Datenschutz-Ärger: Microsoft sammelt bis zu 25.000 Ereignistypen bei Office
Die Überwachung von Nutzern bestimmter Office-Pakete von Microsoft verstößt laut einer niederländischen Studie gegen die EU-Datenschutzgrundverordnung (DSGVO). "Microsoft erhebt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne öffentliche Dokumentation" , heißt es in der Zusammenfassung(öffnet im neuen Fenster) einer Folgenabschätzung im Auftrag des niederländischen Justizministeriums. Untersucht wurde das Office-Paket Pro Plus (Office 2016 MSI and Office 365) mit den Anwendungen Word, Excel, Powerpoint und Outlook, das von 300.000 Regierungsmitarbeitern in den Niederlanden genutzt wird.
Die Datensammelwut von Microsoft steht schon seit längerem im Fokus der Datenschützer. Kritik gab es beispielsweise an den umfangreichen Voreinstellungen von Windows 10 zur Übertragung von Nutzerdaten . Schon 2016 gab es Berichte, wonach der Einsatz von Windows 10 die Datenschutzrechte von Arbeitnehmern verletzen könnte . Forscher hatten zudem herausgefunden, dass die Office-Programme (Version 2013 und 2016) Access, OneNote, PowerPoint, Project, Publisher, Visio und Word jede Konfiguration und Interaktion an Microsoft schicken.
Deutlich mehr Telemetriedaten als bei Windows
Doch das Ausmaß der Überwachung von Office-Nutzern übersteigt die Auswertung von Windows-Daten bei weitem. Wie aus der 91 Seiten umfassenden Datenschutz-Folgenabschätzung(öffnet im neuen Fenster) (DSFA) des Beratungsunternehmens Privacy Company hervorgeht, gibt es bei Office zwischen 23.000 und 25.000 Ereignisarten, die vom Telemetrie-Client des Pakets an Microsofts Cosmos-Datenbank in den USA gesendet werden. Bei Windows 10 werden den Angaben zufolge nur 1.000 bis 1.200 Ereignisse überwacht.
Während acht bis zehn Entwickler-Teams die Windows-10-Daten auswerteten, analysierten 20 bis 30 Teams die Office-Daten. Nicht einmal Microsoft selbst weiß, welche Ereignisse protokolliert werden. "Es gibt keine Dokumentation oder Übersicht über die Telemetrie-Daten, die von der Office-Software gesammelt werden" , teilte Microsoft der Privacy Company mit. Bis vor kurzem habe es nicht einmal allgemeine Regeln für die Datensammlung gegeben. Die einzelnen Teams hätten selbst entscheiden können, wenn sie neue Ereignisarten anfordern wollten. Da Microsoft den gesamten Datenverkehr verschlüsselt, war es der Privacy Company nicht möglich, die gesendeten Daten zu analysieren.
Deaktivierung unmöglich
Gesammelt werden laut Microsoft beispielsweise Daten, wie lange ein Nutzer mit Word oder Powerpoint gearbeitet hat und ob es Fehlermeldungen gab. Das US-Unternehmen nannte das folgendes fiktive Beispiel für die Auswertung von Inhalten: "Ein Benutzer tippt ein Wort ein, drückt die Rücktaste, gibt das Wort mit einer anderen Schreibweise ein und wiederholt das einige Male. In einem solchen Fall möchten wir die Telemetriedaten verwenden, um herauszufinden, ob wir die Verwendung des Online-Wörterbuchs empfehlen, nachdem ein Benutzer die Rücktaste gedrückt hat."
Den Angaben zufolge werden manche Ereignisse von allen Nutzern protokolliert, in den meisten Fällen sind jedoch nur zwei Prozent der Anwender betroffen. Allerdings zeigt Office den Nutzern nicht an, ob sie für eine Stichprobe zur Ereignisauswertung ausgewählt wurden. Die Auswahl erfolgt automatisch. Es gibt jedoch keine Möglichkeit, der Datenauswertung zu widersprechen.
