Microsoft Teams: Unzulässige Datenübertragungen und mangelnde Transparenz – Schul-Apps Teil 4

1. Microsoft Teams

Nachdem ich auf Mastodon eine Anfrage zu häufig genutzten Lern- und Schul-Apps gestellt hatte, ist eine umfangreiche Liste zusammengekommen, die zeigt, welche Apps im schulischen Alltag besonders präsent sind. Ziel dieser Mini-Serie ist es, genau diese Anwendungen hinsichtlich ihres Datenschutzverhaltens zu analysieren. Dabei werde ich nicht nur die Anzahl der Tracker offenlegen, sondern auch untersuchen, wohin Verbindungen aufgebaut werden, zu welchem Zweck diese Verbindungen entstehen und welche Daten konkret übertragen werden.

Die Erkenntnisse sollen nicht nur aufzeigen, welche potenziellen Risiken mit der Nutzung dieser Apps einhergehen, sondern auch Eltern und Lehrern helfen, informierte Entscheidungen über den Einsatz dieser Technologien im schulischen Kontext zu treffen. Vorliegend im Test: Microsoft Teams, das in vielen Schulen als digitale Kommunikations- und Kollaborationsplattform verwendet wird. Im Folgenden werde ich die spezifischen Verbindungen und Datenflüsse dieser App genauer unter die Lupe nehmen. Dabei ist zu beachten, dass Apps in der Regel zahlreiche Verbindungen aufweisen – in diesem Beitrag werden daher ausschließlich jene Verbindungen aufgeführt, die potenziell problematisch sind.

• Untis Mobile: Datenschutzbedenken beim schulischen Einsatz – Schul-Apps Teil 1
• Moodle: Unterschätzte Risiken durch externe Verbindungen wie YouTube – Schul-Apps Teil 2
• ANTON: Datenschutzfreundlich und verantwortungsbewusst – Schul-Apps Teil 3
• Microsoft Teams: Unzulässige Datenübertragungen und mangelnde Transparenz – Schul-Apps Teil 4

2. Testumgebung

• App-Version: 1416/1.0.0.2024226802
• Exodus Privacy: In der Version 1416/1.0.0.2024226802 (Android) sind 2 Tracker integriert
• Verbreitung: Über 100 Millionen Downloads (Google Play Store)
• Gerät: Google Pixel 6a mit dem originalen Google-ROM (Stock-ROM)
• Android: 14
• Root: Magisk
• Magisk Module:
  • ConscryptTrustUserCerts (ab Android 14)
  • MagiskFrida

3. Datensendeverhalten

Bevor ich mit der Analyse des Datensendeverhaltens der App beginne, möchte ich darauf hinweisen, dass einige der untersuchten Anwendungen möglicherweise gegen die Datenschutz-Grundverordnung (DSGVO) sowie das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) verstoßen könnten. Es ist wichtig zu betonen, dass sich meine Untersuchung ausschließlich auf die technische Analyse der Verbindungen und Datenflüsse konzentriert und keine umfassende rechtliche Bewertung umfasst, sondern lediglich eine kurze Einschätzung der datenschutzrechtlichen Implikationen bietet. Wenn es erforderlich ist, rechtliche Schritte einzuleiten oder Beschwerden bei den zuständigen Landesdatenschutzbehörden vorzubringen, liegt diese Verantwortung bei den betroffenen Personen selbst.

3.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

Direkt nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen zu Servern bzw. Gegenstellen initiiert:

• config.teams.microsoft.com
• firebaseinstallations.googleapis.com
• oneclient.sfx.ms
• teams.events.data.microsoft.com

[1] Direkt nach dem Start lädt die App eine Konfigurationsdatei [config.teams.microsoft.com]:

GET https://config.teams.microsoft.com/config/v1/Skype/1416_1.0.0.2024226802?clientId=c0d04ffc-7a4f-4442-a314-480e933efcde&releaseTrainNumber=22 HTTP/1.1
X-ECS-Client-Last-Telemetry-Events: ecs_client_library_name=AriaECS_Android,ecs_client_app_name=Teams_Android,ecs_client_version=3.0.27.1
Accept-Encoding: gzip
User-Agent: Dalvik/2.1.0 (Linux; U; Android 14; Pixel 6a Build/UQ1A.231205.015)
Host: config.teams.microsoft.com
Connection: Keep-Alive

