Was ist passiert?

Microsoft steht nach einer unabhängigen Untersuchung als Datenkrake am Pranger. Im Visier ist das Bürosoftware-Paket «Office». Die Untersuchung wurde im Auftrag der niederländischen Regierung durchgeführt.

Warum wurde diese Untersuchung veranlasst?

Es geht um den Software-Einsatz bei staatlichen Institutionen. Also auch um den Umgang mit persönlichen, zum Teil vertraulichen Daten der Bürgerinnen und Bürger.

Die niederländische Regierung wollte es genau wissen und hat den Einsatz von Microsoft Word und Co. in seinen Amtsstuben untersuchen lassen.

Futurezone.at schreibt:

«In den Niederlanden verwenden zahlreiche Behörden Microsoft-Office-Software, meist sind Office 2016 und Office 365 (oder ältere Versionen) in Enterprise-Versionen auf den Rechnern der Behörden-Mitarbeiter installiert. Insgesamt sind rund 300'000 Arbeitsplätze in Ministerien, Ämtern und der Polizei mit der Microsoft-Software ausgestattet.»

Wo ist das Problem?

«Microsoft sammelt systematisch und in grossem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Und das heimlich, ohne die Leute zu informieren.»

Das Datenschutz-Hauptproblem, das sich bei der Nutzung von Office-Software stellt: Personenbezogene Daten werden automatisch erhoben und an Microsoft-Server übermittelt.

Die gesammelten User-Daten werden (verschlüsselt) übers Internet an Microsoft-Server in den USA gesendet.

Damit verstösst der US-Konzern laut Untersuchung in verschiedener Hinsicht gegen die europäische Datenschutzgrundverordnung (DSGVO). Also gegen geltendes Recht, das in Teilen auch für die Schweiz Anwendung findet.

Welche Daten werden übermittelt?

Es geht in erster Linie um sogenannte Telemetriedaten. Anbieter Microsoft kann aus solchen Nutzerdaten ableiten, ob sich seine Software in der Praxis bewährt und ob Anpassungen nötig sind, damit sie Kunden noch effizienter einsetzen können.

  • Laut futurezone.at sammelt Microsoft etwa Informationen über «Ereignisse» im Textverarbeitungsprogramm Word, zum Beispiel wenn die Rücktaste (Backspace) mehrmals hintereinander gedrückt worden sei.
  • Erfasst und gespeichert werde auch die Nutzung von Connected Services, wie etwa dem Übersetzungsdienst. Auf diese Weise könnten auch Inhalte zu Microsoft gelangen.
  • Insgesamt würden bis zu 25'000 Arten von Ereignissen an die Server von Microsoft in den USA gesendet.

Golem.de schreibt:

«Laut dem Bericht gibt es für die betroffenen Unternehmen acht Datenschutzrisiken bei Einsatz des Office-Paketes. Dazu zählt die illegale Speicherung von Metadaten und Inhalten, die im Falle von Behörden sogar geheimhaltungsbedürftiges Material betreffen können.»

Welche Office-Versionen wurden untersucht?

Die «ProPlus»-Angebote für Geschäftskunden. Konkret:

  • Office 2016, mit «Windows Installer Technology» (MSI).
  • Office 365, Click-to-Run (CTR). 

In den Paketen enthalten sind die neusten Office-Anwendungen, von Access über Excel und Outlook bis PowerPoint und Word. Für PCs, Macs, Mobilgeräte und online. Hinzu kommen Zusatzdienstleistungen wie Cloud-Speicher etc.

Was nun?

Die gute Nachricht:

Administratoren der Enterprise-Version von Office ProPlus können bereits eine Reihe von spezifischen Massnahmen ergreifen, um das Datenschutzrisiko für Mitarbeiter und andere Personen (...) zu senken.

Allerdings gibt es ein fettes Aber, wie aus dem Fazit zur Datenschutz-Untersuchung hervorgeht:

«Diese Massnahmen sind nicht in allen Fällen realistisch oder machbar. Es ist nicht möglich, dass die (Enterprise-) Kunden von Office alle Probleme selbst lösen. Was die Verträge und die Übermittlung personenbezogener Daten an die USA betrifft, so muss eine europäische Lösung gefunden werden.»

Sprich: Auch die Schweiz wäre gefordert.

Regierungsbehörden sollten laut Datenschutz-Bericht auf die Nutzung von Online-Diensten wie Sharepoint und Onedrive verzichten. Und ein Wechsel zur onlinebasierten Version von Office 365 sollte verschoben werden, bis Microsoft angemessene Garantien zum Datenschutz liefere.

Bei der Bearbeitung vertraulicher Dokumente in Office schlagen die Datenschutz-Spezialisten laut golem.de «die Nutzung eines Stand-alone-Pakets» vor. «Zudem könnten die Behörden Alternativen zu Office testen. Allerdings erst, wenn es zu dem Produkt eine Datenschutzfolgenabschätzung gebe.»

Wie reagiert Microsoft?

Microsoft habe dem nun veröffentlichten Bericht zufolge inzwischen Besserung gelobt, fasst golem.de zusammen. So wolle das US-Unternehmen eine Dokumentation über die Telemetrie-Daten für Office veröffentlichen und den Administratoren mehr Auswahlmöglichkeiten bieten.

Auch habe das Unternehmen versprochen, ein Anzeigetool für die Daten zu entwickeln. Der Zeitplan für diese Massnahmen sei jedoch nicht öffentlich.

Ist das Problem neu?

Jein.

«Die Datensammelwut von Microsoft» stehe schon seit längerem im Fokus der Datenschützer, ruft golem.de in Erinnerung. Kritik habe es beispielsweise an den umfangreichen Voreinstellungen von Windows 10 zur Übertragung von Nutzerdaten gegeben.

(via futurezone.at)