EU – Gebrauchtesoftware

Microsoft zeigt Sympathien für Datenschutzgrundverordnung und plant weltweite Umsetzung zentraler Regelungen

Foto: Blogbeitrag von Julie Brill | © blogs.microsoft.com

Trotz allgemeiner Kritik an der DSGVO hält Microsoft die europäische Datenschutzregelung für einen wichtigen Schritt in die richtige Richtung. Im englischsprachigen Blogbeitrag der Microsoft-Vizepräsidentin Julie Brill heißt es unter anderem: „Wir sind enthusiastische Unterstützer der DSGVO, seit sie 2012 erstmals vorgeschlagen wurde. Wir glauben, dass Datenschutz ein fundamentales Menschenrecht darstellt“.

Einige DSGVO-Regelungen sollen bei Microsoft weltweit umgesetzt werden

Microsoft wolle einige der Regelungen der Datenschutzgrundverordnung nicht nur innerhalb der Europäischen Union (EU) einhalten, sondern als für den Konzern weltweit gültigen Standard etablieren. „Als eine EU-Regulierung erschafft die DSGVO neue Rechte für Personen innerhalb der Europäischen Union. Aber wir glauben, dass die DSGVO wichtige Prinzipien etabliert, die weltweit relevant sind“, so Julie Brill weiter. Konkret geht es dabei um die in der Verordnung festgehaltenen Rechte von Personen, deren Daten von Anbietern erfasst und verarbeitet werden. Anbieter müssen beispielsweise informieren, welche Daten gespeichert werden und darüber hinaus die Möglichkeit anbieten, entsprechende Daten zu löschen, anzupassen oder zu einem anderen Anbieter zu übertragen.

Datenschutz schafft Vertrauen

Julie Brill bezeichnet den Datenschutz als vertrauensschaffende Maßnahme, konkret hieß es:

„Wir wissen, dass Menschen nur Technologien einsetzen, denen sie vertrauen. Letztlich wird Vertrauen erzeugt, wenn Menschen sich sicher sind, dass ihre persönlichen Daten sicher sind und sie ein klares Verständnis davon haben, was mit diesen Daten geschieht. Das bedeutet für Firmen wie die Unsere, dass wir eine große Verantwortung haben, den Datenschutz der persönlichen Daten, die wir sammeln, und der Daten, die wir für unsere kommerziellen Kunden verwalten, zu wahren.“

Für aufmerksame Windows- und Office-User scheint das Interesse Microsofts für den Datenschutz allerdings weniger glaubwürdig. So stand und steht Windows 10 aufgrund der Erfassung zahlreicher Daten wiederholt in der Kritik, unlängst machte der Konzern außerdem mit der zwanghaften Übermittlung von Diagnosedaten bei Office für Mac und iOS auf sich aufmerksam.

USA und Europa: Neue Gesetze sollen Zugriff auf Cloud-Daten im Ausland erleichtern

Die US-Regierung klagt vor dem Obersten Gerichtshof gegen Microsoft – das Ziel: Die Herausgabe von Daten, die auf europäischen Servern des Ur-Konzerns gespeichert sind. Als Grundlage dient hier der „Stored Communications Act“ von 1986, US-Strafverfolgungsbehörden dürfen demnach einen Dienstleistungserbringer mit Sitz in den Vereinigten Staaten dazu auffordern, Daten auf deren Servern im Ausland für Ermittlungszwecke freizugeben. Eine Entscheidung wird für Juni 2018 erwartet. Allerdings könnte die Entscheidung auch obsolet werden, denn am 6. Februar 2018 wurde dem Kongress ein Entwurf vorgelegt, welcher US-Unternehmen dazu zwingt, Inhalts- und Verkehrsdaten offenzulegen – egal, wo diese gespeichert sind. Das Gesetz wird als „Clarifying Lawful Overseas Use of Data (CLOUD) Act“ bezeichnet und soll auch die Zusammenarbeit mit Behörden der EU-Mitgliedsstaaten regeln. EU-Datenschutzgesetze sollen durch Ausnahmen eingehalten werden können, indem US-Unternehmen nach Beantragung davon ausgenommen werden sollen, Daten von Nicht-US-Staatsbürgern offenzulegen. Damit das umgesetzt werden kann, müsste der Staat, in dem das Unternehmen agiert, als „Partnerstaat des CLOUD Act“ registriert sein.