Der GET-Request fordert eine Konfigurationsdatei von der URL »https://config.teams.microsoft.com/config/v1/Skype/1416_1.0.0.2024226802« an, wobei Parameter wie clientId und releaseTrainNumber zur Identifikation der App-Version übermittelt werden. Zusätzlich enthält der Header Telemetriedaten:

• ecs_client_library_name: Der Name der verwendeten Bibliothek (AriaECS für Android).
• ecs_client_app_name: Der Name der Anwendung/App, die die Anfrage stellt (Teams für Android).
• ecs_client_version: Die Version des ECS-Clients (3.0.27.1).

[2] Unmittelbar nach dem Start der App wird eine Verbindung zu Google Firebase (USA) initiiert – eine Entwicklungs-Plattform für mobile Anwendungen [firebaseinstallations.googleapis.com]:

POST https://firebaseinstallations.googleapis.com/v1/projects/teamspace-1154/installations HTTP/1.1
Content-Type: application/json
Accept: application/json
Content-Encoding: gzip
Cache-Control: no-cache
X-Android-Package: com.microsoft.teams
x-firebase-client: H4sIAAAAAAAA_6tWykhNLCpJSk0sKVayio7VUSpLLSrOzM9TslIyUqoFAFyivEQfAAAA
X-Android-Cert: 7DC83CD2ABE833560C2896626E307041C0DF3A7A
x-goog-api-key: AIzaSyDmd8zeomTCFRSOrDyu2f2EavFbZrrhd8U
User-Agent: Dalvik/2.1.0 (Linux; U; Android 14; Pixel 6a Build/UQ1A.231205.015)
Host: firebaseinstallations.googleapis.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 134

{
    "appId": "1:990305677663:android:3580272c2a37e12e",
    "authVersion": "FIS_v2",
    "fid": "fhyDQIzoTMquahbLL44ge6",
    "sdkVersion": "a:17.2.0"
}

Über diese Verbindung wird eine eindeutige Firebase-Installations-ID generiert und verwaltet, die es ermöglicht, die App-Installation einem bestimmten Gerät zuzuordnen. So können Funktionen wie das Versenden von Push-Benachrichtigungen und das Sammeln von Nutzungsstatistiken ermöglicht werden. Warum der Einsatz von Google Firebase kritisch zu sehen ist, habe ich im Beitrag »Google Firebase: Verlockend für Entwickler – Datengrab für Nutzer« erläutert. Zitat aus dem Beitrag:

Sollte sich ein App-Entwickler, aus welchen Gründen auch immer, in die Abhängigkeit von Google Firebase begeben, ergibt sich für mich folgende Konsequenz: Es muss eine Einwilligung nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) eingeholt werden. Denn die Nutzung von Google Firebase ist weder zwingend erforderlich noch vom Nutzer ausdrücklich gewünscht. Google Firebase fällt meines Erachtens nicht unter den Ausnahmetatbestand des § 25 Abs. 2 Nr. 2 TDDDG.

Auf der einen Seite möchten Nutzer natürlich von den Vorteilen von Push-Benachrichtigungen profitieren, andererseits haben sie möglicherweise keine Interesse daran, ihre Daten so eng mit Google und Firebase zu verknüpfen. Die derzeitige Praxis, dass der Empfang von Push-Nachrichten nur über die Firebase-Infrastruktur von Google möglich ist, führt zu einer problematischen Datenerhebung und -verarbeitung. Alternativen wie WebSockets oder UnifiedPush werden von vielen Entwicklern jedoch abgelehnt. Dies könnte daran liegen, dass Firebase eine sofort einsatzbereite Lösung darstellt, die eine schnelle und unkomplizierte Integration ermöglicht, während andere Ansätze mehr Entwicklungsaufwand erfordern oder nicht die gleiche Skalierbarkeit bieten.

