Microsoft-Telemetrie: Weiter Datenschutzprobleme mit Office und Windows

Nach Einschätzung einer niederländischen Studie hat Microsoft in den vergangenen Monaten zahlreiche Datenschutzprobleme bei seinen Softwareprodukten gelöst. Aus neuen Folgenabschätzungen im Auftrag des niederländischen Justizministeriums geht jedoch hervor, dass bei bestimmten Office-Produkten und Windows-Versionen die Vorgaben nicht umgesetzt wurden. Das betreffe unter anderem Office Online und die mobilen Office-Apps, berichtete das Beratungsunternehmen Privacy Company am 29. Juli 2019. Auch bei Windows 10 Enterprise gebe es noch Risiken.

Stellenmarkt

1. Product Designer UX/UI (m/f/d)
   ToolTime GmbH, Berlin
2. Junior IT-Manager (m/w/d) Anwendungs-Support
   ABO Wind AG, Ingelheim am Rhein

Detailsuche

Einer der Untersuchungen zufolge (PDF) senden mindestens drei iOS-Apps (Word, Powerpoint und Excel) Daten an das US-Marktforschungsunternehmen Braze, das Nutzerprofile erstelle und an keinerlei Datenschutzvorgaben von Microsoft gebunden sei. "Das geschieht ohne jede Information über die Zwecke dieser Verarbeitung und ohne dass Administratoren oder Nutzer eine Möglichkeit haben, dies zu unterbinden", heißt es weiter.

Clouddienste lassen sich deaktivieren

Privacy Company hatte im vergangenen Jahr nachgewiesen, dass die Überwachung von Nutzern bestimmter Office-Pakete von Microsoft gegen die EU-Datenschutz-Grundverordnung (DSGVO) verstößt. Demnach gibt es bei Office zwischen 23.000 und 25.000 Ereignisarten, die vom Telemetrie-Client des Pakets an Microsofts Cosmos-Datenbank in den USA gesendet werden. Bei Windows 10 werden den Angaben zufolge 1.000 bis 1.200 Ereignisse überwacht.

Dem Beitrag zufolge hat Microsoft weltweit eine große Anzahl von technischen und organisatorischen Maßnahmen umgesetzt, um die Datenschutzrisiken bei Office 365 ProPlus zu reduzieren. Darüber hinaus seien die Telemetrie-Daten von Office ProPlus in das Datendiagnose-Tool von Windows integriert worden. Administratoren haben nun die Möglichkeit, 14 cloudbasierte Anwendungen ("optional verbundene Dienste") global zu deaktivieren. Zudem können Admins seit der Version 1904 von Office ProPlus das Telemetrie-Niveau minimieren. Bei der Ebene "Weder noch" werden laut Microsoft "keine Diagnosedaten über die auf dem Gerät des Benutzers ausgeführte Office-Clientsoftware gesammelt und an Microsoft gesendet".

Bessere Windows-Einstellungen

Golem Akademie

1. Einführung in Unity: virtueller Ein-Tages-Workshop
   17. Februar 2022, Virtuell
2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
   24.–28. Januar 2022, virtuell

Weitere IT-Trainings

Bei den Windows-Versionen gibt es die Möglichkeit, das Niveau der Diagnosedaten auf "Sicherheit" zu setzen. Diese Einstellung steht für Windows 10 Enterprise, Windows 10 Mobile und Windows Server zur Verfügung. Dabei werden lediglich "für den Schutz von Windows und Windows Server erforderliche Informationen" übertragen. Laut Privacy Company (PDF) bestehen in diesem Fall keine hohen Datenschutzrisiken, da Microsoft "sehr wenige und keine sensiblen personenbezogenen Daten" verarbeitet. Dennoch bestünden vier niedrigere Risiken, unter anderem durch die Datenübertragung in die USA und die lange Speicherdauer der Daten. Über eine Gruppenrichtlinie lässt sich die Datenübertragung zudem komplett deaktivieren.

Fünf hohe Risiken

Das Beratungsunternehmen empfiehlt Organisationen mit Microsoft-Produkten eine Reihe von Maßnahmen, um das Datenschutzniveau zu verbessern. So sollten sie eine aktuelle Office-Version installieren und das Telemetrie-Niveau auf "Weder noch" setzen. Admins sollten die Nutzung der "verbundenen Dienste" und die Integration von LinkedIn in Office ProPlus unterbinden.

Mit Blick auf die Online-Produkte empfiehlt Privacy Company, die Mitarbeiter vor der Nutzung der mobilen Office-Apps und der "verbundenen Dienste" in Office Online zu warnen, solange die bestehenden fünf hohen Risiken nicht beseitigt worden seien. Laut Folgenabschätzung (PDF) gehören dazu der Mangel an Transparenz, fehlende Opt-out-Möglichkeiten, die gesetzeswidrige Datensammlung durch die "verbundenen Dienste" und die fehlende Kontrolle über die Weiterverarbeitung der Daten. Organisationen sollten daher die "verbundenen Dienste" sofort deaktivieren, wenn dies ermöglicht werden sollte.