keine Aufforderung, Teams oder Skype nicht zu nutzen \u2013 das entscheidet der Datenschutzverantwortliche des jeweiligen Nutzerunternehmens).<\/p>\n

    Ab diesem Punkt wird es jetzt schwierig. Die Datensch\u00fctzer schreiben, dass \"Videokonferenzen das Risiko bergen, unbefugt, auch im Auftrag von Dritten, mitgeh\u00f6rt und aufgezeichnet zu werden\", was schon mal grunds\u00e4tzlich nicht falsch ist. Irgendwann in sp\u00e4teren Abs\u00e4tze werden Microsoft Teams und Skype als Beispiele erw\u00e4hnt, wo m\u00f6glicherweise rechtliche Risiken lauern w\u00fcrden. Da sich bez\u00fcglich der Risiken allgemein auf den vorhergehenden Text bezogen wird, ist f\u00fcr mich unklar, welche Risiken konkret gemeint sind.<\/p>\n

    Die heise-Redaktion, die das Thema hier<\/a> aufbereitet haben, schreibt, dass das Dokument als Vermerk gekennzeichnet sei und sich in erster Linie an \u00f6ffentliche Institutionen und Firmen richte. Die heise-Redaktion sieht in der Leitlinie eher allgemein gehaltene Informationen, auf was die Nutzer achten m\u00fcssen, um rechtlich sicher zu sein.<\/p>\n

    Wie dem auch immer sei, die Juristen von Microsoft haben die Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit, laut t-online.de<\/a>, wegen dieser Videokonferenz-Leitf\u00e4den mit den angeblichen Warnungen vor Microsoft-Produkten wohl 'abgemahnt'. Die Beh\u00f6rde wird, in dem t-online.de vorliegenden Schreiben, aufgefordert, \"unrichtige Aussagen so schnell wie technisch m\u00f6glich zu entfernen und zur\u00fcckzunehmen\". Microsoft sehe seinen Ruf erheblich und sich kommerziell gesch\u00e4digt. Finanzielle Forderungen enth\u00e4lt das Schreiben, laut t-online, nicht.<\/p>\n

    An dieser Stelle eine Anmerkung. Ich bin nicht sicher, ob t-online.de den Sachverhalt der Abmahnung juristisch korrekt dargestellt hat oder ob die Microsoft Hausjuristen gepatzt haben. Meines Wissens \u2013 ich bin kein Jurist – sind Beh\u00f6rden nicht abmahnf\u00e4hig. Microsoft k\u00f6nnte h\u00f6chstens vor einem Verwaltungsgericht in Richtung Amtshaftungsklage aktiv werden. Davon habe ich allerdings nichts gelesen. Zumindest sollte man an dieser Stelle ein leichtes Fragezeichen in Bezug auf die Quelle t-online f\u00fcr den hier dargelegten Sachverhalt anbringen.<\/p><\/blockquote>\n

    Die Redaktion von t-online.de, die das Ganze hier dokumentiert<\/a> hat, schreibt, dass nach den vorlegenden Informationen: 'der Berliner Fall' auch bei anderen Datenschutzbeh\u00f6rden Thema sei. Es g\u00e4be, so T-Online, zumindest von einigen Landesdatenschutzbeauftragten den Wunsch, dass Berlins oberste Datensch\u00fctzerin Maja Smoltczyk gegen\u00fcber Microsoft nicht nachgebe. T-Online schreibt, dass der Fall auch Brisanz bekomme, weil der Autor eines der beiden Papiere ein Experte des Deutschen Industrie- und Handelskammertags ist.<\/p>\n

    Mike Kuketz hat den Fall in diesem Kommentar<\/a> aufgegriffen und einige 'brisante Punkte'' thematisiert. Demnach h\u00e4tte Berlin mehr als Recht gehabt, Ross und Reiter zu benennen (was sie so explizit nie getan haben). Einfach als Hinweis f\u00fcr die Datenschutzverantwortlichen in Unternehmen und Beh\u00f6rden, wenn Sie die DSGVO-Konformit\u00e4t diverser Produkte und Dienstleister 'bewerten'.<\/p>\n

    Die Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit hat insofern reagiert, als die Pr\u00fcfkriterien inzwischen von den Webseiten entfernt wurden. Die inzwischen gel\u00f6schten Leitlinien des Berliner Beauftragten f\u00fcr Datenschutz und Informationsfreiheit tragen in der mir vorliegenden Fassung das Datum 30. April 2020. Laut heise<\/a> wurde das Dokument aber Anfang April 2020 erstellt. Zu diesem Zeitpunkt hatte Microsoft aber seine Datenschutzbedingungen f\u00fcr Teams (nach Kritik von Datensch\u00fctzern) gerade \u00fcberarbeitet.<\/p>\n

    Insgesamt bleibe ich an dieser Stelle jetzt allerdings fassungslos zur\u00fcck, auch wenn ich das Ganze juristisch nicht beurteilen kann. F\u00fcr mich stellt es sich momentan so dar, dass das US-Unternehmen die juristische Keule herausholt, um allgemein gehaltene, aber unliebsame, Videokonferenz-Leitf\u00e4den \u00fcber das Instrument einer allgemeinen Verf\u00fcgung aus dem Web zu fegen. Sprich: Das k\u00f6nnte jeden Blog und jede Webseite in \u00e4hnlicher Weise zu jedem Thema treffen.<\/p>\n

    Hier bleibt nur auf einen kr\u00e4ftigen Streisand-Effekt<\/a> zu setzen. Und es bleibt zu hoffen, dass die Datensch\u00fctzer der L\u00e4nder an einem Strang ziehen, die Sache ausfechten und am Ende des Tages eine klare Furche ziehen. Denn andernfalls kann man sich die DSGVO getrost hinter den Spiegel stecken. F\u00fcr mich habe ich einen Schluss gezogen, wie ich k\u00fcnftig 'werblich' im Blog mit Produkten eines bestimmten Unternehmens umgehe.<\/p>\n

    \u00c4hnliche Artikel:<\/strong>
    \n    Microsoft Teams: Schwachstelle erlaubte Konten\u00fcbernahme<\/a>
    \n    Microsoft Teams und die Sicherheit \u2026<\/a>
    \n    Verursacht Windows 10 VPN-Bug-Fix Update Teams-Probleme?<\/a>
    \n    MS Teams: Bug verhindert Whiteboard-Nutzung in Europa<\/a>
    \n    MS-Teams: Bei Windows Server auf virtuellen Speicher achten<\/a>
    \n    Einschr\u00e4nkungen bei MS Teams, OneNote, Office365<\/a>
    \n    Microsoft Teams hat 44 Millionen DAUs \u2013 und es klemmt<\/a>
    \n    St\u00f6rung: Microsoft Teams rumpelt (16.\/17.3.2020)<\/a>
    \n    MS Teams wegen Zertifikatsfehler down (3.2.2020)<\/a><\/p>\n

    <\/h2>\n

    <\/h2>\n","protected":false},"excerpt":{"rendered":"

    [English]Microsoft Deutschland hat die Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit 'abgemahnt' (ein Vorgang, der so manchen Beobachter etwas ratlos zur\u00fcckl\u00e4sst). Es geht n\u00e4mlich um Leitf\u00e4den f\u00fcr Videokonferenzen, wo Hinweise zu Pr\u00fcfkriterien f\u00fcr eine datenschutzrechtlich sichere Nutzung in Firmen und Beh\u00f6rden … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[4293,4023],"class_list":["post-231810","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-allgemein","tag-recht"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231810","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231810"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231810\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231810"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231810"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231810"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}