[3] Und auch Telemetriedaten werden direkt nach dem Start der App erfasst und anschließend an Microsoft übermittelt [teams.events.data.microsoft.com]:

POST https://teams.events.data.microsoft.com/OneCollector/1.0 HTTP/1.1
APIKey: ff1dcc789c59440fbddc3c901af3c6cd-4f2545f1-bed7-4b9e-a8cb-da17d64aa8e0-7339
Client-Id: NO_AUTH
Content-Encoding: deflate
Content-Type: application/bond-compact-binary
SDK-Version: EVT-Android-C++-No-3.8.32.1
Upload-Time: 1734343999044
Content-Length: 3662
User-Agent: Dalvik/2.1.0 (Linux; U; Android 14; Pixel 6a Build/UQ1A.231205.015)
Host: teams.events.data.microsoft.com
Connection: Keep-Alive
Accept-Encoding: gzip

[decoded deflate] Raw (Ausschnitt in menschenlesbare Form umgewandelt)

Scenario Information:
- Scenario Version: 3.0
- Scenario ID: ff1dcc789c59440fbddc3c901af3c6cd
- Device: Google Pixel 6a
- OS: Android 14
- App: Microsoft Teams (Version 1416/1.0.0.2024226802)
- Network: Unmetered WiFi

Device Info:
- Type: Android Phone
- Architecture: arm64-v8a, armeabi-v7a, armeabi
- CPU Cores: 8
- Clock Frequency: 2.8 GHz
- Total RAM: 6 GB
- Available Memory Threshold: 216 MB
- Network Speed: Unknown
- Network Status: True (Connected)
- Device Form Factor: Phone

Scenario Details:
- Name: ecs_refresh
- Status: OK
- Reason: Success
- Step: STOP
- Scenario Time: 906 ms
- Step Time: 906 ms
- Call Data: Empty
- Data Bag: Empty
- Scenario ECS Type: Cold Boot
- Scenario Payload Size: 214,651 bytes

User Info:
- User Type: Not Signed In
- SMB Status: Not Available

App Info:
- KAuthenticator: Not Installed
- CompanyPortal: Not Installed
- LTW: Not Installed

Event Info:
- Event Level: 0
- Event Priority: High
- Sample Rate: 0

Thread Info:
- Start Thread: Main
- End Thread: Pool-BoltsBackground-Thread-5
- Thread Priority: Normal

Session Info:
- Session ID: b3b8d1d0-e0a0-43cc-b6cf-a28a1801cca0

Additional Info:
- HTTP Network Type: WiFi
- Real Display Dimensions: Height = Unknown, Width = Unknown
- Release Train: 2024Nov-T2
- App Foreground Status: True
- Event Level: 0
[...]

Es werden diverse Gerätedaten (Modell, Hersteller, CPU etc.) vom Gerät abgefragt und ohne Einwilligung an Microsoft übermittelt. Ich kann es nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endgeräte für Zwecke der (Web-)Analyse, der Marktforschung und für jede Form der Werbung ohne informierte Einwilligung sind nach § 25 Abs. 1 TDDDG unzulässig. § 25 TDDDG regelt den Schutz der Privatsphäre bei Endgeräten und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Übrigens: Ob eine Nutzungsmessung/Marketingkampagne/Telemetriedatenerhebung anonym, pseudonym oder mit personenbezogenen Daten erfolgt, spielt aus Sicht des TDDDG keine Rolle. Entscheidend ist, ob auf dem Endgerät eine Speicherung von Informationen erfolgt (bspw. Cookies) oder eine Information aus dem Endgerät ausgelesen wird.

Das bedeutet: Werden Telemetriedaten ohne ausdrückliche Einwilligung des Nutzers erfasst und an einen Anbieter wie Microsoft übermittelt, verstößt dies gegen § 25 TDDDG, wenn diese Daten nicht zur Erbringung der grundlegenden, technisch notwendigen Funktionen der Software erforderlich sind. Dass Telemetriedaten in der Regel nicht zu diesen grundlegenden Funktionen gehören, ist offensichtlich. Ein einfaches Beispiel: Wird die Domain, die für die Übermittlung der Telemetriedaten zuständig ist (wie bspw. teams.events.data.microsoft.com), gesperrt, funktioniert die App weiterhin problemlos. Das zeigt, dass die Übermittlung dieser Daten für den eigentlichen Betrieb der App nicht erforderlich ist.

