November 2025
Autorin des Beitrags
Sophia
Business Development Manager
LinkedIn
Veröffentlicht am
05.11.2025 von Sophia
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Was Unternehmen jetzt zur Rechtslage wissen müssen

Microsoft Teams erkennt den Bürostandort – was bedeutet das neue Feature rechtlich?

INTERVIEW MIT WILFRIED REINERS, ANWALT FÜR IT-RECHT

Microsoft Teams bekommt ein neues Feature: Ab Dezember 2025 kann die Plattform automatisch erkennen, ob sich Mitarbeitende im Büro befinden – etwa über die Verbindung mit einem bestimmten WLAN oder einem Gerät wie einem Monitor. Die Funktion ist zunächst deaktiviert und muss aktiv eingerichtet werden. Doch was bedeutet das für den Datenschutz?

Wir haben mit Wilfried Reiners, dem renommierten Anwalt für IT-Recht bei unserem Partner PRW Rechtsanwälte, gesprochen und ihm alle wichtigen Fragen gestellt. Im Interview erklärt er, welche rechtlichen Anforderungen Unternehmen beachten müssen und wo Risiken liegen.

Herr Reiners, welche Daten verarbeitet Microsoft Teams bei der automatischen Arbeitsorterkennung?

Wilfried Reiners:
Verarbeitet werden unter anderem WLAN-SSIDs, MAC-Adressen, Gerätekennungen, die Zuordnung zu Gebäuden sowie Benutzerkennungen wie die Entra ID. Diese Daten sind personenbezogen im Sinne von Art. 4 Nr. 1 DSGVO, da sie sich auf identifizierbare Personen beziehen.

 

Ist die Nutzung dieser Funktion datenschutzrechtlich zulässig?

Wilfried Reiners:
Nur unter bestimmten Voraussetzungen. Die Verarbeitung ist nur dann zulässig, wenn eine aktive, freiwillige Einwilligung der Beschäftigten vorliegt. Hintergrund ist ein Urteil des Europäischen Gerichtshofs vom 30. März 2023, das die Anwendung von § 26 BDSG einschränkt. Unternehmen sollten daher auf Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage setzen.

 

Welche Informationspflichten ergeben sich daraus?

Wilfried Reiners:
Nach Art. 13 DSGVO müssen Beschäftigte vor Aktivierung der Funktion umfassend informiert werden – über den Zweck der Verarbeitung, die Art der Daten, die Rechtsgrundlage, die Speicherdauer, die Empfänger (z. B. Microsoft als Auftragsverarbeiter) sowie über ihre Widerrufsmöglichkeiten.

 

Muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Wilfried Reiners:
Ja, eine DSFA nach Art. 35 DSGVO ist erforderlich. Es werden Standortdaten verarbeitet, Beschäftigte sind betroffen und die Datenverarbeitung erfolgt durch ein US-Unternehmen. Die Verarbeitung fällt zudem unter die typischen „Blacklists“ der Datenschutzaufsichtsbehörden, etwa bei Bewegungsprofilen.

 

Wie sieht es mit der Datenübermittlung in die USA aus?

Wilfried Reiners:
Seit Juli 2023 gibt es einen Angemessenheitsbeschluss der EU-Kommission für das EU–US Data Privacy Framework. Microsoft ist dort registriert, sodass die Übermittlung grundsätzlich zulässig ist – sofern alle Unterauftragsverarbeiter ebenfalls zertifiziert sind. Die Verarbeitung muss im Verzeichnis nach Art. 30 DSGVO dokumentiert werden.

 

Ist der Betriebsrat bei der Einführung der Funktion zu beteiligen?

Wilfried Reiners:
Unbedingt. Die automatische Erkennung des Aufenthaltsortes kann Rückschlüsse auf Verhalten oder Leistung zulassen. Damit fällt sie unter § 87 Abs. 1 Nr. 6 BetrVG und ist mitbestimmungspflichtig. Eine Zustimmung oder Betriebsvereinbarung ist vor Aktivierung erforderlich.

 

Welche technischen Maßnahmen müssen Unternehmen treffen?

Wilfried Reiners:
Die Organisation, die die Funktion aktiviert, ist Verantwortlicher im Sinne von Art. 24 DSGVO. Sie muss geeignete technische und organisatorische Maßnahmen umsetzen – etwa die eingeschränkte Speicherung der Standortdaten, deren Löschung am Ende des Arbeitstages sowie Zugriffs- und Protokollierungskonzepte. Hier braucht es transparente Konzepte und deren Umsetzung

 

Was empfehlen Sie Unternehmen konkret?

Wilfried Reiners:
Wer das Feature nicht nutzen will, lässt es einfach Default-mäßig deaktiviert und muss keine Maßnahmen treffen. Ich finde es übrigens prima, dass es diesmal so herum gelöst ist. Oft kennen wir das genau andersherum.

Unternehmen hingegen, die das neue Feature nutzen wollen, sollten folgendermaßen vorgehen – hier eine kompakte To-Do-Liste:

  • Funktion zunächst deaktiviert lassen (Art. 5 Abs. 1 lit. c DSGVO),
  • Einwilligung der Beschäftigten einholen (Art. 6 Abs. 1 lit. a DSGVO),
  • Datenschutzinformationen aktualisieren (Art. 13 DSGVO),
  • Betriebsrat beteiligen / Betriebsvereinbarung abschließen (§ 87 Abs. 1 Nr. 6 BetrVG),
  • DSFA prüfen oder durchführen (Art. 35 DSGVO),
  • Verzeichnis der Verarbeitungstätigkeiten ergänzen (Art. 30 DSGVO),
  • Zugriffs- und Löschkonzept umsetzen (Art. 32 DSGVO).

