von Elli Bauer

Skype for Business & Microsoft Teams: Datenschutz bei Messengern.

Quelle: iStock.com/ vgajic

Die DSGVO und die Messenger-Apps.

Immer mehr Unternehmen steigen auf eine schnellere Kommunikation mithilfe von Messenger-Diensten um. Allerdings wird der Datenschutz dabei oft vernachlässigt, was zu ernsthaften Diskrepanzen bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) führen kann. Denn die Sicherheit von Kunden-, Mitarbeiter- oder sogar Metadaten wird von vielen Dienstanbietern nicht entsprechend der DSGVO gewährleistet. Dies zeigt sich bereits bei der Prüfung des Unternehmenssitzes - welcher oft außerhalb der Europäischen Union liegt. Dadurch werden die über die Messenger-Dienste übertragenen Daten, wie z. B. Chatverläufe oder Dokumente, auf Servern außerhalb der EU gespeichert. Aus diesem Grund gilt für diese Unternehmen nicht das europäische Datenschutz-Recht, sondern anderweitige Rechte und Standards, welche in den allermeisten Fällen nicht den hohen europäischen Standards entsprechen und einer Datenschutzfolgeabschätzung bedürfen.

Slack - Wo bleibt die Umsetzung?

Slack ist aktuell einer der beliebtesten und bekanntesten Kollaboration- und Instant-Messaging-Diensten, der für die Unternehmenskommunikation genutzt wird. Das amerikanische Unternehmen ist um die Umsetzung der DSGVO bemüht, bislang sind jedoch noch keine eindeutigen Nachweise zur vollständigen Umsetzung erschienen. Das Unternehmen bietet bisher eine Auftragsdatenverarbeitung und einige Tools an, explizit für die DSGVO. Mithilfe der Tools können z. B. alle Profilinformationen einzelner Nutzer gelöscht werden. Allerdings werden dann nur Name, Bild und Kontaktdaten entfernt, Nachrichten und Dateien innerhalb von Slack bleiben weiterhin bestehen. Ein weiteres Tool dient dazu, dass Workspace-Inhaber alle Daten aus den Workspaces herunterladen können. Dieses Tool ist dahingehend problematisch, weil Unternehmen die für den Dienst bezahlen ganz einfach private Konversationen ihrer Mitarbeiter auch im Nachhinein nachlesen können. Dass Slack aber an der Umsetzung der DSGVO arbeitet, wird daran ersichtlich, dass Slack Inc. Technologies im Rahmen des EU-US- und Schweiz-US-Datenschutzschilds zertifiziert ist und die EU Standard Vertragsklauseln anbietet. Das US-Unternehmen kündigte bereits an, dass sie eine Datenspeicherung innerhalb der EU anbieten wollen. Bisher ist es dazu allerdings noch nicht gekommen und die Daten werden nach wie vor in den USA verarbeitet.

Persistent Chat in Skype for Business - die sicherere Alternative zu Microsoft Teams.
Unterhaltung im Skype for Business Persistent Chat

Microsoft Teams - Gute Umsetzung, doch der Datenstandort ist nicht in der EU.

Microsoft hat sich ebenso wie Slack für die DSGVO vorbereitet und stellt den Nutzern Dokumentationen sowie organisatorische und Tools für die Umsetzung bereit. Für die Umsetzung gibt es Azure Information Protection und als organisatorisches Tool wird der Microsoft Compliance Manager bereitgestellt. Microsoft Teams ist Bestandteil von Office 365. Sobald also Office 365 datenschutzkonform ausgerollt ist, gilt dies für Teams ebenso. Dafür werden verschiedene Einstellungen benötigt, wie z. B. die Sicherheitseinstellungen im Azure Active Directory, SharePoint Online, OneDrive for Business und Exchange Online bilden für Teams die Basis in Sachen Dokumenten- und Dateienablage sowie Chats und deren Nachrichten. Durch die umfassenden und vielfältigen Verschlüsselungsfunktionen der drei Dienste sind die Inhalte von Teams gesichert. Für die Kontrolle und Konfiguration sollte das Security & Compliance Center und für die Sicherheitsrichtlinien auf mobilen Endgeräten Intune verwendet werden. Das Problem bei Microsoft ist aber genau wie bei Slack – die Daten werden nicht in Deutschland verarbeitet, sondern in den USA. Das heißt auch hier ist keine hundertprozentige Sicherheit gewährleistet, dass nicht doch jemand mit liest oder Ihre Daten weitergegeben werden. Und dann wäre da noch der US Patriot Act welcher US Behörden erlaubt auf alle Daten US-Amerikanischer Unternehmen, egal wo diese auf der Welt die Daten speichern und verarbeiten zuzugreifen.