3.3 Anmeldung an Microsoft Teams

Während der Anmeldung werden dann zahlreiche Domains kontaktiert, was ein regelrechtes Feuerwerk an Verbindungen (ca. 70 bis 80 Übertragungen) auslöst:

• teams.events.data.microsoft.com
• odc.officeapps.live.com
• csp.microsoft.com
• content-autofill.googleapis.com
• login.microsoftonline.com
• aadcdn.msauth.net
• login.live.com
• login.microsoftonline.com
• browser.events.data.microsoft.com
• graph.microsoft.com
• teams.microsoft.com

An dieser Stelle werde ich nicht jede einzelne Verbindung im Detail betrachten, sondern mich auf einige ausgewählte Beispiele konzentrieren. Zunächst werden weiterhin Telemetriedaten vom Gerät abgefragt und ungefragt an die Domain teams.events.data.microsoft.com übermittelt. Wie bereits erläutert, stellt dies einen Verstoß gegen das TDDDG dar, da solche Daten ohne ausdrückliche Zustimmung des Nutzers übermittelt werden.

[4] Telemetriedaten werden nicht nur an den Endpunkt teams.events.data.microsoft.com übermittelt, sondern auch an einen weiteren Endpunkt [browser.events.data.microsoft.com]:

POST https://browser.events.data.microsoft.com/OneCollector/1.0/?cors=true&content-type=application/x-json-stream&w=0 HTTP/2.0
content-length: 1690
sec-ch-ua-platform: "Android"
cache-control: no-cache, no-store
sec-ch-ua: "Android WebView";v="131", "Chromium";v="131", "Not_A Brand";v="24"
sec-ch-ua-mobile: ?1
client-id: NO_AUTH
upload-time: 1734348422872
time-delta-to-apply-millis: use-collector-delta
user-agent: Mozilla/5.0 (Linux; Android 14; Pixel 6a Build/UQ1A.231205.015; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/131.0.6778.105 Mobile Safari/537.36 PKeyAuth/1.0
content-type: application/x-json-stream
client-version: 1DS-Web-JS-3.2.6
apikey: 69adc3c768bd4dc08c19416121249fcc-66f1668a-797b-4249-95e3-6c6651768c28-7293
accept: */*
origin: https://login.microsoftonline.com
x-requested-with: com.microsoft.teams
sec-fetch-site: cross-site
sec-fetch-mode: cors
sec-fetch-dest: empty
referer: https://login.microsoftonline.com/
accept-encoding: gzip, deflate, br, zstd
accept-language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
priority: u=1, i

{
  "name": "IDUX_ESTSClientTelemetryEvent_WebWatson",
  "time": "2024-12-16T11:27:00.833Z",
  "ver": "4.0",
  "iKey": "o:69adc3c768bd4dc08c19416121249fcc",
  "ext": {
    "app": {
      "ver": "2.1.19683.3",
      "name": "IDUX_ESTSClientTelemetryEvent_WebWatson",
      "sesId": "ZORXwEmhKwJMN2hspDNRba",
      "userId": "p: 1800",
      "locale": "de"
    },
    "cloud": {
      "role": "EUS",
      "roleInstance": "BL2XXXX",
      "roleVer": "2.1.19683.3"
    },
    "sdk": {
      "ver": "1DS-Web-JS-3.2.6",
      "seq": 1,
      "installId": "43a60f3b-9038-4ad6-8acc-197f204cbf18",
      "epoch": "3461735431"
    },
    "user": {
      "locale": "de-DE"
    },
    "web": {
      "domain": "login.microsoftonline.com",
      "userConsent": false
    },
    "intweb": {},
    "utc": {
      "popSample": 100,
      "eventFlags": 1048576
    },
    "loc": {
      "tz": "+01:00"
    },
    "metadata": {
      "f": {
        "viewId": {
          "t": 6
        }
      }
    }
  },
  "data": {
    "baseData": {
      "properties": {
        "version": ""
      }
    },
    "viewId": 13,
    "Data": "{\"pltMetrics\":{\"apiTimingInfo\":[],\"isPlt1\":false,\"plt\":2463,\"timing\":{\"connectStart\":1734348415149,\"secureConnectionStart\":1734348415215,\"unloadEventEnd\":0,\"domainLookupStart\":1734348415111,\"domainLookupEnd\":1734348415149,\"responseStart\":1734348415868,\"connectEnd\":1734348415327,\"responseEnd\":1734348415881,\"requestStart\":1734348415328,\"domLoading\":1734348415890,\"redirectStart\":0,\"loadEventEnd\":1734348417572,\"domComplete\":1734348417439,\"navigationStart\":1734348415108,\"loadEventStart\":1734348417439,\"domContentLoadedEventEnd\":1734348416916,\"unloadEventStart\":0,\"redirectEnd\":0,\"domInteractive\":1734348416916,\"fetchStart\":1734348415109,\"domContentLoadedEventStart\":1734348416916},\"pltOverallTransferBucket\":10,\"dns\":38,\"tcp\":178,\"pageSource\":\"LPerf\"}}",
    "ServerPageID": "1104",
    "PageName": "ConvergedSignIn",
    "ServiceID": "3",
    "CorrelationId": "3bb8af4e-2289-4f50-8d69-cd80ddc99037"
  }
}

