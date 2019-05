Microsoft will Änderungen hinsichtlich der Telemetriedatenerfassung unter Windows 10 und Office 365 vornehmen, um die Transparenz sowie die Kontrolle der erhobenen Daten durch die Nutzer zu verbessern. Das gab Microsoft in einem Blog-Beitrag bekannt.

Mängel bei Datenschutz und Sicherheit

Microsoft hat gleich mehrere Baustellen in Sachen Transparenz und Datenschutz, die durch die ausgiebige Telemetriedatenerfassung in Windows und Office sowie die Cloud-Fokussierung bei Office 365 bedingt sind. Hinzu kommen Sicherheitsmängel. Im Artikel Office 365: Große Schwachstellen bei Sicherheit und Datenschutz hatte die iX Microsofts Cloud-Office ausgiebig untersucht und die massive Telemetriedatenerfassung kritisiert. Demnach werden große Mengen auch persönlicher Daten übertragen und dabei die Vorgaben des Betriebssystems zur Telemetrie komplett ignoriert.

Auch hinsichtlich der Sicherheit wurden Office 365 erhebliche Patzer bescheinigt: Im Klartext übertragene Kennwörter, ein Wildcard-Zertifikat für 14 Domains, DLLs, die beim Aufruf über den Click-to-Run-Installer auf den Client nachgeladen werden, aber nicht gegen Man-in-the-Middle-Angriffe per Proxy-Server gesichert sind, füllen die Mängelliste an Sicherheitsproblemen.



Die iX kam zu dem Fazit, dass ein sicherer, datenschutzkonformer Betrieb von Office 365 nach europäischem Recht und gemäß DSGVO nicht möglich sei. Auch eine vom niederländischen Justizministerium in Auftrag gegebene Untersuchung endete mit der Aussage, dass Microsoft mit seiner Enterprise-Version Office 2016 Pro Plus massenhaft gegen die europäische Datenschutzgrundverordnung (DSGVO) verstößt. Das hat inzwischen den Datenschützer der EU auf den Plan gerufen, der die Verträge der EU-Behörden mit Microsoft untersucht.

Maßnahmen für mehr Transparenz und Privatsphäre



Angesichts dieser Entwicklung musste Microsoft dringend handeln. Basierend auf den Rückmeldungen, die Microsoft, speziell aus Europa, erhalten hat, will das Unternehmen die auf den Clients erfassten Telemetriedaten in die Kategorien "erforderlich" und "optional" unterteilen. Auf Daten aus der Kategorie "erforderlich" glaubt Microsoft nicht verzichten zu können und wird diese weiter erheben. Zu diesen Daten gehören "Begriffe einer Suchanfrage", die IP-Adresse sowie der Typ und die Version des jeweiligen Gerätes. Microsoft begründet diese Datenerfassung damit, dass nur so wesentliche Funktionsausfälle zu erkennen und die Verbindungen zu Microsofts Cloud-Diensten sowie die Bereitstellung von Sicherheits-Patches zu gewährleisten sind.

Administratoren in Unternehmensumgebungen und Benutzer müssen dabei gegebenenfalls einige Kröten schlucken. Denn ist eine Erfassung spezifischer Telemetriedaten unerwünscht und werden sie abgeschaltet, so muss der Anwender auf damit verknüpfte Funktionen verzichten. Microsoft führt als Beispiel die Dokumentenablage und die Zusammenarbeit in der Cloud unter Office 365 an, bei denen auf jeden Fall persönliche Daten zu erfassen sind.



Microsoft arbeitet nach eigener Aussage aber daran, den Kunden über zusätzliche Konfigurationsoptionen mehr Kontrolle über die Erfassung von Daten für bestimmte Funktionen zu geben. Zumindest weist Microsoft in Office 365 auf entsprechende Neuerungen in den Privatsphäreneinstellungen hin.

(Bild: Screenshot Microsoft)

Microsoft hält sich allerdings bedeckt, wie die Zustimmung der Nutzer zur DSGVO-konformen Verarbeitung der Daten erhoben und dokumentiert wird. Auch dürfte es spannend bleiben, ob Administratoren überhaupt noch die Wahlfreiheit haben, ob bestimmte Funktionen gesperrt werden oder nicht. Die zunehmende Cloud-Fokussierung in Office 365 inklusive der kontinuierlichen Updates birgt möglicherweise die Gefahr, unbeabsichtigt gegen gesetzliche Auflagen oder die DSGVO zu verstoßen.

Daten, die in die Kategorie "optional" fallen, sieht Microsoft zur Erbringung der Funktionen oder Dienste als nicht unbedingt erforderlich an. Hier will das Unternehmen den Kunden die Wahl lassen, ob Daten zur Verbesserung der Microsoft-Produkte erfasst werden dürfen. Als Beispiel führt Microsoft an, dass man Daten über Bilder sammelt, die Nutzer in Word-Dokumente einbinden oder die Zeit erfasst, bis eine PowerPoint-Folie auf dem Bildschirm angezeigt wird.

Informationen über gesammelte Daten



Microsoft verspricht, die Dokumentation über die gesammelten Daten und was mit ihnen passiert, verbessern zu wollen. Das Unternehmen verweist auf die allgemeine Informationsseite privacy.microsoft.com sowie das Enterprise Trust Center für Cloud-Sicherheit. Zusätzlich will Microsoft zweimal im Jahr einen Transparenzbericht auf der allgemeinen Informationsseite veröffentlichen.

Unklar ist, ob diese Maßnahmen ausreichen, um die europäischen Datenschützer zu beschwichtigen und wie das Ganze später in der Praxis durch Administratoren im Unternehmensumfeld gehandhabt werden kann. Außerdem soll die Umsetzung nur für Office 365, also die Mietlösung, gelten. Produkte wie Office 2016 und Office 2019, die gekauft und auf Clients installiert werden, erhalten diese Anpassungen möglicherweise nicht. Diese Office-Pakete sind häufig in kleinen Unternehmen, Arztpraxen, bei Handwerkern und Freiberuflern im Einsatz. Der Microsoft-Beitrag zu Änderungen für mehr Transparenz und Privatsphäre lässt momentan mehr Fragen offen, als er Antworten liefert. (olb)