EU-Legislativvorschlag: Einfacherer Zugang zu Inhalts- und Verkehrsdaten in den USA

Parallel dazu arbeitet die EU-Kommission an einem Legislativvorschlag, sodass der Zugang zu Inhalts- und Verkehrsdaten in den USA vereinfacht werden kann. Betroffen wären alle Unternehmen, die Dienste auf europäischem Hoheitsgebiet erbringen. Im Fokus dürften dabei aber sicherlich US-Unternehmen stehen, darunter Facebook, Google und Microsoft. Richtungsweisend wäre ein entsprechendes Gesetz für den Umgang mit digitalen Beweismitteln – denn eine richterliche Anordnung soll nicht erforderlich sein. Das ist insofern problematisch, weil ein solches Gesetz tief in die Grundrechte eingreifen würde. Die Erleichterung des Zugangs zu „elektronischen Beweismitteln“ („e-evidence“) würde in der Praxis der Strafverfolgung insbesondere in Bezug auf Cloud-Daten, Mailserver, Messengerdienste und VoIP-Anrufe interessant sein. Bisher regeln das EU-US-Rechtshilfeabkommen die Herausgabe elektronischer Beweismittel – dieser internationale Rechtsweg kann bis zu zehn Monate in Anspruch nehmen. Da Kommunikationsdaten mitunter nur wenige Wochen gespeichert werden dürfen, ist ein solches Verfahren in vielen Fällen schlicht zu langsam. Laut EU-Kommission machen die EU-Mitgliedsstaaten nur etwa 4.000 Mal im Jahr davon Gebrauch. Ausnahme: Zur Abwehr einer unmittelbar bevorstehenden Gefahr dürfen Firmen nach US-Gesetzgebung Verkehrsdaten an europäische Behörden weitergeben. Diese Direktanfragen werden jährlich bei etwa 100.000 Vorgängen genutzt.

Sensible Daten gehören nicht in eine Cloud-Umgebung!

Bei Daten, die in Cloud-Umgebungen gespeichert werden, ist man in puncto Sicherheit vollständig vom jeweiligen Anbieter abhängig. Durch die geplanten Gesetzesänderungen in den USA und Europa könnten Behörden noch leichter Einsicht in entsprechende Daten erhalten – teils sogar ohne richterliche Anordnung. Das ist für die Verbrechensbekämpfung zwar mitunter nützlich, bleibt aber ein tiefer Eingriff in die Grundrechte. Es bleibt zu hoffen, dass bei entsprechender Realisierung der Gesetzesänderungen eindeutige Vorgaben beschlossen werden, die den Umgang mit Daten regeln. Die aktuelle Lage verdeutlicht: Vorsicht bei der Datensicherung in der Cloud – insbesondere, wenn es um sensible Daten geht! Die Auslagerung sensibler Daten geht mit einem Kontrollverlust einher und stellt immer ein Risiko dar, schließlich übernimmt ein Unternehmen den Schutz der Daten vor Dritten. Außerdem kann im Zweifelsfall nicht wirklich verhindert werden, dass jemand Zugriff auf die Daten erhält, seien es Behörden, Cyberkriminelle, Mitbewerber oder andere Unbefugte.

Microsoft zieht positive Bilanz in puncto Windows-10-Datenschutz – zu Recht?

In einem aktuellen Beitrag im Windows-Blog berichtet Marisa Rogers, Privacy Officer von Windows, wie NutzerInnen gegenüber Microsoft auf die Neuerungen der Datenschutzpolitik von Windows 10 reagieren.

Mit dem Creators Update hat Microsoft die Datenschutzoptionen von Windows 10 erweitert. Bei einer Neuinstallation von Windows 10 erhalten NutzerInnen jetzt einen deutlich besseren Überblick über die Datenschutzeinstellungen als zuvor – die neue Übersicht erklärt die Auswirkungen der Optionen präziser und ersetzt die bisherige Auswahl zwischen „Expresseinstellungen“ und „Erweiterte Einstellungen“ (siehe Foto unten).

Foto: Die neuen Datenschutzeinstellungen werden bei einer Neuinstallation von Windows 10 angezeigt – sie enthalten deutlich mehr Informationen über die Auswirkungen der getätigten Einstellungen | © Microsoft

Mit dem Web-basierenden Privacy-Dashboard hat Microsoft eine neue Möglichkeit für NutzerInnen geschaffen, Einsicht in die gesammelten Daten zu erhalten. Hierzu loggt man sich mit dem Microsoft-Konto ein, daraufhin werden Aktivitäten auf unterschiedlichen Microsoft-Services aufgelistet – es wird gezeigt, welche Daten Microsoft dabei sammelt. Schon 23 Millionen NutzerInnen sollen bisher von dem Angebot Gebrauch gemacht haben. Übrigens: 71 Prozent der Windows-10-User konfigurieren die Datenschutzeinstellungen so, dass Microsoft alle Telemetriedaten erfassen darf.

