Microsoft steht in der medialen Aufmerksamkeit. Das ist soweit nichts Ungewöhnliches für einen Großkonzern, doch in puncto Datenschutz handelte es sich in der Vergangenheit meistens um negative Schlagzeilen: Zum wiederholten Mal rückte Microsoft bereits wegen Datenschutzmängeln und Sicherheitslücken in die Kritik.
Doch werfen wir einen Blick zurück: 2016 wurden Berichte öffentlich, die nachwiesen, dass Microsoft über Windows 10 heimlich Userdaten sammelt. Doch geändert hat sich danach erstmal wenig, denn die Überwachung erreichte bei den Office-Produkten ein neues Hoch. Die Datenschutzberatung Privacy Company hatte deshalb 2018 im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit eine Datenschutzfolgenabschätzung (DSFA) der Office-Dienste durchgeführt und festgestellt, dass zum Zeitpunkt der Untersuchungen zwischen 23.000 und 25.000 Ereignisarten an Microsofts Datenbank in den USA gesendet wurden. Das bedeutet, dass Microsoft 23.000 - 25.000 verschiedene Funktionen und Vorgänge festgelegt hatte, die überwacht wurden – ergo landete so gut wie alles, was in Word & Co. gemacht wurde, in der Microsoft-Datenbank.
Microsoft und das Datensammel-Problem
Das zentrale Problem dabei ist, dass die Microsoft Standard-Anwendungen (Outlook, Word und Excel) bei Office 365 nicht mehr zwingend lokal auf den Computern der Benutzer ausgeführt werden. Standard ist die Verbindung mit der Cloud und damit letztendlich die Nutzung von Microsoft-Servern – vielen Nutzer ist das jedoch nicht bewusst. „Microsoft erfasst systematisch Daten in großem Umfang über Word, Excel, PowerPoint und Outlook, ohne die Nutzer darüber zu informieren", prangerte Sjoera Nas von Privacy Company daher öffentlich an. Abgesehen von einer fragwürdigen Kommunikation mit seinen Nutzern, verstieß Microsoft damit unter anderem durch mangelnde Transparenz und Zweckbindung der erhobenen Daten gegen geltendes europäisches Datenschutzrecht. Denn die DSGVO schreibt vor, dass genau definiert werden muss, zu welchem Zweck welche Daten erfasst werden. Der Microsoft-Office-Nutzer hatte außerdem keine Möglichkeit, das Sammeln der Daten einzuschränken oder zu verhindern. Auch Einsicht zu nehmen, welche Daten genau erhoben werden, war unmöglich, denn der Datenstrom war komplett verschlüsselt. Doch die Verschlüsselung dieser sogenannten Telemetriedaten (also Daten, die Aufschluss darüber geben sollen, wie eine Software genutzt wird und wie gut sie funktioniert) ist hier für den Nutzer leider zum Nachteil, da ihm dadurch jegliche Möglichkeit der Kontrolle genommen wurde.
Microsoft und das Problem der Datenspeicherung
Abgesehen von der teils unberechtigten Erhebung und Speicherung lag in der Speicherdauer der Daten, die Microsoft abgriff, bereits der nächste Datenschutzverstoß: Die DSFA von Privacy Company ergab 2018, dass Microsoft die Daten möglicherweise für einen unbegrenzten Zeitraum speichere und kritisierte daher berechtigter Weise: „Es ist schwer zu begründen, dass solche alten Daten notwendig, angemessen und relevant sind. Vor allem, weil sogar Microsoft den Überblick verloren hat und nicht den Grund für alle Ereignisse kennt, die einmal hinzugefügt, aber nie gelöscht wurden." Zum damaligen Zeitpunkt teilte der IT-Gigant mit diesen Problemen konfrontiert lediglich mit: "Es gibt keine Dokumentation oder Übersicht über die Telemetriedaten, die von der Office-Software gesammelt werden." – diese Aussage sollte auch bei Datenschutz-unerfahrenen Nutzer:innen Magenschmerzen hervorrufen.
Microsoft und der CLOUD-Act
Ein weiteres komplexes Datenschutzproblem, dass durch die Nutzung von Microsoft-Diensten entsteht, hängt mit dem sogenannten „CLOUD Act“ zusammen. Zwei Monate vor der Verabschiedung der DSGVO wurde am 23.03.2018 das US-Gesetz unterzeichnet. Es besagt, dass US-amerikanische Internetunternehmen und IT-Dienstleister denUS-Behörden im Falle einer Ermittlung Zugriff auf alle von ihnen gespeicherte Daten gewähren müssen, selbst wenn deren Speicherung außerhalb der USA erfolgt. Und sogar dann, wenn die Gesetzeslage am Speicherort eine Herausgabe der Daten verbietet. Die DSGVO sieht eine Datenübermittlung an ein Land außerhalb der EU jedoch nur im Falle eines vorliegenden Rechtshilfeabkommens vor. Dieser Widerspruch ist bis heute ungelöst.