Sie nutzen bereits Microsoft Teams und wollen trotz der DSGVO weiter damit arbeiten? Kein Problem. Auf Wunsch konfigurieren wir Ihnen Microsoft Teams DSGVO-konform. Kontaktieren Sie uns.

Warum Skype for Business DSGVO-konform ist und die anderen Messenger nicht.

Für Skype for Business besteht die Möglichkeit eines Hostings oder einer lokalen Installation. Dies ist besonders sicher, weil Sie sich Ihren Hoster beispielsweise selbst wählen können. Um in puncto DSGVO auf Nummer sicher zu gehen, hat der Hoster bzw. Ihre lokale Installation den Datenstandort optimalerweise in Deutschland.
Sicherlich ist vielen von Ihnen Skype for Business mit seinen vielfältigen Funktionen bekannt, wie z. B. Instant Messaging, Präsenzstatus, Videotelefonie usw. Was aber viele nicht wissen ist, dass es für Skype for Business die Funktion eines Persistent Chat gibt, zu Deutsch „beständiger Chat“. Dadurch lassen sich bereits geschlossenen Unterhaltungen einfach wieder öffnen und es kann dort weitergearbeitet werden, wo zuletzt aufgehört wurde. Dies ähnelt themenbasierte Chatrooms, ähnlich wie die Channels innerhalb Teams. Diese doch relativ unbekannte Funktion von Skype for Business bietet für das Thema Datenschutz eine Alternative zu Microsoft Teams, da Sie es selbst in der Hand haben, welchen Provider Sie auswählen.

+++ UPDATE 19. August 2019 +++

Nach dem viel über das Ende von Skype for Business in den Medien berichtet wurde - möchten wir gern klarstellen, dass lediglich, dass von Microsoft eigens gehostete Skype for Business Online zu Ende 2021 abgekündigt wurde. Skype for Business als Produkt für Hosting durch Provider und OnPremise wird weiter bis ende 2025 und ggf. darüber hinaus seitens Microsoft supportet.

Den vollständigen Artikel dazu findet Ihr unter: Ist Skype for Business wirklich End of Life?

Fazit.

Allgemein sollte für die Verwendung von Cloud Services ein deutscher Provider zu Rate gezogen werden, denn nur so nutzen Sie die sicherste Variante und umgehen entsprechend die Strafen, die aus der Datenschutz-Grundverordnung entstehen können. Außerdem ist noch unklar ob und wie lange die rechtlichen Grundlagen wie z. B. des EU-US Privacy Shield noch bestehen. Und es existiert immer noch die Möglichkeit, dass Donald Trump beispielsweise in Zukunft ein Gesetz erlässt, in welchem geschrieben steht, dass die Daten der US-Unternehmen in die Vereinigten Staaten zurückgeführt werden müssen.

Alle gemachten Angaben sind ohne rechtliche Gewähr und nur auf Basis der im Internet zugänglichen Informationen sowie Informationen der Softwarehersteller/ Dienstanbieter basierend. Die angegebenen Informationen stellen lediglich eine Momentaufnahme dar. Im Zweifelsfall muss immer eine eigene Recherche erfolgen.

Zurück

Hat Ihnen unser Artikel gefallen?

Teilen Sie ihn mit Ihren Followern.

NetTask MDRN.WORK Revolution

NetTask ist der führende Cloud Service Provider für „Modernes Arbeiten“ in Europa. Mit unserer langjährigen Themen- und Umsetzungskompetenz in der Informations- und Kommunikationstechnologie entwickeln wir, auf der Basis von Microsoft-Technologie (deHOSTED Exchange, deHOSTED Skype for Business, deHOSTED SharePoint, deHOSTED Office 365, IoT - Technologie), cloudbasierte, hochperformante und sichere Services für die digitale Unternehmenskommunikation und Kollaboration.

Unsere Lösungen bieten Unternehmen einen nachhaltigen Mehrwert in der Arbeitseffizienz, Produktivität sowie der zielgerichteten wirtschaftlichen Verwendung ihrer IT-Budgets.