Foto: Microsoft verspricht mit dem Privacy-Dashboard mehr Einsicht für User | Foto: Screenshot microsoft.com

Der Artikel im Windows-Blog erweckt insgesamt den Eindruck, dass Microsoft auf die Community hört und das Feedback in Verbesserungen umsetzt. Ganz so freiwillig und gutmütig ist der Konzern dann nicht ganz: In der Vergangenheit hagelte es Klagen gegen Microsoft – Verbraucherschützer forderten, dass der Konzern seine Datenschutzpolitik ändere. Wir berichteten bereits über den Blauen Brief der EU-Datenschutzbeauftragten im Februar 2017 und die Klage der Verbraucherzentrale Nordrhein-Westfalen im März 2016. Im Juli 2016 klagte zudem die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) wegen Windows 10 – mittlerweile ist die Klage zurückgezogen worden, da Microsoft nur noch ungefähr die Hälfte an Telemetriedaten erfasse. Microsoft hat zudem eine Unterlassungserklärung der Verbraucherzentrale Baden-Württemberg unterzeichnet, durch die sich der Konzern verpflichtet, auf den ungefragten Download von Installationsdateien im Hintergrund zu verzichten. Diese Vorgehensweise war zum Launch von Windows 10 und über einen längeren Zeitraum danach üblich, die Installationsdateien waren bis zu sechs Gigabyte groß.

Datenschutzgrundverordnung (GDPR/DSGVO) greift im Mai 2018

Im Mai 2018 greift die Datenschutzgrundverordnung (GDPR/DSGVO). Laut Rogers erfülle Microsoft bei Windows 10 diese Anforderungen schon jetzt. Weitergehend wurde erklärt, dass Microsoft sich darüber bewusst sei, dass noch nicht alle Forderungen der Nutzerschaft umgesetzt worden seien.

Insgesamt scheint es begrüßenswert, dass Microsoft beim Windows-10-Datenschutz transparenter und nutzerorientierter zu werden scheint. Das ist einerseits dem Druck der Verbraucherschutzinstitutionen, andererseits den NutzerInnen selbst zu verdanken. Ein Anfang scheint gemacht, bleibt zu hoffen, dass Microsoft weiter am Ball bleibt. Das sollte auch im Sinne des Konzerns sein, denn zufriedene Nutzer sind treue und zahlungsfreudige Nutzer.

Blauer Brief nach Redmond: EU unzufrieden mit Microsoft-Datenschutz

Die EU-Datenschutzbeauftragten haben Microsoft erneut wegen des Sammelns von Daten gerügt. Die Artikel-29-Datenschutzgruppe, ein unabhängiges Beratungsgremium der Europäischen Kommission, zeigt sich bezüglich der Datenschutzpolitik Microsofts noch immer besorgt.

Datenschützer aus Europa arbeiten zusammen

Um auf die Missstände im Redmonder Konzern aufmerksam zu machen und an eine Veränderung der Datenschutzrichtlinien zu erinnern, verschickte die Arbeitsgruppe jetzt einen „blauen Brief“ an den US-Großkonzern. Darin wird zum Ausdruck gebracht, dass man auf eine gute Kooperation und die Änderung der Datenschutzpolitik vertraue. An den Untersuchungen waren auch Behörden aus Ungarn, Deutschland, Spanien, Großbritannien, Slowenien und den Niederlanden beteiligt. Für die Koordination ist eine Stelle in Bayern verantwortlich.

NutzerInnen sollen nicht ausreichend informiert worden sein

Kritisiert werden mehrere Vorgänge Microsofts, beispielsweise bei der Express-Installation von Microsofts Betriebssystem Windows 10. Hier werfen Verbraucherschützer erneut vor, dass NutzerInnen nicht ausreichend darüber in Kenntnis gesetzt werden, welche Daten genau erfasst werden. Es reiche nicht aus, einfach mit Hilfe eines Schiebereglers festzulegen, ob viele oder weniger Daten gesammelt werden sollen. Vielmehr muss ersichtlich werden, welche Daten erfasst werden. Außerdem werde nicht deutlich, zu welchem Zweck die Daten erhoben und an Microsoft gesendet werden.

Mit dem „blauen Brief“ erinnern die Datenschützer Microsoft nicht zum ersten Mal. Bereits vor über einem Jahr erhielt Microsoft Post aus Brüssel. Auch hier ging es um die Windows-10-Instllation. Microsoft musste Angaben zur Grundinstallation machen und offenlegen, welche Art und Menge an Daten gesammelt werden. Datenschutzexperten der Europäischen Union prüften diese Angaben daraufhin und forderten die Microsoft-Verantwortlichen zu Änderungen auf.