Microsoft Office: Untersuchung offenbart Datensammelei und DSGVO-Verstoß

Eine Untersuchung der niederländischen Regierung kommt zum Ergebnis, dass Microsoft Office Daten sammle und damit gegen die Datenschutzgrundverordnung verstoße. Die Untersuchung hatte das Ziel, festzustellen, wie die Office-Pakete datenschutztechnisch zu bewerten sind und ob diese ein Risiko darstellen.

Microsoft Office Logo Software Gebrauchte Software
Foto: Das Logo von Microsoft Office. | © Hersteller

Verstoß gegen DSGVO problematisch – acht Datenschutzrisiken entdeckt

Es sollen massenhaft personenbezogene Daten gesammelt und gespeichert werden, ohne dass User darüber informiert werden. Die Enterprise-Version von Microsoft Office verstoße gegen die europäische Datenschutzgrundverordnung (DSGVO), heißt es in dem Bericht – schließlich wird diese Software in vielen Behörden eingesetzt. In den Niederlanden beispielsweise verwenden die meisten Behörden Microsoft Office 2016, Office 365 oder ältere Versionen der Bürosoftware. Die Enterprise-Editionen von Microsoft Office sind bei den niederländischen Behörden ca. 300.000 Mal installiert.Insgesamt brachte die Untersuchung acht verschiedene Datenschutzrisiken hervor.

Sjoera Nas von Provacy Company, die mit der Untersuchung beauftragt wurde, schreibt, dass Word, Excel, PowerPoint und Outlook ohne Zustimmung der User Daten erfasse. Kritisiert wird vor allem, dass keine Möglichkeit besteht, einzustellen, welche Daten erfasst und gespeichert werden dürfen. Die Telemetriedaten gelangen außerdem auf US-Server, nach geltendem US-Recht könnten diese Daten dann auch US-Strafverfolgungsbehörden zugänglich gemacht werden. Diese Vorgehensweise verstößt klar gegen die europäische Datenschutzgrundverordnung.

Was erfasst die Telemetrie-Funktion?

Unter anderem wird erfasst, welche Online-Services (z.B. Übersetzungen innerhalb der Software) genutzt werden. Auch Absturzinformationen werden gespeichert. Für die einwandfreie Funktion der Software ist eine solche Datenübermittlung zwar notwendig, nicht jedoch deren Speicherung. Aktuell besteht keine Möglichkeit, die Inhalte der Diagnosedaten einzusehen. Zwischen 23.000 und 25.000 Ereignistypen werden an Microsoft-Server übermittelt, 20 bis 30 Analyseteams arbeiten mit diesen Daten – das bestätigt der Konzern. Zum Vergleich: Bei Windows 10 sind es maximal 2.000 Ereignistypen, dabei analysieren zehn Entwicklerteams die Daten. Microsoft zeigt sich gegenüber dem niederländischen Justizministerium kooperativ und ist zu einer Lösung bereit.Verständlich: Microsoft würden extrem hohe Strafen drohen, sollte der Konzern wissentlich und wiederholt – quasi vorsätzlich – gegen die europäische Datenschutzgrundverordnung verstoßen.

Den deutschsprachigen Artikel der „Privacy Company“ finden Sie hier.

CCC-Sprecher Rieger vergleicht Microsoft Office mit Spyware

Einer der Sprecher des Chaos Computer Clubs (CCC), Frank Rieger, hat Microsoft Office mit Spyware verglichen – hauptsächlich wegen des Fehlens einer Abschaltmöglichkeit der Datenerfassung, das aus seiner Sicht eine Verletzung der Datenschutzgrundverordnung (DSGVO) darstellt. Außerdem fordert er, dass bis auf das Bit aufgeschlüsselt wird, welche Daten Microsoft erhebt.

Auf dem Mikrobloggingdienst Twitter berichtet Rieger davon, dass Microsoft Word, Excel, PowerPoint, Skype und weitere Office-Komponenten mittlerweile 31 verschiedene Verbindungen zu Microsoft aufbauen. Problematisch dabei ist die Tatsache, dass das Sammeln und Senden von Daten nicht komplett verhindert werden kann – es lässt sich zwar reduzieren, grundlegende Informationen werden aber immer erfasst. Als Beispiel postet Rieger eine Übersicht der Verbindungen, die alleine Microsoft Word zu Microsoft-Servern aufbaut:

Foto: Die von Rieger geposteten Verbindungen, die Microsoft Word aufbaut. | © Frank Rieger
Foto: Die von Rieger geposteten Verbindungen, die Microsoft Word aufbaut. | © Frank Rieger

Microsoft erläutert Datenerfassung in eigenem Artikel

Auf einer Support-Seite Microsofts schildert der Softwareriese Details zu Diagnosedaten in Office 365, schwerpunktmäßig geht es hier um Excel, Word, PowerPoint und Outlook für Office 365 (PC und Mac), Excel 2016, Word 2016, PowerPoint 2016, Outlook 2016 (PC und Mac), Word, Excel und PowerPoint für iPad und Excel, PowerPoint, PerformancePoint Dashboard Designer sowie Outlook für iOS und Android.

