Komplexe Telemetrie kaum zu überprüfen

Die Frage nach der Datenschutzkonformität bei Microsoft-Produkten beschäftigt europäische Behörden schon seit Jahren. So hat das Unternehmen nach Einschätzung des niederländischen Justizministeriums im vergangenen Jahr zahlreiche Datenschutzprobleme bei seinen Softwareprodukten gelöst. Zuvor war nachgewiesen worden, dass es bei Office zwischen 23.000 und 25.000 Ereignisarten gibt, die vom Telemetrie-Client des Pakets an Microsofts Cosmos-Datenbank in den USA gesendet werden. Bei Windows 10 werden den Angaben zufolge nur 1.000 bis 1.200 Ereignisse überwacht.

Stellenmarkt
  1. Software Project Engineer (m/w/d)
    Vanderlande Industries GmbH & Co. KG, Siegen
  2. Education Coordinator (m/w/d) für Archicad
    GRAPHISOFT Deutschland GmbH, München, Nürnberg
Detailsuche

Nach Informationen von Golem.de hat sich bei Überprüfungen von Office-Produkten festgestellt, dass selbst die Microsoft-Mitarbeiter nicht mit 100-prozentiger Sicherheit erklären können, welche Daten zu welchem Zweck übertragen werden. Darüber hinaus soll es schwierig sein, eine pauschale Bewertung von Microsoft-Produkten abzugeben, weil diese sich je nach Vertrag deutlich unterscheiden könnten.

Es gibt nicht das eine "Office 365"

Das sieht auch die auf IT-Recht spezialisierte Anwältin Nina Diercks so. Dabei sei "wichtig zu bemerken, dass es kein Produkt 'Office 365' gibt, das prüfbar wäre. Office 365 ist ein Oberbegriff für eine ganze Produktgruppe. Und selbst dieser Oberbegriff ist inzwischen veraltet, weil es derzeit zwei Produktgruppen gibt, nämlich Office 365 und Microsoft 365". Innerhalb dieser beiden Produktgruppen gebe es zum einen zahlreiche Produkte bzw. Lizenzen - von Microsoft "Pläne" genannt (Business, E1, E3, E5 uvm.), schreibt sie weiter. Diese beiden Produktgruppen mit den jeweiligen Plänen würden dann noch branchenspezifisch angepasst.

Nach Ansicht von Diercks ist zudem der Hinweis wichtig, dass die geprüften Dokumente den "Stand Januar 2020" aufwiesen. "Wer sich näher mit Microsoft Office 365 Produkten in den letzten Jahren beschäftigt hat, der weiß, dass Microsoft seit Januar 2020 nicht nur Änderungen in den Verträgen, sondern vor allem auch umfängliche und erhebliche Änderungen in der Dokumentation vorgenommen hat. Das heißt, ob die OST und das DPA aus 2020 einen datenschutzgerechten Einsatz ermöglichen oder nicht, ist nur noch aus rechtshistorischer Sicht interessant", schreibt die Anwältin.

Ist Office jetzt datenschutzwidrig?

Golem Akademie
  1. Data Engineering mit Apache Spark: virtueller Zwei-Tage-Workshop
    25.–26. April 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Laut Diercks ergibt sich aus der knappen Entscheidung der DSK zu dem Arbeitskreispapier zumindest nicht, dass Office 365 oder Microsoft 365 "seit heute klar datenschutzwidrig" seien. Allerdings könne man sich als Unternehmen nicht darauf verlassen, dass die Produkte und Pläne "einfach ohne jedwede Konfiguration der Grundeinstellungen oder jedenfalls die Nachprüfung dieser Konfiguration datenschutzkonform genutzt werden können".

