November 2025
Autorin des Beitrags
Sophia
Business Development Manager
LinkedIn
Veröffentlicht am
05.11.2025 von Sophia
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Was Unternehmen jetzt zur Rechtslage wissen müssen

Microsoft Teams erkennt den Bürostandort – was bedeutet das neue Feature rechtlich?

INTERVIEW MIT WILFRIED REINERS, ANWALT FÜR IT-RECHT

Microsoft Teams bekommt ein neues Feature: Ab Dezember 2025 kann die Plattform automatisch erkennen, ob sich Mitarbeitende im Büro befinden – etwa über die Verbindung mit einem bestimmten WLAN oder einem Gerät wie einem Monitor. Die Funktion ist zunächst deaktiviert und muss aktiv eingerichtet werden. Doch was bedeutet das für den Datenschutz?

Wir haben mit Wilfried Reiners, dem renommierten Anwalt für IT-Recht bei unserem Partner PRW Rechtsanwälte, gesprochen und ihm alle wichtigen Fragen gestellt. Im Interview erklärt er, welche rechtlichen Anforderungen Unternehmen beachten müssen und wo Risiken liegen.

Herr Reiners, welche Daten verarbeitet Microsoft Teams bei der automatischen Arbeitsorterkennung?

Wilfried Reiners:
Verarbeitet werden unter anderem WLAN-SSIDs, MAC-Adressen, Gerätekennungen, die Zuordnung zu Gebäuden sowie Benutzerkennungen wie die Entra ID. Diese Daten sind personenbezogen im Sinne von Art. 4 Nr. 1 DSGVO, da sie sich auf identifizierbare Personen beziehen.

 

Ist die Nutzung dieser Funktion datenschutzrechtlich zulässig?

Wilfried Reiners:
Nur unter bestimmten Voraussetzungen. Die Verarbeitung ist nur dann zulässig, wenn eine aktive, freiwillige Einwilligung der Beschäftigten vorliegt. Hintergrund ist ein Urteil des Europäischen Gerichtshofs vom 30. März 2023, das die Anwendung von § 26 BDSG einschränkt. Unternehmen sollten daher auf Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage setzen.

 

Welche Informationspflichten ergeben sich daraus?

Wilfried Reiners:
Nach Art. 13 DSGVO müssen Beschäftigte vor Aktivierung der Funktion umfassend informiert werden – über den Zweck der Verarbeitung, die Art der Daten, die Rechtsgrundlage, die Speicherdauer, die Empfänger (z. B. Microsoft als Auftragsverarbeiter) sowie über ihre Widerrufsmöglichkeiten.

 

Muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Wilfried Reiners:
Ja, eine DSFA nach Art. 35 DSGVO ist erforderlich. Es werden Standortdaten verarbeitet, Beschäftigte sind betroffen und die Datenverarbeitung erfolgt durch ein US-Unternehmen. Die Verarbeitung fällt zudem unter die typischen „Blacklists“ der Datenschutzaufsichtsbehörden, etwa bei Bewegungsprofilen.

 

Wie sieht es mit der Datenübermittlung in die USA aus?

Wilfried Reiners:
Seit Juli 2023 gibt es einen Angemessenheitsbeschluss der EU-Kommission für das EU–US Data Privacy Framework. Microsoft ist dort registriert, sodass die Übermittlung grundsätzlich zulässig ist – sofern alle Unterauftragsverarbeiter ebenfalls zertifiziert sind. Die Verarbeitung muss im Verzeichnis nach Art. 30 DSGVO dokumentiert werden.

 

Ist der Betriebsrat bei der Einführung der Funktion zu beteiligen?

Wilfried Reiners:
Unbedingt. Die automatische Erkennung des Aufenthaltsortes kann Rückschlüsse auf Verhalten oder Leistung zulassen. Damit fällt sie unter § 87 Abs. 1 Nr. 6 BetrVG und ist mitbestimmungspflichtig. Eine Zustimmung oder Betriebsvereinbarung ist vor Aktivierung erforderlich.