Demnach werden auf dem Basic-Level Informationen zum Verhalten der Software bei unerwarteten Abstürzen oder anderen Fehlern gesammelt. Auch installierte Add-Ins (inkl. Versionsnummer und Namen) werden ausgelesen. Außerdem wird kontinuierlich geprüft, ob Aktualisierungen bereitstehen.

Bei der vollständigen Fehleranalyse werden auch die zuständigen Speicheradressen und der Speicherstatus im RAM übermittelt. Auch wird erfasst, welche Office-Programme wie lange geöffnet sind.

Wann wird Microsoft nachbessern? Windows 10 als Positivbeispiel

Frank Rieger legt dieses Verhalten als Verstoß gegen die DSGVO aus, schließlich zählen laut dieser IP-Adressen und ausgelesene Cookies als personenbezogene Daten. Er fordert deshalb, dass die Datenerfassung zumindest optional, also abschaltbar, wird. Microsoft ist der Kritik bei der Datenschutzpolitik von Windows 10 bisher entgegen gekommen, so hab es im Rahmen des Fall Creators Update erweiterte Datenschutzeinstellungen bei Apps und der Installation des Betriebssystems. Es bleibt mit Spannung zu erwarten, wann und in welcher Form Microsoft auch bei Office nachbessert – ein solches Vorgehen würde zum seitens des Konzerns verkündeten Plan passen, weite Teile der DSGVO weltweit umzusetzen.

Microsoft zeigt Sympathien für Datenschutzgrundverordnung und plant weltweite Umsetzung zentraler Regelungen

Foto: Blogbeitrag von Julie Brill | © blogs.microsoft.com
Foto: Blogbeitrag von Julie Brill | © blogs.microsoft.com

Trotz allgemeiner Kritik an der DSGVO hält Microsoft die europäische Datenschutzregelung für einen wichtigen Schritt in die richtige Richtung. Im englischsprachigen Blogbeitrag der Microsoft-Vizepräsidentin Julie Brill heißt es unter anderem: „Wir sind enthusiastische Unterstützer der DSGVO, seit sie 2012 erstmals vorgeschlagen wurde. Wir glauben, dass Datenschutz ein fundamentales Menschenrecht darstellt“.

Einige DSGVO-Regelungen sollen bei Microsoft weltweit umgesetzt werden

Microsoft wolle einige der Regelungen der Datenschutzgrundverordnung nicht nur innerhalb der Europäischen Union (EU) einhalten, sondern als für den Konzern weltweit gültigen Standard etablieren. „Als eine EU-Regulierung erschafft die DSGVO neue Rechte für Personen innerhalb der Europäischen Union. Aber wir glauben, dass die DSGVO wichtige Prinzipien etabliert, die weltweit relevant sind“, so Julie Brill weiter. Konkret geht es dabei um die in der Verordnung festgehaltenen Rechte von Personen, deren Daten von Anbietern erfasst und verarbeitet werden. Anbieter müssen beispielsweise informieren, welche Daten gespeichert werden und darüber hinaus die Möglichkeit anbieten, entsprechende Daten zu löschen, anzupassen oder zu einem anderen Anbieter zu übertragen.

Datenschutz schafft Vertrauen

Julie Brill bezeichnet den Datenschutz als vertrauensschaffende Maßnahme, konkret hieß es:

„Wir wissen, dass Menschen nur Technologien einsetzen, denen sie vertrauen. Letztlich wird Vertrauen erzeugt, wenn Menschen sich sicher sind, dass ihre persönlichen Daten sicher sind und sie ein klares Verständnis davon haben, was mit diesen Daten geschieht. Das bedeutet für Firmen wie die Unsere, dass wir eine große Verantwortung haben, den Datenschutz der persönlichen Daten, die wir sammeln, und der Daten, die wir für unsere kommerziellen Kunden verwalten, zu wahren.“

Für aufmerksame Windows- und Office-User scheint das Interesse Microsofts für den Datenschutz allerdings weniger glaubwürdig. So stand und steht Windows 10 aufgrund der Erfassung zahlreicher Daten wiederholt in der Kritik, unlängst machte der Konzern außerdem mit der zwanghaften Übermittlung von Diagnosedaten bei Office für Mac und iOS auf sich aufmerksam.

