Microsoft auf einem Laptop

Microsoft & Datenschutz: Warum das US-Unternehmen öfters in der Kritik stand und was es dagegen unternahm

Microsoft-Software wird von den meisten Unternehmen und Privatpersonen genutzt. Dass jedoch bereits das Gros der Programme des US-Konzerns wegen Datenschutzmängeln in der Kritik stand und das beliebte Microsoft-Office-Paket sogar ein nationales Sicherheitsrisiko darstellen kann, ist weniger bekannt.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2019-09-26

Logo
  • Maike Weiss Weiss_rund100Px.png
    Autorin: Maike Weiss | Datenschutzexperte
    Maike hat einen interdisziplinären medialen Background. Als Trainee bei datenschutzexperte.de nimmt sie sich leidenschaftlich den Themen rund um Datenschutz & Digitalisierung an.
  • Kathrin Strauß K-Strauss.png
    Autorin: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Microsoft steht in der medialen Aufmerksamkeit. Das ist soweit nichts Ungewöhnliches für einen Großkonzern, doch in puncto Datenschutz handelte es sich in der Vergangenheit meistens um negative Schlagzeilen: Zum wiederholten Mal rückte Microsoft bereits wegen Datenschutzmängeln und Sicherheitslücken in die Kritik. 

Doch werfen wir einen Blick zurück: 2016 wurden Berichte öffentlich, die nachwiesen, dass Microsoft über Windows 10 heimlich Userdaten sammelt. Doch geändert hat sich danach erstmal wenig, denn die Überwachung erreichte bei den Office-Produkten ein neues Hoch. Die Datenschutzberatung Privacy Company hatte deshalb 2018 im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit eine Datenschutzfolgenabschätzung (DSFA) der Office-Dienste durchgeführt und festgestellt, dass zum Zeitpunkt der Untersuchungen zwischen 23.000 und 25.000 Ereignisarten an Microsofts Datenbank in den USA gesendet wurden. Das bedeutet, dass Microsoft 23.000 - 25.000 verschiedene Funktionen und Vorgänge festgelegt hatte, die überwacht wurden – ergo landete so gut wie alles, was in Word & Co. gemacht wurde, in der Microsoft-Datenbank.

Microsoft und das Datensammel-Problem

Das zentrale Problem dabei ist, dass die Microsoft Standard-Anwendungen (Outlook, Word und Excel) bei Office 365 nicht mehr zwingend lokal auf den Computern der Benutzer ausgeführt werden. Standard ist die Verbindung mit der Cloud und damit letztendlich die Nutzung von Microsoft-Servern – vielen Nutzer ist das jedoch nicht bewusst. „Microsoft erfasst systematisch Daten in großem Umfang über Word, Excel, PowerPoint und Outlook, ohne die Nutzer darüber zu informieren", prangerte Sjoera Nas von Privacy Company daher öffentlich an. Abgesehen von einer fragwürdigen Kommunikation mit seinen Nutzern, verstieß Microsoft damit unter anderem durch mangelnde Transparenz und Zweckbindung der erhobenen Daten gegen geltendes europäisches Datenschutzrecht. Denn die DSGVO schreibt vor, dass genau definiert werden muss, zu welchem Zweck welche Daten erfasst werden. Der Microsoft-Office-Nutzer hatte außerdem keine Möglichkeit, das Sammeln der Daten einzuschränken oder zu verhindern. Auch Einsicht zu nehmen, welche Daten genau erhoben werden, war unmöglich, denn der Datenstrom war komplett verschlüsselt. Doch die Verschlüsselung dieser sogenannten Telemetriedaten (also Daten, die Aufschluss darüber geben sollen, wie eine Software genutzt wird und wie gut sie funktioniert) ist hier für den Nutzer leider zum Nachteil, da ihm dadurch jegliche Möglichkeit der Kontrolle genommen wurde. 