Vielen Dank, Herr Reiners!

 

ZUSAMMENFASSUNG:

 

Die automatische Arbeitsorterkennung ist technisch interessant, aber datenschutzrechtlich sensibel. Wer das neue Feature nutzen will, muss unbedingt alle rechtlichen Vorkehrungen treffen, denn es erlaubt Rückschlüsse auf das Verhalten von Beschäftigten. Deshalb darf es nur mit ausdrücklicher Einwilligung und Beteiligung des Betriebsrats eingesetzt werden. Transparenz, eine DSFA und die Dokumentation der Drittlandübermittlung sind zwingend erforderlich.

Wer sich gegen die Nutzung des Features entscheidet, kann es im Default-Zustand belassen, denn es ist nicht automatisch aktiviert.

 

 

UNSER SERVICE

 

Sie finden diesen Beitrag hilfreich und möchten immer über neue M365-Features und deren Auswirkungen auf Technologie, User, IT-Sicherheit und Compliance informiert werden? Dann nutzen Sie unseren M365 Evergreen Service.

 

Was ist enthalten?

  • Filterung, Übersetzung und Zusammenfassung der für Sie relevanten M365 Changes
  • Bewertung der Updates hinsichtlich Auswirkungen auf User, Technologie, Compliance und IT-Security
  • Entscheidungsvorbereitung und Definition von Handlungsempfehlungen
  • Vorstellung und Besprechung der Änderungen und Handlungsempfehlungen
  • Bei Bedarf Unterstützung bei Kommunikations-, Adoption- und Change-Maßnahmen sowie der technischen Umsetzung

 

Weitere Informationen finden Sie hier:       M365 Evergreen Service

 

Wilfried Reiners

Anwalt für IT-Recht bei PRW Rechtsanwälte

 

Wilfried Reiners, MBA | LinkedIn

 

KOntakt

Ihr persönlicher Ansprechpartner

Brauchen Sie weitere Informationen zu unseren Leistungen und Produkten? Oder suchen Sie nach einer passenden Lösung für Ihren Anwendungsfall? Dann zögern Sie nicht uns zu kontaktieren.

 

JAKOB BECKMANN  | Sales Manager

+49 89 71040920

jakob@provectus.de

 

Zum Kontaktformular

 

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Alles wissenswerte

auf einen Blick
Zum Infohub
Blogbeitrag

Microsoft Teams erkennt den Bürostandort

Was bedeutet das neue Feature rechtlich? Die Antwort darauf beleuchten wir im Interview mit Wilfried Reiners, Anwalt Für IT-Recht.
Weiterlesen
Webinar

Webinar: Strategiewechsel im VDI-Segment? Citrix & Microsoft im Vergleich

Dieses Kostenlose Webinar richtet sich an IT-Entscheider & App-Virtualisierungs-Verantwortliche, die vor der Entscheidung stehen, ob ein Wechsel zu Microsoft AVD oder Windows 365 sinnvoll ist.
Weiterlesen
Blogbeitrag

Microsoft M365-Kit im Praxistest

Das M365-Kit bietet strukturierte Vorlagen für Datenschutz-Dokumentation, bleibt jedoch stark Microsoft-zentriert und erfordert eigene Prüfungen zu Themen wie Telemetriedaten, Löschfristen und Drittlandtransfers.
Weiterlesen
Echt Ich

Echt Ich Nima

In ECHT ICH erfahrt ihr mehr über Nima, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus „ECHT ER“ sein kann.
Weiterlesen
Blogbeitrag

deviceTRUST in der Praxis – Kontextbasierte Steuerung der Citrix-Zwischenablage

Erfahren Sie, wie Sie mit deviceTRUST die Citrix-Zwischenablage kontextbasiert steuern und so Datenübertragungen zwischen lokalen Systemen und virtuellen Sitzungen sicher und flexibel gestaltest.
Weiterlesen
Blogbeitrag

IT Leaders in Finance 2026 – Cybervorfall

LIVE TALKS • REAL CYBER INCIDENT • REAL SOLUTIONS Das Event für IT-Entscheider in Finance. Jetzt einen Platz sichern!
Weiterlesen
Blogbeitrag

Hackerangriff auf F5

Die Angreifer verschafften sich tiefgehenden Zugang zur Infrastruktur von F5 – darunter auch auf Teile der Entwicklungsumgebung.
Weiterlesen
Blogbeitrag

NetScaler Lizenzierung und Citrix License Activation Service (LAS) 

Alle Produkte der Citrix-Plattform – darunter auch NetScaler – müssen bis spätestens April 2026 auf LAS umgestellt sein.
Weiterlesen
Blogbeitrag

Produktivitätskiller Informationssuche – wie Know.Now.AI für Teams Wissensarbeit in Microsoft Teams neu definiert

Know.Now.AI macht Teams schneller: weniger Suchen, mehr Wissen – direkt in Microsoft Teams integriert. Jetzt informieren!
Weiterlesen
Webinar

Webinar am 17.10. – Strategiewechsel im VDI-Segment – Wann ein Wechsel von Citrix zu Microsoft AVD oder W365 sinnvoll ist und wie er gelingt

Erfahren Sie die wichtigsten Unterschiede zwischen Citrix VAD, Microsoft AVD und Windows 365. In unserem Vortrag teilen wir Best Practices, Voraussetzungen und Learnings für eine erfolgreiche Migration.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
©provectus 2024