Microsoft zieht positive Bilanz in puncto Windows-10-Datenschutz – zu Recht?

In einem aktuellen Beitrag im Windows-Blog berichtet Marisa Rogers, Privacy Officer von Windows, wie NutzerInnen gegenüber Microsoft auf die Neuerungen der Datenschutzpolitik von Windows 10 reagieren.

Mit dem Creators Update hat Microsoft die Datenschutzoptionen von Windows 10 erweitert. Bei einer Neuinstallation von Windows 10 erhalten NutzerInnen jetzt einen deutlich besseren Überblick über die Datenschutzeinstellungen als zuvor – die neue Übersicht erklärt die Auswirkungen der Optionen präziser und ersetzt die bisherige Auswahl zwischen „Expresseinstellungen“ und „Erweiterte Einstellungen“ (siehe Foto unten).

Foto: Die neuen Datenschutzeinstellungen werden bei einer Neuinstallation von Windows 10 angezeigt – sie enthalten deutlich mehr Informationen über die Auswirkungen der getätigten Einstellungen | © Microsoft
Foto: Die neuen Datenschutzeinstellungen werden bei einer Neuinstallation von Windows 10 angezeigt – sie enthalten deutlich mehr Informationen über die Auswirkungen der getätigten Einstellungen | © Microsoft

Mit dem Web-basierenden Privacy-Dashboard hat Microsoft eine neue Möglichkeit für NutzerInnen geschaffen, Einsicht in die gesammelten Daten zu erhalten. Hierzu loggt man sich mit dem Microsoft-Konto ein, daraufhin werden Aktivitäten auf unterschiedlichen Microsoft-Services aufgelistet – es wird gezeigt, welche Daten Microsoft dabei sammelt. Schon 23 Millionen NutzerInnen sollen bisher von dem Angebot Gebrauch gemacht haben. Übrigens: 71 Prozent der Windows-10-User konfigurieren die Datenschutzeinstellungen so, dass Microsoft alle Telemetriedaten erfassen darf.

Foto: Microsoft verspricht mit dem Privacy-Dashboard mehr Einsicht für User | Foto: Screenshot microsoft.com
Foto: Microsoft verspricht mit dem Privacy-Dashboard mehr Einsicht für User | Foto: Screenshot microsoft.com

Der Artikel im Windows-Blog erweckt insgesamt den Eindruck, dass Microsoft auf die Community hört und das Feedback in Verbesserungen umsetzt. Ganz so freiwillig und gutmütig ist der Konzern dann nicht ganz: In der Vergangenheit hagelte es Klagen gegen Microsoft – Verbraucherschützer forderten, dass der Konzern seine Datenschutzpolitik ändere. Wir berichteten bereits über den Blauen Brief der EU-Datenschutzbeauftragten im Februar 2017 und die Klage der Verbraucherzentrale Nordrhein-Westfalen im März 2016. Im Juli 2016 klagte zudem die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) wegen Windows 10 – mittlerweile ist die Klage zurückgezogen worden, da Microsoft nur noch ungefähr die Hälfte an Telemetriedaten erfasse. Microsoft hat zudem eine Unterlassungserklärung der Verbraucherzentrale Baden-Württemberg unterzeichnet, durch die sich der Konzern verpflichtet, auf den ungefragten Download von Installationsdateien im Hintergrund zu verzichten. Diese Vorgehensweise war zum Launch von Windows 10 und über einen längeren Zeitraum danach üblich, die Installationsdateien waren bis zu sechs Gigabyte groß.

Datenschutzgrundverordnung (GDPR/DSGVO) greift im Mai 2018

Im Mai 2018 greift die Datenschutzgrundverordnung (GDPR/DSGVO). Laut Rogers erfülle Microsoft bei Windows 10 diese Anforderungen schon jetzt. Weitergehend wurde erklärt, dass Microsoft sich darüber bewusst sei, dass noch nicht alle Forderungen der Nutzerschaft umgesetzt worden seien.

Insgesamt scheint es begrüßenswert, dass Microsoft beim Windows-10-Datenschutz transparenter und nutzerorientierter zu werden scheint. Das ist einerseits dem Druck der Verbraucherschutzinstitutionen, andererseits den NutzerInnen selbst zu verdanken. Ein Anfang scheint gemacht, bleibt zu hoffen, dass Microsoft weiter am Ball bleibt. Das sollte auch im Sinne des Konzerns sein, denn zufriedene Nutzer sind treue und zahlungsfreudige Nutzer.