• IT-Karriere:
  • Services:

Komplexe Telemetrie kaum zu überprüfen

Die Frage nach der Datenschutzkonformität bei Microsoft-Produkten beschäftigt europäische Behörden schon seit Jahren. So hat das Unternehmen nach Einschätzung des niederländischen Justizministeriums im vergangenen Jahr zahlreiche Datenschutzprobleme bei seinen Softwareprodukten gelöst. Zuvor war nachgewiesen worden, dass es bei Office zwischen 23.000 und 25.000 Ereignisarten gibt, die vom Telemetrie-Client des Pakets an Microsofts Cosmos-Datenbank in den USA gesendet werden. Bei Windows 10 werden den Angaben zufolge nur 1.000 bis 1.200 Ereignisse überwacht.

Stellenmarkt
  1. Hays AG, Hamburg
  2. Heinrich Kühlmann GmbH & Co. KG, Westerwiehe

Nach Informationen von Golem.de hat sich bei Überprüfungen von Office-Produkten festgestellt, dass selbst die Microsoft-Mitarbeiter nicht mit 100-prozentiger Sicherheit erklären können, welche Daten zu welchem Zweck übertragen werden. Darüber hinaus soll es schwierig sein, eine pauschale Bewertung von Microsoft-Produkten abzugeben, weil diese sich je nach Vertrag deutlich unterscheiden könnten.

Es gibt nicht das eine "Office 365"

Das sieht auch die auf IT-Recht spezialisierte Anwältin Nina Diercks so. Dabei sei "wichtig zu bemerken, dass es kein Produkt 'Office 365' gibt, das prüfbar wäre. Office 365 ist ein Oberbegriff für eine ganze Produktgruppe. Und selbst dieser Oberbegriff ist inzwischen veraltet, weil es derzeit zwei Produktgruppen gibt, nämlich Office 365 und Microsoft 365". Innerhalb dieser beiden Produktgruppen gebe es zum einen zahlreiche Produkte bzw. Lizenzen - von Microsoft "Pläne" genannt (Business, E1, E3, E5 uvm.), schreibt sie weiter. Diese beiden Produktgruppen mit den jeweiligen Plänen würden dann noch branchenspezifisch angepasst.

Nach Ansicht von Diercks ist zudem der Hinweis wichtig, dass die geprüften Dokumente den "Stand Januar 2020" aufwiesen. "Wer sich näher mit Microsoft Office 365 Produkten in den letzten Jahren beschäftigt hat, der weiß, dass Microsoft seit Januar 2020 nicht nur Änderungen in den Verträgen, sondern vor allem auch umfängliche und erhebliche Änderungen in der Dokumentation vorgenommen hat. Das heißt, ob die OST und das DPA aus 2020 einen datenschutzgerechten Einsatz ermöglichen oder nicht, ist nur noch aus rechtshistorischer Sicht interessant", schreibt die Anwältin.

Ist Office jetzt datenschutzwidrig?

Laut Diercks ergibt sich aus der knappen Entscheidung der DSK zu dem Arbeitskreispapier zumindest nicht, dass Office 365 oder Microsoft 365 "seit heute klar datenschutzwidrig" seien. Allerdings könne man sich als Unternehmen nicht darauf verlassen, dass die Produkte und Pläne "einfach ohne jedwede Konfiguration der Grundeinstellungen oder jedenfalls die Nachprüfung dieser Konfiguration datenschutzkonform genutzt werden können".

Microsoft 365 Family | 6 Nutzer | Mehrere PCs/Macs, Tablets und mobile Geräte | 1 Jahresabonnement | Download Code

Was die umstrittene Entscheidung der DSK für betroffene Unternehmen und Behörden bedeutet, ist derzeit unklar. Zumindest die Bundesländer, die gegen das Papier gestimmt haben, dürften nicht dazu übergehen, den Einsatz von Office-Produkten zu untersagen. Die Datenschutzbeauftragten der anderen acht Bundesländer könnten möglicherweise damit beginnen, die verwendeten Office-Programme stichprobenartig zu überprüfen oder bei neuen Beschaffungen ihre Bedenken geltend zu machen. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber hat der Bewertung des Arbeitskreises zugestimmt. Vielleicht steckt auch nur die Absicht dahiner, den Druck auf Microsoft zu erhöhen, um weitere Nachbesserungen zu erzwingen.

Einen ersten Präzedenzfall zu der Problematik könnte es demnächst in Baden-Württemberg geben. Dort könnte das Kultusministerium eine Lernplattform auf der Basis von Microsoft 365 beschließen. Ob der Landesdatenschutzbeauftragte Stefan Brink die Pläne ablehnt oder befürwortet, wird sich vermutlich gegen Ende des Monats entscheiden.

Nachtrag vom 6. Oktober 2020, 11:20 Uhr

Der Beschluss der DSK vom 22. September 2020 zu Microsoft Office 365 hält unter anderem fest, dass neben den vier genannten Bundesländern auch Rheinland-Pfalz und Sachsen darum gebeten haben, ihr abweichendes Votum kenntlich zu machen. An der neuen Arbeitsgruppe nehmen Vertreter des Bundesdatendatenschutzbeauftragten sowie der Bundesländer Mecklenburg-Vorpommern, Sachsen und Schleswig-Holstein teil. Die Federführung übernehmen Brandenburg und Bayern.

Die vierseitige Bewertung des Arbeitskreises Verwaltung, die Golem.de vorliegt, führt sechs verschiedene Kritikpunkte an Microsoft auf. Dazu zählen unter anderem "Art und Zweck der Verarbeitung, Art der personenbezogenen Daten", " Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für legitime Geschäftszwecke", " Offenlegung verarbeiteter Daten - Cloud Act" und " Löschung und Rückgabe personenbezogener Daten".

So besteht nach Ansicht des Arbeitskreises "für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetrie, neben dem Auftragsverarbeitungsvertrag keine weitere Rechtsgrundlage". Kritisiert werden zudem die Datenschutzbestimmungen hinsichtlich der Weitergabe der Kundendaten an US-Behörden im Zusammenhang mit dem Cloud-Act. Die betreffende Beschreibung sei "nicht hinreichend konkret und bestimmt nicht die durch den Auftraggeber vertraglich zu definierenden Rechte".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Office 365: Warum Microsoft die Datenschützer spaltet
  1.  
  2. 1
  3. 2


Anzeige
Mobile-Angebote
  1. 350,10€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  2. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  3. 594€ (mit Rabattcode "YDENUEDR6CZQWFQM" - Bestpreis!)

derdiedas 22. Okt 2020 / Themenstart

Nur so zur Info - es gibt nicht "den" Staat, sondern wir alle sind der Staat!

wo.ist.der... 07. Okt 2020 / Themenstart

Einfach nur nein! Wie kommt man zi so einem Bullshit? ALLE Datenschutzbehörden werfen MS...

wo.ist.der... 07. Okt 2020 / Themenstart

MS Datenschutzpolitik ist so undurchsichtig und wechselhaft, dass man es nicht...

Hans Franz 06. Okt 2020 / Themenstart

Solange man damit nur seinen eigenen Einkaufszettel schreibt.

z3r03nna 06. Okt 2020 / Themenstart

Natürlich ist das möglich. Solche Software wird schon tausendfach durch halbwegs...

Kommentieren


Folgen Sie uns
       


E-Book-Reader Pocketbook Color im Test

Das Pocketbook Color ist der erste E-Book-Reader mit einem Farbbildschirm. Wir haben uns das Gerät angeschaut.

E-Book-Reader Pocketbook Color im Test Video aufrufen
Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

    •  /