Das niederländische Ministerium für Sicherheit und Recht wollte
sichergehen, ob die eingesetzte Software im Einklang mit der
Datenschutzgrundverordnung und gesetzlichen Bestimmungen ist. Unter
anderem kommt auch Microsoft Office in niederländischen Behörden zum
Einsatz.
Beauftragt wurde die Privacy Company.
Deren Spezialisten untersuchen im Auftrag von Organisationen Produkte, ob diese die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllen.
Deren Spezialisten untersuchen im Auftrag von Organisationen Produkte, ob diese die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllen.
Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind
alarmierend. Microsoft sammelt und speichert personenbezogene Daten über
das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche
öffentliche Dokumentation. Der vom Ministerium veröffentlichte
DPIA-Bericht (in englischer Sprache) ist hier verfügbar.
Der Bericht legt Beunruhigendes für Office-Nutzer bzw. die Verantwortlichen in Firmen offen. Hier einige Punkte:
- Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die Möglichkeit, die Sammlung auszuschalten, oder die Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist.
- Ähnlich wie bei Windows 10 hat Microsoft in die Office-Software eine separate Software integriert, die regelmäßig Telemetriedaten an ihre eigenen Server in den USA sendet. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, wenn Sie die Rücktaste mehrmals hintereinander verwenden, was wahrscheinlich bedeutet, dass Sie die korrekte Schreibweise nicht kennen. Aber auch der Satz vor und nach einem Wort, den Sie im Online-Rechtschreibprüfung oder Übersetzungsdienst nachschlagen.
- Microsoft sammelt nicht nur Nutzungsdaten über den eingebauten Telemetrie-Client, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Benutzer beispielsweise über die Office-Software auf einen Connected Service wie den Übersetzungsdienst zugreifen, kann Microsoft die personenbezogenen Daten über diese Nutzung in sogenannten systemseitig generierten Ereignisprotokollen speichern.
Microsoft bietet zudem Dienste über das Internet an, die in Office 365
(und auch Office 2016 und 2019) prominent beworben und heraus gestellt
werden. Aus technischer Sicht ist es aber unvermeidlich, dass Nutzer
Microsoft Daten wie den Header ihrer E-Mail und ihre IP-Adresse zur
Verfügung stellen müssen, um die Dienste nutzen zu können. Das alleine
sind aber schon persönliche Informationen, die nach DSGVO ohne explizite
Zustimmung des Benutzers nicht verarbeitet und gespeichert werden. Wer
also Office 2016 in Firmen einsetzt, verstößt als DSGVO-Verantwortlicher
gegen die DSGVO.
Administratoren der Enterprise-Version von Office ProPlus können bereits eine Reihe von spezifischen Maßnahmen ergreifen, um das Datenschutzrisiko für Mitarbeiter und andere Personen in den Niederlanden zu senken. Der Bericht nennt folgendes.
- Verwenden Sie die neuen Null-Daten-Übertragungseinstellungen (zero-exhaust settings)
- Zentrales Verbot der Nutzung von Connected Services
- Zentrale Untersagung der Möglichkeit für Benutzer, personenbezogene Daten an Microsoft zu senden, um “Office zu verbessern”.
- Kein SharePoint Oneline / OneDrive verwenden bzw. blockieren.
- Die Verwendung der reine Web-Version von Office 365 sperren.
- Löschen Sie regelmäßig das Active Directory-Konto einiger VIP-Benutzer und erstellen Sie neue Konten für sie, um sicherzustellen, dass Microsoft die historischen Diagnosedaten löscht.
- Erwägen Sie die Verwendung einer eigenständigen Bereitstellung ohne Microsoft-Konto für vertrauliche/sensible Daten.
Der Bericht schreibt, dass diese Maßnahmen sind nicht in allen Fällen
realistisch oder machbar. Es ist nicht möglich, dass die
(Enterprise-)Kunden von Office alle Probleme lösen. Was die Verträge und
die Übermittlung personenbezogener Daten an die USA betrifft, so muss
eine europäische Lösung gefunden werden.
Quelle: BornCity
Posted: 16.11.2018, Updated: 19.02.2020
Neuer Kommentar, Anmerkung oder Hinweis