Microsoft und das Problem der Datenspeicherung

Abgesehen von der teils unberechtigten Erhebung und Speicherung lag in der Speicherdauer der Daten, die Microsoft abgriff, bereits der nächste Datenschutzverstoß: Die DSFA von Privacy Company ergab 2018, dass Microsoft die Daten möglicherweise für einen unbegrenzten Zeitraum speichere und kritisierte daher berechtigter Weise: „Es ist schwer zu begründen, dass solche alten Daten notwendig, angemessen und relevant sind. Vor allem, weil sogar Microsoft den Überblick verloren hat und nicht den Grund für alle Ereignisse kennt, die einmal hinzugefügt, aber nie gelöscht wurden." Zum damaligen Zeitpunkt teilte der IT-Gigant mit diesen Problemen konfrontiert lediglich mit: "Es gibt keine Dokumentation oder Übersicht über die Telemetriedaten, die von der Office-Software gesammelt werden." – diese Aussage sollte auch bei Datenschutz-unerfahrenen Nutzer:innen Magenschmerzen hervorrufen.

Microsoft und der CLOUD-Act

Ein weiteres komplexes Datenschutzproblem, dass durch die Nutzung von Microsoft-Diensten entsteht, hängt mit dem sogenannten „CLOUD Act“ zusammen. Zwei Monate vor der Verabschiedung der DSGVO wurde am 23.03.2018 das US-Gesetz unterzeichnet. Es besagt, dass US-amerikanische Internetunternehmen und IT-Dienstleister denUS-Behörden im Falle einer Ermittlung Zugriff auf alle von ihnen gespeicherte Daten gewähren müssen, selbst wenn deren Speicherung außerhalb der USA erfolgt. Und sogar dann, wenn die Gesetzeslage am Speicherort eine Herausgabe der Daten verbietet. Die DSGVO sieht eine Datenübermittlung an ein Land außerhalb der EU jedoch nur im Falle eines vorliegenden Rechtshilfeabkommens vor. Dieser Widerspruch ist bis heute ungelöst
Der „CLOUD-Act“ bedeutet im Falle Microsoft also, dass theoretisch alle Daten, die der Konzern über seine Programme sammelt, von der amerikanischen Regierung und deren Sicherheitsbehörden eingesehen werden könnten. Microsoft gibt zwar an, Betroffene vor der Herausgabe von Daten zu informieren, das reicht jedoch nicht. Denn die DSGVO sieht vor, dass jede Übermittlung an Dritte (also auch an US-Behörden) einerRechtsgrundlage bedarf. Wird also ein Cloud-Dienst von Microsoft in einem Unternehmen eingesetzt und ist daher das Unternehmen datenschutzrechtlich verantwortlich im Sinne der DSGVO, so braucht dieses Unternehmen eine Rechtsgrundlage für die Übermittlung an Behörden – eine solche besteht allerdings nicht. Folglich ist der Einsatz von amerikanischen Cloud-Dienstleistungen immer mit einem potenziellen Datenschutzverstoß verbunden.
Dieses Szenario ist für Privatpersonen und Unternehmen schon eine düstere Vorstellung, wird aber v.a. dann problematisch, wenn nationale Behörden und Ministerien mit Office-Produkten arbeiten. Aus diesem Grundwarnt auch der hessische Landesdatenschutzbeauftragte Michael Ronellenfitsch vor der Nutzung von Microsofts Cloud-Diensten in öffentlichen Einrichtungen oder Behörden in Deutschland: Der Zugriff von Dritten könne nicht ausgeschlossen werden, daher dürfen Schulen in Hessen die Software Office 365 jetzt nicht mehr einsetzen. Die Schule als öffentliche Einrichtung dürfe die personenbezogenen Daten der Schüler nicht in einer Cloud speichern, die einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.

Microsoft und das App-Problem

Doch wir sind leider noch immer nicht am Ende der Auflistung aller Datenschutzprobleme, die Microsoft in der Vergangenheit hatte. Auch die Apps des Unternehmens standen bereits wegen Datenschutzmängeln in der Kritik. Von mehreren Microsoft Office-Apps gehen die gesammelten Nutzerdaten an eine US-Amerikanische Marketingfirma, die sich auf predictive profiling (für User personalisierte Werbung) spezialisiert hat. Genau wie bei der Office-Software für den PC wird der Verbraucher weder darüber informiert, inwiefern seine Daten verarbeitet werden, noch hat er die Möglichkeit, dieser Datensammelei zu widersprechen. 
Die Outlook-App wies darüber hinaus noch ein weiteres Problem auf, welches nun allerdings von offizieller Seite als behoben gilt. Outlook Mobile kommunizierte über mehrere Server hinweg und mehr Umwege bedeuten auch immer mehr potenzielle Sicherheitslücken. Inzwischen wurde die Outlook-App jedoch überarbeitet und verfügt jetzt über eine sogenannte „native Synchronisation“ – es gibt also keinen Zwischenserver mehr.

