Regelmäßig steht Microsoft hinsichtlich des Datenschutzes in der Kritik. In dem am 30.04.2019 veröffentlichten Blogeintrag ging das Unternehmen auf die neuste Kritik hinsichtlich der Datenerfassung bei den Produkten Windows 10 und Office 365 ein und verspricht darin eine zukünftige Besserung. Diese soll unter anderem nach Angabe von Microsoft selbst durch mehr Transparenz über die Datenflüsse erreicht werden.
Datenschutzrechtliche Mängel bei Windows 10 und Office 365
Die EFF (Electronic Frontier Foundation) ist eine Nichtregierungsorganisation aus den Vereinigten Staaten, welche sich für die Grundrechte im Informationszeitalter engagiert. Diese hatte 2016, ein Jahr seit Windows 10 im Umlauf war, bereits die Umsetzung des Übergangs von Windows 8 zu Windows 10 angeprangert. So sah sich der Nutzer 2015 mit einer plötzlichen Werbung konfrontiert, mit der Microsoft das Update Windows 10 bewarb. Was augenscheinlich eine Werbung anmutete und als Update angeboten wurde, war jedoch die Installation eines komplett neuen Betriebssystems. Lehnte der Nutzer das Update ab, so musste dieser mit den bestehenden Sicherheitslücken leben, jedoch war die Verweigerung der Aktualisierung nicht ganz einfach. Genauer gesagt wurde das Schließen des Update-Angebots nicht als Ablehnung oder Desinteresse interpretiert, sondern als eine Zustimmung erfasst, wodurch die Installation von Windows 10 durch Anklicken von „x“ ausgelöst wurde.
Zudem dürfte der User-Datenschutz bei Windows 10 nicht unbedingt im Fokus stehen. Dies lässt sich mitunter daran festmachen, dass Benutzerdaten automatisch an Microsoft gesendet werden. Hierzu gehören unter anderem auch aufgezeichnete Daten, welche erfassen, wie lange die Programme laufen. Microsoft selbst rechtfertigte das Vorgehen mit der Absicht der Verbesserung des Sprachassistenten „Cortana“. Nicht beachtet wurden jedoch die User, welche die Anwendung nicht nutzen und ihre Daten dafür nicht zur Verfügung stellen wollten. Es besteht für den Anwender zwar die Option gewisse Datenflüsse über die Einstellungen abzuschalten, ein kompletter Ausschluss der Preisgabe von Daten ist jedoch nicht möglich.
Der nicht vollständige Ausschluss der Datenübertragung an Microsoft solle jedoch dazu dienen, vor allem Sicherheitsrisiken zu erfassen und entsprechende Gegenmaßnahmen vorzunehmen. Würde der Nutzer eine komplette Datensammlung unterbinden, so könne er auch keine Sicherheitsupdates mehr bekommen. Die Notwendigkeit der Erfassung gewisser Daten zur Auswertung von Sicherheitsrisiken, ist zwar verständlich, dennoch dürfte zweifelhaft sein, ob die von Microsoft benannten Datentypen nur zu dem genannten Zweck genutzt werden. Dies bemängelt auch die EFF und stellt die Frage, warum die von Microsoft gesammelten Datentypen nicht so angepasst werden, dass die Nutzer immer noch vom Windows Update profitieren können, ohne, dass diese ihre IMEI Nummer (International Mobile Station Equipment Identity – internationale Seriennummer eines Handys) angeben müssen.
Nicht geringer fiel die Kritik an Office 365 aus, welches ebenso Daten von Nutzern automatisch an Microsoft übertragen dürfte.
Selbst ist der Nutzer – Leitfaden für Datenschutzeinstellung bei Windows 10
Im Mai 2016 wurde vom Landesbeauftragen für den Datenschutz Baden-Württemberg ein Leitfaden für Datenschutzeinstellungen zu Windows 10 veröffentlicht. Darin wird auf das Verfahren Microsofts hingewiesen, welches ein „Opt-Out“-Konzept bei den Datenschutzeinstellungen zu dem Zeitpunkt vorsah. Der Nutzer musste hierbei selbst aktiv werden, sofern er eine Einschränkung der Weitergabe der gesammelten Nutzerdaten wünschte. Zusätzlich wurde ermittelt, dass eine vollständige Unterbindung der Datenübertragung nicht möglich sei. Der Leitfaden dürfte jedoch hilfreich sein, um dies weitgehend einzuschränken. Weitere Informationen und den Leitfaden finden Sie unter:
Prüfung durch die niederländische Aufsichtsbehörde
Im August 2017 veröffentlichte die niederländische Datenschutzbehörde (Dutch Data Protection Authority (DPA)) eine Zusammenfassung des Reports für die Öffentlichkeit, welcher die Ergebnisse einer vorgenommenen Untersuchung von Windows 10 und Pro enthielt. Darin kam die DPA zu dem Schluss, dass Microsoft sich nicht an die geltenden niederländischen Datenschutz-Vorgaben halten würde. Laut der Behörde würde Microsoft die Nutzer nicht ausreichend darüber informieren, zu welchem Zweck deren Daten von den Betriebssystemen erfasst und ausgewertet werden. Ebenso sei die Voreinstellung innerhalb der Softwareprodukte nicht mit den geltenden datenschutzrechtlichen Gegebenheiten vereinbar, da dem Nutzer eine Einstellung aufgezwungen würde, welche er zwar im Nachgang anpassen, jedoch nicht von vorherein ablehnen könnte. Des Weiteren würden ständig Daten des Nutzers, wie z.B. die URL besuchter Internetseiten sowie Daten über die Nutzungsdauer an Eingabegeräten (sogenannter Telemetriedaten), von den Softwareprodukten erfasst und an Microsoft weitergeleitet werden. Sollte der Nutzer die Einstellungen nicht anpassen, so könnten laut DPA benannte Daten von Microsoft auch für die Erstellung personalisierter Werbung verwendet werden.
Das amerikanische Unternehmen versprach im Zuge des Reports der niederländischen Datenschutzbehörde, die rechtswidrigen Funktionen abzuschalten. Sollte Microsoft dies nicht umsetzen, so kündigte die DPA eine Verhängung von Sanktionen gegen Microsoft an.
Gegenmeinung – Konformitätsbestätigung durch andere Datenschutzbehörden
Hinsichtlich der datenschutzrechtlichen Mängel bei Verwendung der Microsoft Produkte waren sich die europäischen Datenschutzbehörden bisher grundsätzlich einig, jedoch verkündete die bayerische Datenschutzbehörde nach Prüfung von Windows 10 Enterprise, dass Windows 10 Enterprise bei Unternehmen durch gezielte Konfiguration ohne Datenschutzverstöße eingesetzt werden könne. Im Rahmen von Überprüfungen stellte das Bayerische Landesamt für Datenschutzaufsicht nämlich fest, dass mit wenigen Einstellungen in den Gruppenrichtlinien von Windows 10 Enterprise die meisten vom Betriebssystem aus initiierten Datenübertragungen unterbunden werden können.
Die Bewertung der bayerischen Datenschutzbehörde stieß – wie zu erwarten – bei den anderen europäischen Aufsichtsbehörden auf Ablehnung, da zu diesem Zeitpunkt weder ein Vorschlag für eine Gruppenrichtlinie von Microsoft vorgelegt wurde, noch geklärt war, ob eine restlose Unterbindung der Datenflüsse möglich sei.
Umsetzung des Versprechens für mehr Transparenz und Privatsphäre
Die Kritik ebbte nach einigen Updates nicht ab und wurde mit Geltung der Datenschutz-Grundverordnung (DS-GVO) nicht geringer. Vermutlich aus diesem Grund oder zur Förderung des Images versprach Microsoft in diesem Jahr einige Nachbesserungen hinsichtlich der Transparenz und Privatsphäre vorzunehmen. Demnach sollen Telemetriedaten, welche von den Nutzern erfasst werden, in „erforderlich“ und „optional“ unterteilt werden können. In diesem Zusammenhang sollen lediglich die „erforderlichen“ Daten weiterhin von Microsoft erhoben werden. Nach Microsoft sei die Erhebung von „erforderlichen“ Daten unerlässlich, um wesentliche Funktionsausfälle zu erkennen und die Verbindung zu Microsoft Cloud-Diensten sowie die Bereitstellung von Sicherheits-Patches gewährleisten zu können. Wollen also Unternehmens-Administratoren oder private Nutzer die Erfassung „erforderlicher“ Telemetriedaten nicht zulassen, müssen diese auch auf damit verknüpfte Funktionen, wie beispielsweise die Dokumentenablage, verzichten. Microsoft verspricht dem Nutzer über zusätzliche Konfigurationsoptionen mehr Kontrolle über die Erfassung seiner Daten für entsprechende Funktionen zu geben.
Umsetzung der Informationspflichten soll optimiert werden
Weiterhin eröffnete Microsoft die Dokumentation der gesammelten Daten sowie deren Verwendung zu optimieren. Hierbei verweist Microsoft auf die allgemeinen Informationen unter „www.privacy.microsoft.com“ und über das Enterprise Trust Center für Cloud-Sicherheit. Zusätzlich soll, zur Optimierung der Informationspflichten, alle zwei Jahre ein Transparenzbericht auf der allgemeinen Informationsseite veröffentlicht werden.
Sämtliche Angaben sollen jedoch voraussichtlich nur für Office 365 Anwendung finden. Produkte wie Office 2016 und 2019, welche gekauft sowie auf Clients installiert wurden, werden diese Anpassungen höchstwahrscheinlich nicht erhalten. Hiervon dürften voraussichtlich kleine Unternehmen, Arztpraxen, Freiberufler und Handwerker etc., welche meist Office 2016 und 2019 nutzen, betroffen sein.
Fazit
Im Zuge anhaltender Kritik an den Softwareprodukten von Microsoft gelobt das Unternehmen Besserung. Nach unzähligen Updates ist jedoch von einer weitreichenden Konformität mit der derzeitig geltenden Datenschutz-Grundverordnung (DS-GVO) nicht zu sprechen. Zwar eröffnet Microsoft mit seinem Blogeintrag vom 30.04.2019 Optimierungswillen in diesem Zusammenhang, jedoch wird dieser nicht für die Gesamtheit der Softwarelösungen gelten. Sofern der Nutzer gewisse Verarbeitungen oder eine Weitergabe seiner Daten an Microsoft nicht wünscht, muss dieser auch zukünftig selbst tätig werden und damit weiterhin Funktionseinbußen in Kauf nehmen.