Microsoft Deutschland hat laut einem Pressebericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit Maja Smoltczyk eine Abmahnung zugestellt, in der das Unternehmen dazu auffordert, seiner Ansicht nach unrichtige Aussagen in behördlichen Leitfäden zu Videokonferenzsystemen zurückzunehmen. In den kritisierten Dokumenten wird auf Risiken beim Einsatz von Microsofts Videokonferenzsoftware Teams und Skype verwiesen. Darin sieht Microsoft eine erhebliche Rufschädigung sowie kommerziellen Schaden, berichtet t-online.de.

Öffentliche Beschwerde und Abmahnung

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Bereits am 6. Mai veröffentliche Microsoft Deutschland eine Pressemitteilung, in der ein Dokument der Berliner Datenschutzbehörde zu Videokonferenzen während der Corona-Pandemie kritisiert wird. In der Mitteilung bestreitet das Unternehmen, dass beim Einsatz von Teams oder von Skype for Business Online (das bald eingestellt wird) die von der Behörde angeführten Risiken hinsichtlich des Datenschutzes bestünden. Außerdem sei das Unternehmen vor der Veröffentlichung des Dokuments nicht angehört worden. Wie jedoch erst jetzt durch den Bericht von t-online.de bekannt wurde, schickte Microsoft parallel zu der Veröffentlichung auch eine Abmahnung an die Berliner Behörde.

Dieses Schreiben soll t-online.de laut eigener Auskunft vorliegen und das Datum 5. Mai 2020 tragen. Darin fordert das Unternehmen die Beauftragte auf, "unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen". Obwohl Microsoft auf eine erhebliche Rufschädigung sowie auf eine kommerzielle Schädigung verweise, enthalte das Schreiben jedoch keine finanziellen Forderungen.

Verstoß gegen DSGVO zurückgewiesen

Microsoft wirft der Behörde laut t-online.de mehrere faktisch oder rechtlich unzutreffende Aussagen vor. Außerdem suggeriere das Dokument, die angeführten Softwareprodukte verstießen gegen die DSGVO und seien zudem strafrechtlich bedenklich, wofür es keine Hinweise gebe. Das kritisierte PDF-Dokument mit dem Titel "Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen" ist als Vermerk gekennzeichnet und richtet sich in erster Linie an öffentliche Institutionen und Firmen. Es enthält kein ausgewiesenes Datum, laut Metainformationen stammt die derzeit abrufbare Datei jedoch vom 8.4.2020.

Darin zählt die Behörde allgemeine und spezielle Risiken beim Einsatz von Videokonferenzsoftware auf und gibt auch Empfehlungen, wie diese sich vermeiden oder verringern lassen. Insbesondere wird auf eine Lücke beim Fernmeldegeheimnis verwiesen, dessen gesetzliche Regelung den Benutzer eines Videokonferenzdienstes derzeit noch nicht gegenüber dem Diensteanbieter schütze (lediglich gegenüber dem Betreiber des Internetanschlusses); diese Lücke solle aber bald geschlossen werden.

Kein spezifischer Vorwurf

Außerdem erwähnt der Vermerk ein Risiko bei Auseinandersetzungen, wenn der eigentliche Diensteanbieter nicht in der EU residiert und die Datenverarbeitung im Ausland stattfindet. In einem späteren Absatz folgt der Hinweis, dass trotz eines europäischen Ansprechpartners des Diensteanbieters solche Risiken verbleiben würden – prominentes Beispiel seien die Microsoft Corporation mit Teams sowie Skype. Diese Erwähnung von Microsoft ist sehr allgemein gehalten und wird lediglich in Bezug gesetzt zu den "oben beschriebenen Risiken", was sich im Prinzip auf das gesamte Dokument bezieht.

Die Berliner Behörde erwähnt Microsoft noch in einem weiteren Dokument, einer "Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen" mit Redaktionsschluss 2. April 2020. Darin wird erwähnt, dass Anbieter wie Microsoft, das zum Unternehmen gehörende Skype sowie Zoom die im Dokument genannten Bedingungen für datenschutzkonformen Einsatz "in Unternehmen, Behörden und anderen Organisationen" nicht erfüllten. Microsoft veröffentliche erst Ende April dieses Jahres eine neue "Datenschutzverpflichtung" speziell für seine Software Teams, in der die Firma sich als vertrauenswürdigen Sicherheitsanbieter darstellt und darauf verweist, die Anforderungen der DSGVO zu erfüllen.

Lesen Sie auch Videokonferenzen: Hilfestellungen zum datenschutzkonformen Betrieb

Streit um unbefugtes Abhören

Microsoft stört sich laut t-online.de außerdem an dem Hinweis der Berliner Behörde, dass bei Videokonferenzsoftware grundsätzlich das Risiko bestehe, von Unbefugten (auch im Auftrag Dritter) abgehört zu werden. Microsoft sehe sich mit diesem Vorwurf zu Unrecht in Verbindung gebracht.

Ganz gefeit davor ist Teams freilich nicht: Sicherheitsforscher deckten kürzlich eine Lücke auf, bei der über manipulierte GIF-Bilder Sessions-Tokens von Teams-Benutzers übernommen werden können. Die Lücke ist zwar an hohe Hürden geknüpft, ist jedoch grundsätzlich für einen 'CEO Fraud'-Angriff geeignet; Microsoft hat die Lücke inzwischen durch ein Update geschlossen. (tiw)