Microsoft und die Lösung?

Angesichts all dieser Datenschutzbedenkengeriet Microsoft in Europa zunehmend unter Druck. Die Sicherheitsmängel der Outlook-App wurden daraufhin laut offizieller Seite bereits komplett ausgeräumt und Microsoft hat darüber hinaus noch einige andere Veränderungen zugesagt: Zweimal im Jahr will das Unternehmen in Zukunft einenTransparenzbericht herausgeben und seit Mai 2019 veröffentlicht Microsoft zumindest für Office ProPlus eine umfangreiche Dokumentation zu den diagnostischen Daten. EinAnalysetool für Office 365, mit dem der Datenfluss transparent und kontrollierbar gemacht werden kann, ist ebenfalls in Planung. Unter anderem aufgrund dieser von Microsoft vorgenommen Verbesserungen hat das niederländische Ministerium für Justiz und Sicherheit am 1. Juli 2019 in einem Schreiben an das Repräsentantenhaus des niederländischen Parlaments die weitere Nutzung von Microsoft Office freigegeben.

Microsoft und die Minimierung des Datenschutzrisikos?

Komplett auf Microsoft-Programme zu verzichten, ist schwierig. Es gibt trotzdem ein paar Kniffe, mit denen das Datenschutzrisiko zumindest minimiert werden kann:

  • Auf nicht notwendige Connected Services (Dienste, die über die Cloud arbeiten) verzichten
  • Erfassung „optionaler“ Telemetriedaten deaktivieren (hier klicken für eine genauere Anleitung, wie das funktioniert)
  • Bei Office ProPlus VIP-Nutzeraccounts regelmäßig löschen und neue erstellen, da Microsoft die damit verbundenen Diagnosedaten dann löscht
  • Für vertrauliche / sensible Dateien Office-Versionen verwenden, die lokal und ohne Microsoft-Account betrieben werden
  • Verwendung von Nutzungsdaten deaktivieren (ist bisher jedoch nur für Systemadministratoren von Office ProPlus möglich)
  • Alternative Software in Erwägung ziehen

 

Autoren: Kathrin Strauß, Maike Weiss und Steffen Reimann
Artikel veröffentlicht am: 26. September 2019

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portrait von Frau Nathalie Dold mit Herrn Fabian Schröder
Portrait von Frau Nathalie Dold mit Herrn Fabian Schröder

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 2000 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Weiterlesen

Impressum nach TMG

Impressum nach TMG: Das müssen Website-Betreiber beachten

Das Telemediengesetz (TMG) bestimmt, welche Angaben Unternehmen machen müssen, wenn sie im geschäftlichen Verkehr nach außen hin auftreten. Dazu…

News Vorschaubild
Logo

Weiterlesen

Symboldbild für Passwortänderungen im Unternehmen

Passwortänderungen im Unternehmen: Was das BSI jetzt empfiehlt

Das BSI hat neue Empfehlungen für Passwörter veröffentlicht. Komplexe Passwörter und häufige Passwortänderungen werden nicht mehr empfohlen. Was genau…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Zertifizierung nach Art. 42 DSGVO

Zertifizierung nach Art. 42 DSGVO: Aushängeschild für Datenschutz in Unternehmen

Eine DSGVO-Zertifizierung bringt sowohl für Unternehmen als auch für Verbraucher zahlreiche Vorteile. Lesen Sie, inwiefern Sie von einer

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Datenschutz in Verbänden

Datenschutz in Verbänden: Was müssen Vereine beachten?

Die DSGVO gilt auch für Vereine und Verbände, denn die Erfassung und Verwendung von Mitgliederdaten ist meist ein essenzieller Teil der Vereinsarbeit.…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Digitale Pflegeanwendungen

Digitale Pflegeanwendungen – Was Betroffene und Hersteller wissen müssen

Digitale Pflegeanwendungen bringen die Digitalisierung in einen Bereich, in dem bisher nur wenig mit onlinebasierten Anwendungen gearbeitet wurde –…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Datenschutz in Agenturen

Datenschutz in Agenturen: Das gilt es zu beachten

Agenturen haben tagtäglich mit personenbezogenen Daten zu tun, häufig entspricht der Datenschutz allerdings nicht den DSGVO-Regelungen. Welche…

News Vorschaubild
Logo

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr