MS Teams / bzw. Microsoft SharePoint

In den größeren Einführungsprojekten werden wir häufiger nach einem Projektserver gefragt, auf dem Dokumente wie Konzepte oder Protokolle zum Projekt zentral abgelegt
und für alle Projektmitarbeiter (Hersteller und Kunde) im Zugriff sind. Die Speicherung personenbezogener Daten wird sich dabei nicht vermeiden lassen.

Microsoft Teams bietet sich inzwischen hervorragend für solche Projektarbeit und Datenablage an.

Wird der Datenschutz bei Teams inzwischen ausreichend berücksichtigt oder sollte man dieses Werkzeug auf Grund des amerikanischen Speicherortest nicht verwenden?

1 Like

Was genau bei Teams passiert, kann ich nicht sagen. Aber Microsoft ist ja bemüht, dass Thema Datenschutz voran zu treiben und macht das auch. Siehe zB auch hier Microsoft fordert DSGVO für die USA

Urteil dazu

Was das Thema Videokonferenzsysteme angeht, gab es ein interessantes Urteil des LAG Köln (Az.: 9 TaBV 7/21). Die sehen hier kein Problem bei der Nutzung von Vid-Konf-Tools.
https://openjur.de/u/2349327.html

Siehe unter II. 1) ff

a) Die Zulässigkeit von Videokonferenzen im Rahmen von Betriebsratssitzungen und zur Durchführung von Einigungsstellenverfahren war umstritten, wurde zuletzt aber zunehmend bejaht (etwa Fündling/Sorber, NZA 2017, 552; Thüsing/Beden, BB 2019, 372; Lütkehaus/Powietzka NZA 2020, 552; kritisch hingegen Däubler/Klebe, NZA 2020, 545, 546). Gemäß der rückwirkend für die Zeit ab dem 01.01.2020 zunächst bis zum 31.12.2020 befristeten und derzeit bis zum 30.06.2021 verlängerten Vorschrift des § 129 Abs. 1 und 2 BetrVG hatte der Gesetzgeber ausdrücklich festgelegt, dass die Teilnahme an Einigungsstellensitzungen sowie die Beschlussfassung während der Corona-Pandemie mittels Video- und Telefonkonferenz erfolgen können, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Letzteres dient dem Datenschutz und konkretisiert zugleich den „elementaren Verfahrensgrundsatz“ (BAG, Beschluss vom 18. Januar 1994 - 1 ABR 43/93 -, BAGE 75, 261-266, Rn. 17), dass die Einigungsstelle einen Spruch in Abwesenheit der Betriebsparteien auf Grund nichtöffentlicher mündlicher Beratung. Dies entspricht dem Prinzip der Nichtöffentlichkeit nach § 30 Abs. 1 Satz 4 BetrVG (Däubler/Klebe, NZA 2020, 545, 548; ErfK/Kania, 21. Aufl. 2021, § 129, Rn. 2). Ein Verstoß gegen diesen Grundsatz würde den Spruch der Einigungsstelle unwirksam machen (vgl. BAG, Beschluss vom 18. Januar 1994 - 1 ABR 43/93 -, BAGE 75, 261-266, Rn. 17; Fitting, 30. Aufl. 2020, § 76 BetrVG, Rn. 74).

b) Die heutigen marktgängigen Konferenzsysteme bieten durchweg die Möglichkeit einer hinreichend sicheren und verschlüsselten Kommunikation (Althoff/Sommer, ArbRAktuell 2020, 250, 252). Auch C W gehört zu den hinreichend sicheren Konferenzsystemen, wie sie der Gesetzgeber bei der Einführung des § 129 BetrVG vor Augen hatte. So heißt es in den Gesetzesmaterialien ausdrücklich, dass die Regelung „für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie Webex Meetings oder Skype“ ermöglichen soll (BT-Drs. 19/18753, S. 28). Mit dieser Einschätzung steht der Bundesgesetzgeber nicht allein. Auch der Landesbetrieb IT.NRW, der für die IT-Infrastruktur der nordrheinwestfälischen Landesverwaltung zuständig ist, stellt den Behörden C W zur Durchführung von Online-Konferenzen und Gerichtsverhandlungen zur Verfügung. Eine mutwillige, heimliche und damit unzulässige Aufzeichnung durch Teilnehmer mag zwar technisch nicht ausgeschlossen sein. Dies wäre jedoch kein taugliches Kriterium, um im Einigungsstellenverfahren die Zulässigkeit einer Videokonferenz verneinen zu können. Denn eine technische Aufzeichnung wäre mit Smartphones und Tablets auch bei Präsenzsitzungen nicht ausgeschlossen (Althoff/Sommer, ArbRAktuell 2020, 250, 252).

und insbesondere DÜ ins Ausland:

c) Dass das Videokonferenzsystem C W nach Darlegung der Arbeitgeberin personenbezogene (Daten) ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums wie die U übermittelt, schloss seine Nutzung für die Einigungsstelle nicht aus.

Datenstruktur

Teams greift ja am Ende auf OneDrive zurück, speichert die Daten aber nur Chat-basiert. Ich würde mit in SharePoint unter Verwendung von Websites und Dokumentenbibliotheken eine ordentliche Struktur für die Projektinformationen aufbauen.

Vorteil ist, dass man hier auch Dokumente lenken kann, da eine Versionierung eteams datenschutz
xistiert. Ferner hat man eine vernünftige Suche für die Dokumente.