Der „CLOUD-Act“ bedeutet im Falle Microsoft also, dass theoretisch alle Daten, die der Konzern über seine Programme sammelt, von der amerikanischen Regierung und deren Sicherheitsbehörden eingesehen werden könnten. Microsoft gibt zwar an, Betroffene vor der Herausgabe von Daten zu informieren, das reicht jedoch nicht. Denn die DSGVO sieht vor, dass jede Übermittlung an Dritte (also auch an US-Behörden) einerRechtsgrundlage bedarf. Wird also ein Cloud-Dienst von Microsoft in einem Unternehmen eingesetzt und ist daher das Unternehmen datenschutzrechtlich verantwortlich im Sinne der DSGVO, so braucht dieses Unternehmen eine Rechtsgrundlage für die Übermittlung an Behörden – eine solche besteht allerdings nicht. Folglich ist der Einsatz von amerikanischen Cloud-Dienstleistungen immer mit einem potenziellen Datenschutzverstoß verbunden.
Dieses Szenario ist für Privatpersonen und Unternehmen schon eine düstere Vorstellung, wird aber v.a. dann problematisch, wenn nationale Behörden und Ministerien mit Office-Produkten arbeiten. Aus diesem Grundwarnt auch der hessische Landesdatenschutzbeauftragte Michael Ronellenfitsch vor der Nutzung von Microsofts Cloud-Diensten in öffentlichen Einrichtungen oder Behörden in Deutschland: Der Zugriff von Dritten könne nicht ausgeschlossen werden, daher dürfen Schulen in Hessen die Software Office 365 jetzt nicht mehr einsetzen. Die Schule als öffentliche Einrichtung dürfe die personenbezogenen Daten der Schüler nicht in einer Cloud speichern, die einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.
Microsoft und das App-Problem
Doch wir sind leider noch immer nicht am Ende der Auflistung aller Datenschutzprobleme, die Microsoft in der Vergangenheit hatte. Auch die Apps des Unternehmens standen bereits wegen Datenschutzmängeln in der Kritik. Von mehreren Microsoft Office-Apps gehen die gesammelten Nutzerdaten an eine US-Amerikanische Marketingfirma, die sich auf predictive profiling (für User personalisierte Werbung) spezialisiert hat. Genau wie bei der Office-Software für den PC wird der Verbraucher weder darüber informiert, inwiefern seine Daten verarbeitet werden, noch hat er die Möglichkeit, dieser Datensammelei zu widersprechen.
Die Outlook-App wies darüber hinaus noch ein weiteres Problem auf, welches nun allerdings von offizieller Seite als behoben gilt. Outlook Mobile kommunizierte über mehrere Server hinweg und mehr Umwege bedeuten auch immer mehr potenzielle Sicherheitslücken. Inzwischen wurde die Outlook-App jedoch überarbeitet und verfügt jetzt über eine sogenannte „native Synchronisation“ – es gibt also keinen Zwischenserver mehr.
Microsoft und die Lösung?
Angesichts all dieser Datenschutzbedenkengeriet Microsoft in Europa zunehmend unter Druck. Die Sicherheitsmängel der Outlook-App wurden daraufhin laut offizieller Seite bereits komplett ausgeräumt und Microsoft hat darüber hinaus noch einige andere Veränderungen zugesagt: Zweimal im Jahr will das Unternehmen in Zukunft einenTransparenzbericht herausgeben und seit Mai 2019 veröffentlicht Microsoft zumindest für Office ProPlus eine umfangreiche Dokumentation zu den diagnostischen Daten. EinAnalysetool für Office 365, mit dem der Datenfluss transparent und kontrollierbar gemacht werden kann, ist ebenfalls in Planung. Unter anderem aufgrund dieser von Microsoft vorgenommen Verbesserungen hat das niederländische Ministerium für Justiz und Sicherheit am 1. Juli 2019 in einem Schreiben an das Repräsentantenhaus des niederländischen Parlaments die weitere Nutzung von Microsoft Office freigegeben.
Microsoft und die Minimierung des Datenschutzrisikos?
Komplett auf Microsoft-Programme zu verzichten, ist schwierig. Es gibt trotzdem ein paar Kniffe, mit denen das Datenschutzrisiko zumindest minimiert werden kann:
- Auf nicht notwendige Connected Services (Dienste, die über die Cloud arbeiten) verzichten
- Erfassung „optionaler“ Telemetriedaten deaktivieren (hier klicken für eine genauere Anleitung, wie das funktioniert)
- Bei Office ProPlus VIP-Nutzeraccounts regelmäßig löschen und neue erstellen, da Microsoft die damit verbundenen Diagnosedaten dann löscht
- Für vertrauliche / sensible Dateien Office-Versionen verwenden, die lokal und ohne Microsoft-Account betrieben werden
- Verwendung von Nutzungsdaten deaktivieren (ist bisher jedoch nur für Systemadministratoren von Office ProPlus möglich)
- Alternative Software in Erwägung ziehen
Autoren: Kathrin Strauß, Maike Weiss und Steffen Reimann
Artikel veröffentlicht am: 26. September 2019
