Im Mai hat die niederländische Regierung mit Microsoft neue Datenschutzbedingungen für die Nutzung von Microsoft-Produkten an 300.000 digitalen Arbeitsplätzen vereinbart. Zumindest bei dem Office-Paket 365 ProPlus scheint der Techkonzern den Wünschen der Regierung nachgekommen zu sein. Zu diesem Schluss kommt die auf Datenschutz spezialisierte Beratungsfirma Privacy Company, die im Auftrag des niederländischen Justizministeriums eine Risikoanalysen vorgenommen hat.
Die Prüfer:innen warnen aber weiterhin vor Datenschutzrisiken bei Windows 10 Enterprise, Office Online und Office-Anwendungen für mobile Apple-Geräte.
Seit Jahren bemängeln Datenschützer:innen, dass Microsoft im großen Stil Daten an eigene Server sendet und darüber nicht ausreichend aufklärt. Eigentlich sollen die Telemetrie-Informationen der Wartung und Sicherheit von Programmen und Betriebssystemen dienen. Bisher scheitert Microsoft daran, glaubhaft zu machen, dass dieser limitierte Zweck tatsächlich eingehalten wird.
Intransparente Datensammlung
Im November 2018 prüfte Privacy Company deshalb erstmals im Auftrag des niederländischen Justizministeriums, ob Microsofts Softwareprodukte unter der Datenschutzgrundverordnung (DSGVO) zulässig sind.
Die Datenschützer:innen deckten auf, dass Microsoft „personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne öffentliche Dokumentation“ erhebt und abspeichert. Die Untersuchung hatte besonders den Datenschutz des Office-Pakets 365 ProPlus bemängelt. Daten zu bis zu 25000 Ereignistypen sollen durch den Telemetrie-Klienten an Microsoft-Server übertragen worden sein.
Die Datenschützer:innen bemängelten, dass Microsoft den Nutzer:innen nicht mitteilt, welche personenbezogenen Daten wann und wie lange abgespeichert werden.
Mehr Optionen bei Office 365 ProPlus
Zumindest bei Office ProPlus hat Microsoft der neuen Prüfung zufolge Maßnahmen ergriffen, um die Mängel zu beheben. So können sich Nutzer:innen beispielsweise die abgespeicherten Telemetrie-Daten anzeigen lassen. Cloudbasierte Anwendungen wie das Rechtschreibtool oder die Hilfe können Administratoren für das gesamte Unternehmen deaktivieren, um so die Datenübertragung zu minimieren.
Weniger glimpflich fällt das Urteil hinsichtlich der iOS-Apps Word, Excel und Powerpoint aus. Sie senden momentan offenbar weiterhin personenbezogene Daten an das US-amerikanische Marketingunternehmen Braze, das daraus Nutzer:innenprofile erstellt. Auch hier klärt Microsoft nicht über Zweck der Verarbeitung auf und gibt den Nutzer:innen keine Möglichkeit die Datenverarbeitung zu verhindern. Auch bei Office Online lasse sich eine Datenübertragung nicht unterbinden. Privacy Company rät der niederländischen Regierung von der Nutzung dieser Programme ab.
Wer Windows 10 Enterprise, Windows 10 Mobile oder das Server-Betriebssystem Windows Server benutzt, kann die Diagnosedaten auf den Modus „Sicherheit“ umstellen. Nach dem Bericht von Privacy Company verarbeitet Microsoft dann nur Daten, die „für den Schutz von Windows und Windows Server erforderliche Informationen“ beinhalten. Den Datenschutzprüfer:innen zufolge sei das Risiko hier minimal. Transparenz über Speicherdauer und Serverzugriff gibt der Softwarehersteller allerdings weiterhin nicht.
Keine Windows-Produkte in hessischen Schulen
Die niederländische Regierung will nun weiter mit Microsoft verhandeln. In Deutschland sehen das Bundesinnenministerium und das Bundesamt für Sicherheit in der Informationstechnik derweil keinen Handlungsbedarf. Lediglich Ulrich Kelber, Bundesbeauftragter für den Datenschutz, kündigte an, Windows-Produkte prüfen zu wollen.
Vor wenigen Wochen sorgte unterdessen der hessische Datenschutzbeauftragte Michael Ronellenfitsch für Schlagzeilen: Er befand cloudbasierte Anwendungen wie Office 365, Google Docs und Apples iWork für unzulässig für die Nutzung in Schulen. Auch wenn die Daten auf europäischen Servern abgespeichert werden, schließen die hessischen Datenschützer:innen einen amerikanischen Zugriff nicht aus.
Ronellenfitsch betonte, dass Schulen „eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten“ haben.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.