 

Welche technischen Maßnahmen müssen Unternehmen treffen?

Wilfried Reiners:
Die Organisation, die die Funktion aktiviert, ist Verantwortlicher im Sinne von Art. 24 DSGVO. Sie muss geeignete technische und organisatorische Maßnahmen umsetzen – etwa die eingeschränkte Speicherung der Standortdaten, deren Löschung am Ende des Arbeitstages sowie Zugriffs- und Protokollierungskonzepte. Hier braucht es transparente Konzepte und deren Umsetzung

 

Was empfehlen Sie Unternehmen konkret?

Wilfried Reiners:
Wer das Feature nicht nutzen will, lässt es einfach Default-mäßig deaktiviert und muss keine Maßnahmen treffen. Ich finde es übrigens prima, dass es diesmal so herum gelöst ist. Oft kennen wir das genau andersherum.

Unternehmen hingegen, die das neue Feature nutzen wollen, sollten folgendermaßen vorgehen – hier eine kompakte To-Do-Liste:

  • Funktion zunächst deaktiviert lassen (Art. 5 Abs. 1 lit. c DSGVO),
  • Einwilligung der Beschäftigten einholen (Art. 6 Abs. 1 lit. a DSGVO),
  • Datenschutzinformationen aktualisieren (Art. 13 DSGVO),
  • Betriebsrat beteiligen / Betriebsvereinbarung abschließen (§ 87 Abs. 1 Nr. 6 BetrVG),
  • DSFA prüfen oder durchführen (Art. 35 DSGVO),
  • Verzeichnis der Verarbeitungstätigkeiten ergänzen (Art. 30 DSGVO),
  • Zugriffs- und Löschkonzept umsetzen (Art. 32 DSGVO).

Vielen Dank, Herr Reiners!

 

ZUSAMMENFASSUNG:

 

Die automatische Arbeitsorterkennung ist technisch interessant, aber datenschutzrechtlich sensibel. Wer das neue Feature nutzen will, muss unbedingt alle rechtlichen Vorkehrungen treffen, denn es erlaubt Rückschlüsse auf das Verhalten von Beschäftigten. Deshalb darf es nur mit ausdrücklicher Einwilligung und Beteiligung des Betriebsrats eingesetzt werden. Transparenz, eine DSFA und die Dokumentation der Drittlandübermittlung sind zwingend erforderlich.

Wer sich gegen die Nutzung des Features entscheidet, kann es im Default-Zustand belassen, denn es ist nicht automatisch aktiviert.

 

 

UNSER SERVICE

 

Sie finden diesen Beitrag hilfreich und möchten immer über neue M365-Features und deren Auswirkungen auf Technologie, User, IT-Sicherheit und Compliance informiert werden? Dann nutzen Sie unseren M365 Evergreen Service.

 

Was ist enthalten?

  • Filterung, Übersetzung und Zusammenfassung der für Sie relevanten M365 Changes
  • Bewertung der Updates hinsichtlich Auswirkungen auf User, Technologie, Compliance und IT-Security
  • Entscheidungsvorbereitung und Definition von Handlungsempfehlungen
  • Vorstellung und Besprechung der Änderungen und Handlungsempfehlungen
  • Bei Bedarf Unterstützung bei Kommunikations-, Adoption- und Change-Maßnahmen sowie der technischen Umsetzung

 

Weitere Informationen finden Sie hier:       M365 Evergreen Service

 

Wilfried Reiners

Anwalt für IT-Recht bei PRW Rechtsanwälte

 

Wilfried Reiners, MBA | LinkedIn

 

KOntakt

Ihr persönlicher Ansprechpartner

Brauchen Sie weitere Informationen zu unseren Leistungen und Produkten? Oder suchen Sie nach einer passenden Lösung für Ihren Anwendungsfall? Dann zögern Sie nicht uns zu kontaktieren.