2 Likes

Die Datenresidenz der Teamsdaten (Dokumente oder Kisten) ist in SP Online und die ist von euren Tennants her eingestellt. Entweder EU oder GER.

Den Transkription Service würde ich allerdings per Richtlinie deaktivieren da der auch über die USA geleitet werden kann.

2 Likes

Vielen Dank für deine schnelle Unterstützung!!
Diese Möglichkeit kannte ich bisher nicht !!!

Wenn du Hilfe brauchst für die Teams Einstellung einfach per Mail schicken dann sende ich Screenshots zu

Danke für das Angebot, ich versuche es erst einmal selber, aber …mal schauen

Naja, aber wirklich zusichern tut einem Microsoft das nicht. Es gibt keinen AV-Vertrag und aus den General Terms & Conditions leitet sich mehr ein könnte ab, als wir sichern dir das die Daten ausschließlich in Deutschland liegen…
Je nach aktiver Funktion in Microsoft 365 gehen die Zugriffe ja doch wieder über US.
Was man derzeit aber auch nicht wirklich ändern kann, uns am Ende abhängig vom Einzelfall ist. Ich kenne auch Lösungen für Hilfsorganisationen, wo die Daten in Organisationseigenen Rechenzentren abgelegt werden, i.d.R. sind unsere Erfahrungswerte jedoch andere.

Spannend wird ja mehr der Punkt Datenverfügbarkeit, sprich wie wir der Microsoft 365 Tenant denn gesichert? Gerade Teams lässt sich derzeit nur nur durch Backup-Software wie Veeam oder Acronis sichern.
Hab das bitte auch im Blick :slight_smile:

1 Like

Wir hatten intern das Thema heute im Zusammnenhang hiermit: Backup und Microsoft 365 > ja oder nein?

Wie sieht bei welchem Anbieter die Wiederherstellbarkeit aus?

Mir ist derzeit nur Acronis und Veeam bekannt, welche Teams überhaupt mitsichern. Eine natlose Rücksicherung ist grundsätzlich nicht möglich, da Microsoft für jeden Channel eine eigene ID vergibt. Somit kann man einen Teams Kanal zwar wiederherstellen, jedoch nicht 1:1 integrieren. Ich habe also in der Wiederherstellung die Historie und muss über einen neuen Kanal kommunizieren

1 Like

Habt ihr das mal ausprobieren müssen? Ging das mit Veam Reibungslos?

Um vielleicht nochmal auf die ursprüngliche Frage zurückzukommen.
MS hat erst vor kurzem (glaube Ende 2021) sein Vertragswerk aktualisiert (für die Volumenlizenzen von MS 365). Mit den neuen Product & Service Terms sowie dem Data Processing Addendum versucht MS möglichst DSGVO-konform zu sein.

Das Gute, im Rahmen im neuen Vertragswerk ist eine Auftragsverarbeitungsvereinbarung enthalten. Der Vertrag wird für EU-Kunden mit der MS Ireland Operations Ltd. geschlossen, welche die neuen SCCs mit MS USA abgeschlossen haben. Darüber hinaus sichert MS vertraglich natürlich zu die Rechte der Europäer auch in den USA zu schützen.

Ob das ausreichend ist, müssen dann die Gerichte entscheiden, die Aufsichtsbehörden sehen es eher kritisch.

Aktuell hat man als Verantwortlicher nur die Wahl zwischen „Pest und Cholera“: MS nutzen und eventuell einen DS-Verstoß begehen oder eine Alternative On-Premise hosten (z.B. von T-Systems, welche DSGVO-konform sein sollte) und trotzdem einen DS-verstoß begehen, weil man die Infrastruktur nicht gut genug absichern kann und so aus IT-Sicht Schwachstellen entstehen.

Daher kann nur im Rahmen einer Risikobetrachtung (DSFA) hoffen, dass alle getroffenen Maßnahmen ausreichen, um MS (oder Google) nutzen zu dürfen.

Übrigens, MS 365 Business zählt NICHT als Volumenlizenz und ist daher nicht vom neuen Vertragswerk erfasst UND man muss als Bestandskunde aktiv auf MS zugehen und die neuen Verträge verlangen, da diese nicht automatisch updaten.

2 Likes

Vielen Dank für den wertvollen Beitrag! Es kommt immer darauf an und MS hat diverse Lizenzen. Alleine Bei der Business Standard (ab 12,50€) bis hin zur E5 (knapp 54€) schwanken die Möglichkeiten.
Wir stoßen halt eher auf die kleinen und mittleren Unternehmen mit unter 100 Mitarbeitenden. Da stellen sich diese Optionen mangels Lizenzen nicht und dort setzten wir dann an.
Ich interpretiere immer den Willen: Erkennt man, dass sich das Unternehmen Gedanken gemacht hat, eine DSFA vorhanden ist sowie IT-Sicherheitsmaßnahmen (welche durch Reportings nachgewiesen werden) existieren, sollte man die Kirche im Dorf lassen. Mehr kann das klassische KMU nicht machen und eine 100%ige Lösung wird es nicht geben.

1 Like

Das Thema kam in einer Schule auf, hier waren wir indirekt involviert. Daher weiß ich von MS, dass die ID einmalig ist und sich von MS aus nicht natlos integrieren lassen würde.
Mit den beiden genannten Anbietern hat man wenigstens die Historie gesichert. Einen neuen Kanal musst du dennoch freigeben…