Microsoft Teams und DSGVO – ein Widerspruch?
Mehr und mehr Unternehmen setzen auf Microsoft Teams zur digitalen Zusammenarbeit. Microsoft selbst bewirbt seine Cloud-Dienste – insbesondere Microsoft 365 und Teams – als DSGVO-konform. Doch wie passt das zur Tatsache, dass z.B. Microsoft Teams ohne Verbindung zu Servern in den USA nicht bzw. nicht zuverlässig funktioniert?
Wenn dem leicht nachweisbar so ist, warum gilt Microsoft Teams dann offiziell als DSGVO-konform?
Microsoft Teams in der Praxis: Was passiert hinter den Kulissen?
Selbst wenn in Microsoft 365 die Rechenzentrumsregion „EU“ ausgewählt ist, erfolgt die Kommunikation von Microsoft Teams in Teilen über US-Endpunkte. Dazu gehören z. B.:
- Telemetriedaten und Produktfeedback
- Authentifizierungsdienste
- Lizenzvalidierung
- Web-Komponenten wie
*.teams.microsoft.comoder*.office.com
Wenn man in der Unternehmens-Firewall jegliche Kommunikation in die USA blockiert, funktioniert Microsoft Teams nur noch eingeschränkt oder gar nicht.
Ein praktischer und einfacher Beweis: Wer den Datenfluss zu Microsofts US-Endpunkten unterbindet, erlebt, dass Teams bestimmte Dienste nicht mehr starten kann – trotz EU-Datenhaltung.
Warum gilt Microsoft Teams dann auf Basis der Aussage externer Datenschutzbeauftragter trotzdem in vielen Fällen als „DSGVO-konform“?
Der Schlüssel liegt in der rechtlichen, nicht technischen Bewertung. Microsoft stützt sich auf:
1. Standardvertragsklauseln (SCCs) nach DSGVO Art. 46
Diese sind in den AV-Verträgen mit Microsoft enthalten und sollen ein angemessenes Datenschutzniveau bei Datenübertragungen in Drittstaaten garantieren.
2. EU–US Data Privacy Framework (DPF)
Seit Juli 2023 existiert wieder ein offizieller Angemessenheitsbeschluss zwischen EU und USA. Microsoft ist darin gelistet und zertifiziert.
3. Technische Schutzmaßnahmen von Microsoft
- Verschlüsselung der Daten „in Transit“ und „at Rest“
- Administrative Zugriffskontrollen („Zero Standing Access“)
- Optional: Customer Lockbox (erfordert E5-Lizenz)
Das bedeutet: Formaljuristisch darf Microsoft Teams genutzt werden – vorausgesetzt, Unternehmen schließen die nötigen Verträge ab und dokumentieren ihre Schutzmaßnahmen.
Technische Realität vs. Datenschutzideal
Trotz rechtlicher Absicherung bleibt ein Restzweifel bestehen – gerade aus Sicht strenger Datenschutzverantwortlicher:
- Der CLOUD Act in den USA erlaubt Behörden Zugriff auf Daten von US-Anbietern – auch wenn diese in der EU gespeichert sind.
- Unternehmen haben keine volle Datenhoheit, sobald Daten über Microsoft-Server laufen.
- Die Trennung von Meta- und Nutzdaten ist nicht vollständig transparent nachvollziehbar.
Mehrere deutsche Aufsichtsbehörden (u. a. Bayern, Rheinland-Pfalz) äußern sich daher kritisch zum Einsatz von Microsoft 365 und Microsoft Teams – vor allem im öffentlichen Sektor und jeglichen Branchen mit erhöhten Datenschutzanforderungen bzw. Branchen, die den Betrieb der Infrastruktur des Landes sicherstellen.
Fazit: DSGVO-konform – (formaljuristisch) ja. Datenschutzsouverän – nein (so lange nicht alle Daten bei Microsoft 365 verschlüsselt abgelegt werden*).
| Bewertungsebene | Microsoft Teams |
|---|---|
| Formaljuristisch (DSGVO-konform mit AV & SCC) | ✅ Ja |
| Technisch souverän, 100 % EU-datenlokal | ❌ Nein |
| Betrieb ohne US-Kommunikation möglich | ❌ Nein |
* Dies ist z.B. mit den Lösungsansätzen von eperi® sEcure möglich.
Leave a Reply
You must be logged in to post a comment.