Die erfassten Telemetriedaten umfassen zahlreiche technische Informationen:

• App-Details (WebWatson): Version 2.1.19683.3 und eine eindeutige Session-ID.
• Cloud-Details: Informationen zur Cloud-Rolle und -Instanz (EUS, BL2XXXX) sowie der zugehörigen Version.
• SDK-Details: Version 1DS-Web-JS-3.2.6 und eine Installations-ID.
• Leistungsdaten: Details zu Ladezeiten, DNS- und TCP-Durchlaufzeiten sowie weitere Performance-Metriken.

Die Erfassung und Übermittlung von Telemetriedaten ohne ausdrückliche Einwilligung des Nutzers stellt einen Verstoß gegen das TDDDG dar, wenn die Daten nicht zur Erbringung der grundlegenden, technisch notwendigen Funktionen der Software erforderlich sind. Nach § 25 Abs. 1 TDDDG müssen solche Daten entweder für den Betrieb der Software unverzichtbar sein oder es muss eine ausdrückliche Einwilligung des Nutzers vorliegen, um Daten wie Telemetrie zu sammeln und zu übermitteln. Im konkreten Fall handelt es sich um Daten, die keine grundlegende Funktionalität der Software betreffen, sondern eher der Analyse oder Verbesserung der Software dienen.

Auch wenn die Erhebung solcher Daten aus Entwicklersicht nachvollziehbar ist, bedürfen sie einer ausdrücklichen, informierten, freiwilligen und aktiven Einwilligung des Nutzers. Die Tatsache, dass Daten zur Verbesserung der Software oder für Analysezwecke gesammelt werden, ändert nichts an der rechtlichen Notwendigkeit, dass der Nutzer über den Zweck und Umfang der Erhebung informiert wird und dieser zustimmt.

[5] Bei der Anmeldung über ein Microsoft-Konto wird neben der E-Mail-Adresse (127n0cag@anonaddy.me) ebenfalls eine Client-ID (1fec8e78-bce4-4aaf-ab1b-5451cc387264) an die Microsoft-Server übermittelt [login.microsoftonline.com]:

GET https://login.microsoftonline.com/common/oauth2/v2.0/authorize?mkt=de&haschrome=1&login_hint=127n0cag@anonaddy.me&client_id=1fec8e78-bce4-4aaf-ab1b-5451cc387264&claims={"access_token":{"xms_cc":{"values":["CP1","ProtApp"]}}}&redirect_uri=msauth://com.microsoft.teams/fcg80qvoM1YMKJZibjBwQcDfOno=&hsu=1&is_scope_request=1&response_type=code&scope=profile offline_access openid https://api.spaces.skype.com/.default&client_info=1 HTTP/2.0
sec-ch-ua: "Android WebView";v="131", "Chromium";v="131", "Not_A Brand";v="24"
sec-ch-ua-mobile: ?1
sec-ch-ua-platform: "Android"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Linux; Android 14; Pixel 6a Build/UQ1A.231205.015; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/131.0.6778.105 Mobile Safari/537.36 PKeyAuth/1.0
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
return-client-request-id: false
client-request-id: 3bb8af4e-2289-4f50-8d69-cd80ddc99037
x-ms-sso-ignore-sso: 1
correlation-id: 3bb8af4e-2289-4f50-8d69-cd80ddc99037
x-ms-passkeyauth: 1.0/passkey
x-client-ver: 1.1.0+07ec8ccf
x-client-os: 34
x-client-sku: MSAL.xplat.android
x-client-src-sku: MSAL.xplat.android
x-requested-with: com.microsoft.teams
sec-fetch-site: none
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br, zstd
accept-language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
priority: u=0, i

