Datensammlung: Microsoft verstösst gegen die DSGVO

Microsoft verstösst mit den Office-Programmen in grossem Stil gegen die DSGVO. Zu diesem Schluss kommt eine vom niederländischen Justizministerium in Auftrag gegebene Studie, deren Resultate als «alarmierend» bezeichnet werden.

Microsoft erfasst und speichert systematisch und in großem Umfang Daten zur individuellen Nutzung von Word, Excel, PowerPoint und Outlook. Dies ohne die Nutzer entsprechend zu informieren, schreibt das Compliance-Unternehmen Privacy Company, das die Untersuchung im Auftrag des Ministeriums durchführte, in einem Blogbeitrag.

Zudem bietet Microsoft den Nutzern weder eine Wahl hinsichtlich der gesammelten Datenmenge, noch die Möglichkeit, die Sammlung grundsätzlich abzuschalten, heisst es weiter. Auch ist es aufgrund des verschlüsselten Datenstroms unmöglich, einzusehen, welche Daten genau gesammelt werden. Insgesamt wurden im Rahmen der Studie acht schwerwiegende Datenschutzrisiken identifiziert.

Bis zu 300'000 Regierungscomputer betroffen

Anlass für das so genannte Data Protection Impact Assessment (DPIA) war die Tatsache, dass Software von Microsoft auf rund 300‘000 Computern der niederländischen Regierung zum Einsatz kommt. So wird die Enterprise -Version von MS-Office von Mitarbeitenden verschiedener Regierungsstellen verwendet, darunter von Ministerien, der Justiz-, Polizei und der Steuerbehörde.

In ähnlicher Weise, wie bereits bei Windows 10 hat Microsoft laut Privacy Company separate Software in Office eingebaut, die regelmässig telemetrische Daten an die Server von Microsoft in den USA sendet. Die Redmonder sammeln demnach Informationen über bestimmte Ereignisse in Word, wie beispielsweise, wenn Nutzer ein paar Mal nacheinander die «Rücktaste» betätigen oder ein Wort mit dem Online-Korrekturprogramm prüfen.

Bereits früher Datenschutzgesetze verletzt

Gemäss Privacy Company sammelt Microsoft auf diese Weise Daten über 23‘000 bis 25‘000 verschiedene Ereignis-Arten auf den eigenen Servern, die anschliessend von 20 bis 30 Ingenieur-Teams ausgewertet werden. Diese können zudem den Datenstrom dynamisch um neue Events von allen Computern mit Office ProPlus ergänzen. Die Datensammlung ist damit sehr viel spezifischer, als diejenige im Rahmen der Windows 10-Telemetrie. Bei letzterer wurden 2017, im Rahmen einer von der niederländischen Datenschutzbehörde (DPA) in Auftrag gegebenen Untersuchung, 1’000 bis 1’200 Arten von Ereignissen erfasst, die von zehn Ingenieur-Teams ausgewertet werden.

Bereits damals kam die Behörde zum Schluss, dass Microsoft auf vielfältige Weise Datenschutzgesetze verletzt, unter anderem durch einen Mangel an Transparenz und Zweckbindung. Die Office-Programme waren allerdings noch kein Gegenstand dieser Untersuchung.

Zusagen gemacht – Risiken bleiben

Microsoft hat offenbar bereits während der Erstellung der aktuellen DPIA Zusagen gemacht, um die Risiken zu senken. So wurden offenbar Zero-Exhaust-Einstellungen entwickelt, zudem ist beabsichtigt, den Nutzern angemessene Informationen bereitzustellen, ein Datenanzeigetool für die Telemetriedaten von Office einzubinden sowie den Administratoren eine Option zur Verfügung zu stellen, um den gewünschten Grad der Telemetrie zu bestimmen.

Laut den Autoren der Studie können einige Restrisiken gemildert werden, wenn die Behörden diese neu entwickelten Einstellungen nutzen, um die Verarbeitung von Telemetrie-Daten zu minimieren. Es verbleiben jedoch weiterhin hohe Risiken für die Betroffenen.

Die vollständige Studie in englischer Sprache gibt es hier (PDF).