 

JAKOB BECKMANN  | Sales Manager

+49 89 71040920

jakob@provectus.de

 

Zum Kontaktformular

 

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Alles wissenswerte

auf einen Blick
Zum Infohub
Blogbeitrag

Experts Live Germany 2026 in Leipzig: Provectus vor Ort – mit neuem Azure Managed Service.

Dann sehen wir uns am 03. März 2026 auf der EXPERTS LIVE GERMANY in Leipzig. Ein besonderes Highlight: Unser Vortrag “ 12.500 € Azure‑Kosten – und niemand merkt’s“
Weiterlesen
Blogbeitrag

Datenklassifizierung als Fundament für KI-Einsatz und Voraussetzung für NIS2, DORA & KRITIS

Datenklassifizierung ist die Basis für sichere, regelkonforme Datenverarbeitung und den sinnvollen Einsatz von KI – auch im Kontext von NIS2, DORA und KRITIS.
Weiterlesen
Webinar

12.500 € verbrannt und niemand merkt’s: So verhindern Managed Services Kostenfallen und Risiken

In diesem kostenlosen Webinar erfahren Sie, wie Azure-Kostenfallen entstehen, wie Fehlkonfigurationen frühzeitig erkannt werden und welche Betriebsstandards Managed Services dafür einsetzen.
Weiterlesen
Blogbeitrag

Datenstrategie und hohe Datenqualität: Der Schlüssel für KI, Automatisierungen & Compliance

Ohne Datenstrategie keine KI: Wie Unternehmen mit hoher Datenqualität, Governance und Datenhygiene Automatisierung ermöglichen und DSGVO, NIS2, DORA & KRITIS erfüllen.
Weiterlesen
Whitepaper

ROI messbar steigern mit M365 Copilot

Erfahren Sie, wie Sie den ROI von Microsoft Copilot berechnen und KI-Adoption in messbaren Business Value verwandeln.
Weiterlesen
Blogbeitrag

Microsoft 365: Schonfrist für abgelaufene Abonnements endet

Microsoft stellt das bisherige Modell für ablaufende Microsoft-365-Abonnements grundlegend um. Ab 01. April 2026 schafft der Konzern die bekannte kostenfreie Schonfrist ab und ersetzt sie durch ein neues Abrechnungsmodell.
Weiterlesen
Blogbeitrag

Provectus Microsoft Copilot Jumpstart: Ihre Vorteile

Provectus ist Microsoft Copilot & Agents at Work Jumpstart Ready Partner und gibt die Förderung direkt an Sie weiter. So ermöglichen wir unseren Kund:innen einen finanziell erleichterten Einstieg in Microsoft Copilot und KI-Agents.
Weiterlesen
Blogbeitrag

Hessische Beauftragte für Datenschutz und Informationssicherheit (HBDI) veröffentlichen Bericht zur datenschutzkonformen Nutzung von Microsoft 365

Der HBDI bestätigt: Microsoft 365 kann unter bestimmten Bedingungen DSGVO-konform eingesetzt werden. Der Bericht ordnet rechtliche und technische Aspekte ein.
Weiterlesen
Blogbeitrag

Szenario: Teams-Bot greift im Benutzerkontext auf Azure Ressourcen zu 

Im Entwicklungsverlauf eines Teams–Bots zeigt sich folgendes Anforderungsszenario: Der Bot soll im Kontext der angemeldeten Person auf weitere Azure–Ressourcen zugreifen.
Weiterlesen
Blogbeitrag

Unser Start ins Trainee-Programm bei Provectus 

Unsere Trainees berichten von den ersten Monaten im Provectus-Traineeprogramm, geben Einblicke in Workshops, Lernphasen und den täglichen Einsatz von KI-Tools und zeigen, wie sie auf ihre Rolle als Junior Professionals vorbereitet werden.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
©provectus 2024