Untersuchung in den Niederlanden
19.11.2018, 14:33 Uhr
Schwere Datenschutzmängel in Microsoft Office entdeckt
Eine Datenschutz-Folgenabschätzung im Auftrag der niederländischen Regierung hat schwere Datenschutzmängel in Microsofts Office ProPlus offenbart. Demzufolge telefoniert die Produktiv-Suite öfters und in grösserem Masse nach Hause als bisher angenommen.
(Quelle: Nor Gal / Shutterstock.com)
Die Compliance- und Datenschutzspezialisten der Privacy Company haben im Auftrag des niederländischen Ministeriums für Sicherheit und Recht eine Datenschutz-Folgenabschätzung (DPIA) für Microsoft Office durchgeführt. Die DPIA behandelt Office ProPlus und attestiert der Lösung gravierende Datenschutzmängel. Neben den üblichen Diagnosedaten übertrage die Software der Redmonder in den Standardeinstellungen auch personenbezogene Daten an die Server des Herstellers. In den Niederlanden wird die Software von 300.000 Mitarbeitern verschiedener Regierungsorganisationen wie Ministerien, Justiz, Polizei und mehr eingesetzt.
Diese Daten sammelt Microsoft
Der frei verfügbare Bericht [PDF] behandelt, wie Microsoft systematisch und in grossem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook erfasst - ohne transparent über diese Praxis zu informieren. Darüber hinaus biete Microsoft keine Auswahlmöglichkeit zur Eingrenzung oder Deaktivierung der Datensammlung. Ferner sei auch das Einsehen der übertragenen Daten nicht möglich.
Ähnlich wie in Windows 10 haben die Redmonder in die Office-Software eine separate Lösung integriert, die regelmässig Telemetriedaten an ihre eigenen Server in den USA sendet. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, wenn Nutzer die Rücktaste mehrmals hintereinander verwenden. Dies deutet darauf hin, dass mehrfache Korrekturen an einem Wort durchgeführt wurden, weil die Schreibweise unbekannt ist. Gleichermassen werden auch ganze Sätze vor und nach einzelnen Wörtern übertragen, die der Nutzer etwa mit der Online-Rechtschreibprüfung oder dem Übersetzungsdienst nachgeschlagen hat.
Darüber hinaus speichert Microsoft nicht nur Nutzungsdaten über den eingebauten Telemetrie-Client, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Anwender etwa über die Office-Software auf einen verbundenen Service wie den Übersetzungsdienst zugreifen, kann Microsoft die personenbezogenen Daten über diese Nutzung in systemseitig generierten Ereignisprotokollen speichern.
Die Privacy Company räumt in einem Blogpost zur Datenschutz-Folgenabschätzung zwar ein, dass Microsoft für seine Web-Dienste allein aus technischer Sicht auf die Erhebung von gewissen Daten wie Mail-Header oder IP-Adresse angewiesen ist. Allerdings sollten diese Daten nicht dauerhaft gesichert werden, es sei denn für berechtigte Sicherheitsbelange.
Insgesamt werden von Microsoft laut eigenen Aussagen 23.000 bis 25.000 unterschiedliche Events in der Software getrackt und zur Untersuchung an die Server des Unternehmens übertragen. Mit der Ausarbeitung sind 20 bis 30 Ingenieurteams beschäftigt. Damit falle die Datensammlung und Datenauswertung bei Office ProPlus sehr viel breiter aus als bei Windows 10 - und selbst dort musste Microsoft auf Druck von Datenschützern und Behörden nachbessern.
Im Blog der Privacy Company heisst es weiter, dass Microsoft bereits Zusagen gemacht habe, seine Software an die Datenschutzbelange anzupassen. So werde etwa an einem Tool zur Betrachtung von Telemetriedaten gearbeitet. Ausserdem habe man eine Einstellung (Zero-Exhaust) entwickelt, die den Datenabfluss verhindere.