Ich extrahiere die GET-Parameter, um sie lesbarer zu machen:

• mkt: de
• haschrome: 1
• login_hint: 127n0cag@anonaddy.me
• client_id: 1fec8e78-bce4-4aaf-ab1b-5451cc387264
• claims: {„access_token“:{„xms_cc“:{„values“:[„CP1″,“ProtApp“]}}}
• redirect_uri: msauth://com.microsoft.teams/fcg80qvoM1YMKJZibjBwQcDfOno=
• hsu: 1

An dieser Stelle wird eine Verbindung zwischen einer E-Mail-Adresse und einer spezifischen Client-ID hergestellt, was darauf hinweist, dass diese beiden Elemente miteinander verknüpft sind. Das bedeutet, dass in Zukunft die Client-ID allein ausreicht, um der entsprechenden E-Mail-Adresse bzw. Person zugeordnet zu werden.

[6] Die Zuordnung zwischen E-Mail-Adresse und Client-ID ist besonders relevant, da diese Client-ID (1fec8e78-bce4-4aaf-ab1b-5451cc387264) auch in den Telemetriedaten übertragen wird [teams.events.data.microsoft.com]:

POST https://teams.events.data.microsoft.com/OneCollector/1.0 HTTP/1.1
APIKey: faab4ead691e451eb230afc98a28e0f2-3ab50445-7add-4db3-b9a4-7b83230f1400-7376
Client-Id: NO_AUTH
Content-Encoding: deflate
Content-Type: application/bond-compact-binary
SDK-Version: EVT-Android-C++-No-3.8.32.1
Upload-Time: 1734348482649
Content-Length: 4595
User-Agent: Dalvik/2.1.0 (Linux; U; Android 14; Pixel 6a Build/UQ1A.231205.015)
Host: teams.events.data.microsoft.com
Connection: Keep-Alive
Accept-Encoding: gzip

[decoded deflate] Raw (Ausschnitt in menschenlesbare Form umgewandelt)

[...]
DeviceInfo.OsBuildi: 11084887
DeviceInfo_AvailableMemoryThresholdi: 216
DeviceInfo_Category0: 
DeviceInfo_ClockFrequencyi: 2.8
DeviceInfo_CpuCoresi: 8
DeviceInfo_DCIi: 0.4572917
DeviceInfo_FormFactori: Phone
DeviceInfo_Idi: $c0d04ffc-7a4f-4442-a314-480e933efcde
DeviceInfo_OsArchitecturei: arm64-v8a, armeabi-v7a, armeabi
DeviceInfo_TotalRami: 6
DeviceProfileTelemetryId_Tsli: $9664b28c-8ba6-4bb3-af00-c1756d8e58e0
EventInfo.Level0: 
EventInfo.PrivTags0: 
EventInfo.Version0: 
MSAL_aad_request_sequencei: 1
MSAL_access_token_expiry_timei: 2024-12-16T13:36:08.000Z
MSAL_additional_query_parameters_counti: 2
MSAL_api_namei: SignInInteractively
MSAL_authority_typei: AAD
MSAL_authorization_typei: Interactive
MSAL_broker_app_usedi: false
MSAL_client_idi: $1fec8e78-bce4-4aaf-ab1b-5451cc387264
MSAL_correlation_idi: $3bb8af4e-2289-4f50-8d69-cd80ddc99037
MSAL_http_call_count_max0: 
MSAL_http_call_count_min0: 
MSAL_http_call_count_sum0: 
MSAL_is_successfuli: true
[...]