Microsoft 365 Family | 6 Nutzer | Mehrere PCs/Macs, Tablets und mobile Geräte | 1 Jahresabonnement | Download Code

Was die umstrittene Entscheidung der DSK für betroffene Unternehmen und Behörden bedeutet, ist derzeit unklar. Zumindest die Bundesländer, die gegen das Papier gestimmt haben, dürften nicht dazu übergehen, den Einsatz von Office-Produkten zu untersagen. Die Datenschutzbeauftragten der anderen acht Bundesländer könnten möglicherweise damit beginnen, die verwendeten Office-Programme stichprobenartig zu überprüfen oder bei neuen Beschaffungen ihre Bedenken geltend zu machen. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber hat der Bewertung des Arbeitskreises zugestimmt. Vielleicht steckt auch nur die Absicht dahiner, den Druck auf Microsoft zu erhöhen, um weitere Nachbesserungen zu erzwingen.

Einen ersten Präzedenzfall zu der Problematik könnte es demnächst in Baden-Württemberg geben. Dort könnte das Kultusministerium eine Lernplattform auf der Basis von Microsoft 365 beschließen. Ob der Landesdatenschutzbeauftragte Stefan Brink die Pläne ablehnt oder befürwortet, wird sich vermutlich gegen Ende des Monats entscheiden.

Nachtrag vom 6. Oktober 2020, 11:20 Uhr

Der Beschluss der DSK vom 22. September 2020 zu Microsoft Office 365 hält unter anderem fest, dass neben den vier genannten Bundesländern auch Rheinland-Pfalz und Sachsen darum gebeten haben, ihr abweichendes Votum kenntlich zu machen. An der neuen Arbeitsgruppe nehmen Vertreter des Bundesdatendatenschutzbeauftragten sowie der Bundesländer Mecklenburg-Vorpommern, Sachsen und Schleswig-Holstein teil. Die Federführung übernehmen Brandenburg und Bayern.

Die vierseitige Bewertung des Arbeitskreises Verwaltung, die Golem.de vorliegt, führt sechs verschiedene Kritikpunkte an Microsoft auf. Dazu zählen unter anderem "Art und Zweck der Verarbeitung, Art der personenbezogenen Daten", " Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für legitime Geschäftszwecke", " Offenlegung verarbeiteter Daten - Cloud Act" und " Löschung und Rückgabe personenbezogener Daten".

So besteht nach Ansicht des Arbeitskreises "für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetrie, neben dem Auftragsverarbeitungsvertrag keine weitere Rechtsgrundlage". Kritisiert werden zudem die Datenschutzbestimmungen hinsichtlich der Weitergabe der Kundendaten an US-Behörden im Zusammenhang mit dem Cloud-Act. Die betreffende Beschreibung sei "nicht hinreichend konkret und bestimmt nicht die durch den Auftraggeber vertraglich zu definierenden Rechte".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Office 365: Warum Microsoft die Datenschützer spaltet
  1.  
  2. 1
  3. 2


derdiedas 22. Okt 2020

Nur so zur Info - es gibt nicht "den" Staat, sondern wir alle sind der Staat!

wo.ist.der... 07. Okt 2020

Einfach nur nein! Wie kommt man zi so einem Bullshit? ALLE Datenschutzbehörden werfen MS...

wo.ist.der... 07. Okt 2020

MS Datenschutzpolitik ist so undurchsichtig und wechselhaft, dass man es nicht...

Hans Franz 06. Okt 2020

Solange man damit nur seinen eigenen Einkaufszettel schreibt.

z3r03nna 06. Okt 2020

Natürlich ist das möglich. Solche Software wird schon tausendfach durch halbwegs...



Aktuell auf der Startseite von Golem.de
Radeon RX 6500 XT im Test
Die Flaschenhals-Grafikkarte

Knapp bemessen: Die Radeon RX 6500 XT taugt zwar für 1080p-Gaming, aber nur wenn bei den Grafikeinstellungen sehr genau hingeschaut wird.
Ein Test von Marc Sauter

Radeon RX 6500 XT im Test: Die Flaschenhals-Grafikkarte
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. Guerrilla Games: Entwickler stellen Story von Horizon Forbidden West vor
    Guerrilla Games
    Entwickler stellen Story von Horizon Forbidden West vor

    Ohne ernsthafte Spoiler zeigt ein neuer Trailer die Handlung von Horizon Forbidden West - und bestätigt den Starttermin.

  3. Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
    Corona-Warn-App
    Jede geteilte Warnung kostete 100 Euro

    Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Samsung 16GB DDR5-4800 199€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /