Microsoft saugt heimlich Daten auch von Business-Kunden ab

Welche Daten nach Redmond fliessen und was man dagegen (nicht) tun kann.
 
Der Datenschutz-Spezialist Privacy Company hat Microsofts Business-Lösungen untersucht und schlägt Alarm. Der Konzern habe systematisch und in grossem Umfang Nutzerdaten von Business-Anwendern gesammelt, ohne diese zu informieren.
 
Es gehe dabei um Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Und es habe bislang keine Möglichkeit gegeben, diese Datensammlung abzuschalten oder Einsicht in den Vorgang zu erhalten, schreibt Privacy Company in einem ausführlichen Blog-Beitrag. Die Userdaten würden schliesslich regelmässig an Server in den USA gesendet.
 
Microsoft nutzt die Daten offenbar für sieben Zwecke: Security, Updates, Performance, Produkteentwicklung, Produkteinnovation, allgemeine Schlussfolgerungen für Machine Learning sowie gezielte Empfehlungen für User.
 
Microsoft gelobt Besserung
Damit könnte Microsoft Probleme mit der Datenschutzgrundverordnung (DSGVO) bekommen, weil sensible Daten wohl rechtswidrig und auf unbestimmte Zeit gespeichert werden. Zum anderen könnte es problematisch sein, dass die Daten an die USA übermittelt werden, während gerade das Privacy-Shield-Abkommen am Europäischen Gerichtshof (EuGH) verhandelt wird.
 
"Wir verpflichten uns, die Privatsphäre unserer Kunden zu schützen, indem wir ihnen die Kontrolle über ihre Daten geben und sicherstellen, dass Office Pro Plus und andere Produkte und Dienstleistungen von Microsoft mit der DSGVO und anderen geltenden Gesetzen übereinstimmen", sagte ein Microsoft-Sprecher gegenüber dem Tech-Portal 'The Next Web'.
 
Anscheinend hat der Konzern im letzten Herbst-Update bereits Änderungen vorgenommen. Man können nun die Telemetriedaten auf null reduzieren (zero exhaust setting), so Privacy Company. Und Microsoft habe versprochen, eine Reihe weiterer Massnahmen zu ergreifen, um die Risiken im Datenschutz zu verringern. So etwa ein Anzeige-Tool für die Telemetriedaten sowie eine Möglichkeit, deren Umfang selbst zu bestimmen. Die niederländische Datenschutzbehörde (DPA) gibt sich laut einer Mitteilung zumindest damit zufrieden.
 
Was tun als Admin?
Privacy Company geht aber von verbleibenden Risiken aus und hat Empfehlungen an Administratoren von Enterprise-Versionen von Office ProPlus veröffentlicht:
  • Übernehmen sie die "Zero-Exhaust"-Einstellung, um die Telemetriedaten auf Null zu setzen.
  • Untersagen sie zentral die Nutzung von Connected Services.
  • Untersagen sie zentral die Übermittlung von personenbezogenen Daten für "Verbesserungen von Office".
  • Verwenden sie nicht die reine Web-Version von Office 365.
  • Verwenden sie nicht SharePoint Online und OneDrive.
  • Löschen sie regelmässig das Active-Directory-Konto von VIP-Usern und erstellen sie diese neu, damit Microsoft die historischen Diagnosedaten löscht.
  • Stellen sie vertrauliche und sensible Daten ausserhalb des Microsoft-Kontos bereit.
Diese Massnahmen seien nicht in allen Fällen realistisch und machbar. Es sei derzeit nicht möglich, dass die Enterprise-Kunden von Office alle Probleme lösen, schliesst der Blogbeitrag von Privacy Company.
 
Die Untersuchung (PDF), ein sogenanntes Data Protection Impact Assessment (DPIA), von Microsofts Enterprise Lösungen, wurde von der niederländischen Regierung in Auftrag gegeben. (ts)