Manche Daten werden unbegrenzt gespeichert
Ebenfalls problematisch sei die Speicherung der Daten. Diese variiere in der Regel zwischen 30 Tagen und 18 Monaten. Allerdings könnten die Daten nach dem Gutdünken von Microsoft und der Entwicklerteams auch dauerhaft gespeichert werden. "Es ist schwer zu begründen, dass solche alten Daten notwendig, angemessen und relevant sind. Vor allem, weil sogar Microsoft den Überblick verloren hat und nicht den Grund für alle Ereignisse kennt, die einmal hinzugefügt, aber nie gelöscht wurden" , heißt es in dem Bericht.
Relevant für die Datenschutz wird die Sammelwut dann, wenn die Daten einen Personenbezug aufweisen. Hier standen die Experten wieder vor dem Problem, dass sie den Traffic nicht analysieren konnten und Microsoft keinen Überblick lieferte. Das Unternehmen habe zunächst der Einschätzung widersprochen, dass es sich überhaupt um personenbezogene Daten handele. Im Laufe der Untersuchung habe Microsoft jedoch anerkannt, "dass viele Diagnosedaten über die Nutzung von Office und vernetzter Dienste, einschließlich der Telemetriedaten, personenbezogene Daten enthalten" .
Acht Datenschutzrisiken
Einen Hinweis auf den Personenbezug geben dem Bericht zufolge die Auswertung sogenannter Audit-Logs. Mit diesem Überwachungsprotokoll (öffnet im neuen Fenster) können Administratoren selbst die Nutzung von Office kontrollieren. Diese Audit-Logs enthalten demnach E-Mail-Adressen, verschiedene Nutzer-IDs und auch Betreffzeilen von E-Mails.
Laut dem Bericht gibt es für die betroffenen Unternehmen acht Datenschutzrisiken bei Einsatz des Office-Paketes. Dazu zählt die illegale Speicherung von Metadaten und Inhalten, die im Falle von Behörden sogar geheimhaltungsbedürftiges Material betreffen können. Riskant ist darüber hinaus die Speicherung der Daten außerhalb der EU wegen des umstrittenen Privacy-Shield-Abkommens sowie die fehlende Kontrolle über die Art der übertragenen Daten und deren spätere Löschung. Rechtlich problematisch ist zudem die Tatsache, dass sich Microsoft nur als Datenverarbeiter einstuft und nicht als gemeinsam Verantwortlicher, wie es Artikel 26 der DSGVO definiert. Die Rolle akzeptiert Microsoft nur bei bestimmten vernetzten Diensten, wie bei Übersetzungsvorschlägen.
Übersichtstool angekündigt
Das Unternehmen gelobt dem Bericht zufolge inzwischen Besserung. So will Microsoft eine Dokumentation über die Telemetrie-Daten für Office veröffentlichen und den Administratoren mehr Auswahlmöglichkeiten bieten. Auch versprach das Unternehmen, ein Anzeigetool für die Daten zu entwickeln. Der Zeitplan für diese Maßnahmen ist jedoch nicht öffentlich. Als Zwischenlösung hat Microsoft zusammen mit der niederländischen Regierung einige Ports blockiert, von denen Daten in die USA übertragen werden.
Die Experten empfehlen allen Behörden, die Datenschutzrisiken über andere Maßnahmen möglichst zu minimieren. Dazu zähle beispielsweise, sämtliche nicht notwendige vernetzte Dienste abzuschalten. Regierungsbehörden sollten zudem auf die Nutzung von Onlinediensten wie Sharepoint und Onedrive verzichten. Ein Wechsel zur onlinebasierten Version von Office 365 sollte verschoben werden, bis Microsoft angemessene Garantien zum Datenschutz liefere.
Bei der Bearbeitung vertraulicher Dokumente in Office schlägt die Privacy Company die Nutzung eines Stand-alone-Paketes vor. Zudem könnten die Behörden Alternativen zu Office testen. Allerdings erst, wenn es zu dem Produkt eine Datenschutzfolgenabschätzung gebe.