Microsoft sammelt und speichert in großem Umfang personenbezogene Daten von Office-Nutzern, ohne sie darüber zu informieren. Das ist das Ergebnis einer Untersuchung, die das niederländische Justizministerium in Auftrag gegeben hat. Die Befunde seien alarmierend, denn Microsoft würde mit seiner Enterprise-Version von Office massenhaft gegen die europäische Datenschutzgrundverordnung (DSGVO) verstoßen, heißt es in dem Bericht.

Die meisten Behörden in den Niederlanden verwenden Microsoft Office 2016, Office 365 oder ältere Versionen. Die Enterprise-Variante der Office-Software ist auf den Rechnern von rund 30.000 Behördenmitarbeitern installiert. Word, Excel & Co. werden von verschiedenen Ministerien, der Justiz, der Polizei und in niederländischen Finanzämtern eingesetzt. Die aktuelle Untersuchung sollte feststellen, wie die Office-Pakete den Datenschutz handhaben und welche Risiken drohen. Im Rahmen der Untersuchung haben die Experten acht Datenschutzrisiken identifiziert.

Microsoft als fleißiger Datensammler

"Microsoft erfasst systematisch Daten in großem Umfang über Word, Excel, PowerPoint und Outlook, ohne die Nutzer darüber zu informieren", schreibt Sjoera Nas von Privacy Company. Die Datenschutz-Beratungsfirma führte die Untersuchung im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit durch. Die Experten kritisieren, dass es keine Möglichkeit gibt, einzustellen, welche Daten über Office erfasst und gespeichert werden. Es sei zudem nicht ersichtlich, welche Informationen Microsoft über die Nutzer sammelt und speichert. Die Telemetriedaten gelangen außerdem auf US-Server – so könnten sie auch für US-Strafverfolgungsbehörden zugänglich gemacht werden. Dieses Vorgehen verstößt gegen die DSGVO.

Die Telemetrie-Funktion sendet nicht nur simple Informationen über etwaige Software-Abstürze. Sie erfasst auch, wenn die Nutzer bestimmte Online-Services über ihr Office-Paket nutzen, etwa um Wörter zu übersetzen. So gelangen eben auch einzelne Sätze oder Mail-Betreffzeilen zu Microsoft. Aus technischer Sicht sind solche Datenübertragungen zwar nötig, damit die Dienste funktionieren. "Aber Microsoft sollte diese funktionalen Daten nur aus guten Gründen speichern, etwa um die Sicherheit zu gewährleisten".

Microsoft bietet den Office-Nutzern derzeit noch keine Möglichkeit, die Inhalt der Diagnosedaten einzusehen. Das Unternehmen erklärte, dass zwischen 23.000 und 25.000 Ereignistypen an Microsoft-Server geschickt werden. 20 bis 30 Entwicklerteams würden die Daten analysieren. Diese umfangreiche Datensammelei sei viel spezifischer als die Telemetriedaten, die Windows 10 versendet: Da sind es maximal 2000 Ereignistypen und 10 Entwicklerteams, schreiben die Autoren der Untersuchung.

Microsoft will Problem lösen

Microsoft zeigt sich kooperativ und arbeitet mit dem niederländischen Justizministerium zusammen, um eine Lösung zu finden. (Es würden hohe Strafen drohen, wenn Microsoft sich nicht kümmerte.) Die ersten Nachbesserungen, die Datenschutzrisiken verringern sollen, sind bereits angekündigt. Geplant ist etwa auch ein Tool, das die versendeten Telemetriedaten anzeigt, ähnlich wie unter Windows 10.

"Wir verpflichten uns, die Privatsphäre unserer Kunden zu schützen, indem wir ihnen die Kontrolle über ihre Daten geben", erklärte ein Microsoft-Sprecher gegenüber The Register. Das Unternehmen will sicherstellen, "dass Office ProPlus und andere Microsoft-Produkte und -Dienstleistungen mit der DSGVO und anderen geltenden Gesetzen übereinstimmen".

Der komplette DPIA-Prüfbericht von Privacy Company ist auf Englisch als PDF-Dokument verfügbar. (dbe)