Das niederländische Ministerium für Sicherheit und Recht wollte sichergehen, ob die eingesetzte Software im Einklang mit der Datenschutzgrundverordnung und gesetzlichen Bestimmungen ist. Unter anderem kommt auch Microsoft Office in niederländischen Behörden zum Einsatz.
Beauftragt wurde die Privacy Company.
Deren Spezialisten untersuchen im Auftrag von Organisationen Produkte, ob diese die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllen.
Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind alarmierend. Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation. Der vom Ministerium veröffentlichte DPIA-Bericht (in englischer Sprache) ist hier verfügbar.

Der Bericht legt Beunruhigendes für Office-Nutzer bzw. die Verantwortlichen in Firmen offen. Hier einige Punkte:

  • Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die Möglichkeit, die Sammlung auszuschalten, oder die Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist.
  • Ähnlich wie bei Windows 10 hat Microsoft in die Office-Software eine separate Software integriert, die regelmäßig Telemetriedaten an ihre eigenen Server in den USA sendet. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, wenn Sie die Rücktaste mehrmals hintereinander verwenden, was wahrscheinlich bedeutet, dass Sie die korrekte Schreibweise nicht kennen. Aber auch der Satz vor und nach einem Wort, den Sie im Online-Rechtschreibprüfung oder Übersetzungsdienst nachschlagen.
  • Microsoft sammelt nicht nur Nutzungsdaten über den eingebauten Telemetrie-Client, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Benutzer beispielsweise über die Office-Software auf einen Connected Service wie den Übersetzungsdienst zugreifen, kann Microsoft die personenbezogenen Daten über diese Nutzung in sogenannten systemseitig generierten Ereignisprotokollen speichern.
Microsoft bietet zudem Dienste über das Internet an, die in Office 365 (und auch Office 2016 und 2019) prominent beworben und heraus gestellt werden. Aus technischer Sicht ist es aber unvermeidlich, dass Nutzer Microsoft Daten wie den Header ihrer E-Mail und ihre IP-Adresse zur Verfügung stellen müssen, um die Dienste nutzen zu können. Das alleine sind aber schon persönliche Informationen, die nach DSGVO ohne explizite Zustimmung des Benutzers nicht verarbeitet und gespeichert werden. Wer also Office 2016 in Firmen einsetzt, verstößt als DSGVO-Verantwortlicher gegen die DSGVO.

Administratoren der Enterprise-Version von Office ProPlus können bereits eine Reihe von spezifischen Maßnahmen ergreifen, um das Datenschutzrisiko für Mitarbeiter und andere Personen in den Niederlanden zu senken. Der Bericht nennt folgendes.

  • Verwenden Sie die neuen Null-Daten-Übertragungseinstellungen (zero-exhaust settings)
  • Zentrales Verbot der Nutzung von Connected Services
  • Zentrale Untersagung der Möglichkeit für Benutzer, personenbezogene Daten an Microsoft zu senden, um “Office zu verbessern”.
  • Kein SharePoint Oneline / OneDrive verwenden bzw. blockieren.
  • Die Verwendung der reine Web-Version von Office 365 sperren. 
  • Löschen Sie regelmäßig das Active Directory-Konto einiger VIP-Benutzer und erstellen Sie neue Konten für sie, um sicherzustellen, dass Microsoft die historischen Diagnosedaten löscht.
  • Erwägen Sie die Verwendung einer eigenständigen Bereitstellung ohne Microsoft-Konto für vertrauliche/sensible Daten.
Und zum Schluss kommt die Empfehlung: Erwägen Sie die Durchführung eines Piloten mit alternativer Software, nachdem Sie einen DPIA zu dieser spezifischen Verarbeitung durchgeführt haben. Dies könnte ein Pilot mit alternativer Open-Source-Produktivitätssoftware sein.

Der Bericht schreibt, dass diese Maßnahmen sind nicht in allen Fällen realistisch oder machbar. Es ist nicht möglich, dass die (Enterprise-)Kunden von Office alle Probleme lösen. Was die Verträge und die Übermittlung personenbezogener Daten an die USA betrifft, so muss eine europäische Lösung gefunden werden.

Quelle: BornCity

Posted: 16.11.2018,     Updated: 19.02.2020


Neuer Kommentar, Anmerkung oder Hinweis