Die Zeile MSAL_client_idi: $1fec8e78-bce4-4aaf-ab1b-5451cc387264 bezieht sich auf die Client-ID, die für die Anmeldung über das MSAL-Protokoll (Microsoft Authentication Library) verwendet wird. Diese Client-ID wird verwendet, um die Microsoft Teams App bei einem Identitätsprovider wie Azure Active Directory zu authentifizieren und Berechtigungen zu überprüfen. Aus technischer Sicht ist dieses Vorgehen nachvollziehbar. Allerdings wird hier ein kritischer Punkt deutlich: Es besteht eine direkte Verknüpfung zwischen der Client-ID und einer E-Mail-Adresse, was diese Daten potenziell personenbezogen macht. Diese Client-ID, die auf eine konkrete Person zurückgeführt werden kann, wird in den Telemetriedaten übertragen – ein Umstand, der erhebliche datenschutzrechtliche Bedenken aufwirft, da unklar bleibt, inwieweit diese personenbezogenen Daten verarbeitet und gespeichert werden.

4. Datenschutzhinweise

Der Link zur Datenschutzerklärung (https://aka.ms/privacy) im Google Play Store führt zur allgemeinen Datenschutzerklärung von Microsoft. Diese enthält auf den ersten Blick nur allgemeine Hinweise zum Datenschutz, die nicht speziell auf Microsoft Teams zugeschnitten sind. Erst wenn man unter »Produktivitäts- und Kommunikationsprodukte« auf Weitere Infos tippt, erscheint ein Abschnitt zu »Microsoft Teams«. Dieser bleibt jedoch vage und geht nur wenig auf die konkreten Verwendungszwecke der App ein, wie zum Beispiel welche spezifischen Daten gesammelt werden, wie sie verarbeitet werden und wofür sie konkret verwendet werden – etwa zur Verbesserung der App, zur Analyse der Nutzung oder für andere Zwecke. Aus datenschutzrechtlicher Sicht halte ich diese allgemeine Darstellung für unzureichend, da sie es den betroffenen Nutzern nicht ermöglicht, sich umfassend darüber zu informieren, wie und zu welchen Zwecken ihre Daten innerhalb der App verarbeitet werden. Dies stellt eine gravierende Intransparenz dar, die datenschutzrechtlich äußerst problematisch ist. Selbst wenn es für die Microsoft Teams-App separate Datenschutzhinweise gibt, ist es unzureichend, dass diese weder über den Link im Google Play Store noch direkt in der App (Bereich Datenschutz und Cookies) zugänglich sind.

5. Fazit

Aufgrund der unklaren und unzureichenden Informationslage sowie der rechtlichen Verstöße im Zusammenhang mit der ungefragten Übermittlung von Telemetriedaten ist vom Einsatz von Microsoft Teams an Schulen klar abzuraten. Die mangelnde Transparenz in Bezug auf die Datenverarbeitung, insbesondere die unzureichende Bereitstellung spezifischer Datenschutzhinweise und die problematische Verknüpfung von persönlichen Daten mit Telemetriedaten, stellt ein erhebliches Risiko für die Wahrung der Privatsphäre der Nutzer dar. In einer schulischen Umgebung, in der der Schutz von personenbezogenen Daten höchste Priorität hat, ist eine solche Praxis nicht akzeptabel.

Besonders besorgniserregend ist die Übermittlung von Daten, wie etwa der Client-ID in Verbindung mit persönlichen E-Mail-Adressen, was zu einer potentiellen Identifizierbarkeit der Nutzer führt. Eine solche Praxis stellt nicht nur einen Verstoß gegen die Prinzipien der Datenminimierung und Zweckbindung dar, sondern gefährdet auch die Rechte und Freiheiten der betroffenen Schülerinnen und Schüler sowie des Lehrpersonals.

In Anbetracht dieser gravierenden Mängel im Bereich des Datenschutzes und der fehlenden Transparenz sollte Microsoft Teams in schulischen Einrichtungen nicht eingesetzt werden, bis eine vollständige und rechtlich einwandfreie Lösung zur Datenverarbeitung vorgelegt wird. Schulen und Bildungseinrichtungen sollten nach alternativen, datenschutzkonformen Lösungen suchen, die den rechtlichen Anforderungen entsprechen und die Privatsphäre der Nutzer wahren. Es ist unerlässlich, dass Institutionen im Bildungsbereich ihre Verantwortung wahrnehmen und sicherstellen, dass die verwendeten digitalen Tools den Datenschutzvorgaben entsprechen und den Schutz der sensiblen Daten ihrer Schülerinnen, Schüler und Lehrkräfte gewährleisten.