[English]Wenn die Berichte stimmen, bewegt sich Microsoft auf äußeren Druck doch. Bis April 2019, so die Hinweise, will Microsoft die Pro Plus-Version seines Office-Pakets so nachbessern, dass es die DSGVO-Anforderungen erfüllt. Hier einige Informationen.
Anzeige
Office und die Kollision mit der DSGVO
Zuerst ein kurzer Rückblick: Im November 2018 hatte ich im Beitrag Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO über ein Problem berichtet, welches jeder professionelle Office-Nutzer in Europa hat. Microsoft spioniert über seine Office Pro Plus-Module die Nutzer bezüglich der individuellen Verwendung aus. Das ist aber nicht mit der Datenschutzgrundverordnung konform – ergo darf Microsoft Office in Firmen faktisch nicht eingesetzt werden.
Das sage nicht ich, sondern das ist das Ergebnis einer Analyse, die das niederländische Ministerium für Sicherheit und Recht angestoßen hatte. In niederländischen Behörden kommt auch Microsoft Office zum Einsatz. Das Ministerium wollte sichergehen, dass die eingesetzte Software im Einklang mit der Datenschutzgrundverordnung (DSGVO) und gesetzlichen Bestimmungen ist.
Das Ergebnis, offen gelegt im Dokument Impact assessment shows privacy risks Microsoft Office ProPlus Enterprise war erschreckend. Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation. Der vom Ministerium veröffentlichte Data Protection Impact Assessment (DPIA) Bericht (in englischer Sprache) ist hier verfügbar. Untersucht wurden Office 2016 und Office 365, die Details sind in meinem Blog-Beitrag Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO nachlesbar.
Microsoft will Office Pro Plus nachbessern
Der Bericht der niederländischen Behörde hat Microsoft wohl zum Handeln gezwungen. Mary Foley weist in einem Tweet auf eine kolportierte Änderung hin.
Anzeige
Microsoft to modify Office ProPlus by end of April in response to Dutch ministry's privacy concerns: Report https://t.co/xpBRPmZaGi
— Mary Jo Foley (@maryjofoley) 8. Februar 2019
Basis ihrer Meldung ist der Politico-Artikel Microsoft to update Office Pro Plus after Dutch ministry questions privacy. Laut diesem Artikel plant Microsoft seine Office Pro Plus-Produkte bis Ende April 2019 zu aktualisieren. Damit soll einer Reihe von Datenschutzbedenken Rechnung getragen werden, die in dem vom niederländischen Justizministerium in Auftrag gegebenen Audit aufgeworfen wurden.
Laut Politico hat hat Microsoft das Update bestätigt. Dieses Update soll Bedenken im Zusammenhang auf die DSGVO-Konformität beim Einsatz von Office Pro Plus in Unternehmensumgebungen ausräumen. Ziel ist es, die bisherige Unsicherheit, dass die Diagnosedaten ohne angemessene Dokumentation und Benutzerkontrolle über das, was gesendet wurde, von Europa in die Vereinigten Staaten übertragen werden.
Microsoft und das niederländische Justizministerium hatten sich auf die Änderungen im Rahmen eines "Verbesserungsplans" mit einer Frist bis April 2019 geeinigt. Ein Sprecher des Ministeriums sagte gegenüber POLITICO, dass das Ministerium, wenn sich die Antworten bzw. Verbesserungen von Microsoft als "unbefriedigend" erweisen sollten, weitere "Durchsetzungsmaßnahmen" vorbehält.
In einer Erklärung betonte Microsofts Datenschutz- und Regulierungsberaterin Julie Brill, dass das niederländische Ministerium das Audit als Kunde von Microsoft in Auftrag gegeben und keine Regulierungsmaßnahmen gegen das Unternehmen eingeleitet habe. Laut Brill arbeitet man mit den Mitarbeitern des Ministeriums zusammen, um zusätzliche Informationen auszutauschen und bei der Lösung seiner Fragen zu helfen. Sie ist überzeugt, dass Office Pro Plus 'mit dem niederländischen Recht und der GDPR (DSGVO) in Einklang steht'.
"Wir fühlen uns gut dabei, was wir tun, um unseren Kunden Transparenz und Wahlmöglichkeiten bei den Diagnosedaten zu geben, die sie mit uns teilen, aber wir wollen mehr tun", sagte Brill. "In den kommenden Wochen werden wir weitere Schritte unternehmen, um es den Kunden zu erleichtern, zu verstehen, welche Daten an Microsoft gehen müssen, um unsere Dienste zu betreiben, und warum und wo der Datenaustausch optional ist." Sofern Microsoft ein Update ausrollt, steht dies natürlich für alle Office Pro Plus-Anwender zur Verfügung.
Falls die Maßnahmen Microsofts nicht ausreichen, um die niederländischen Behörden zufrieden zu stellen, können diese einen Schritt weiter gehen. Gemäß den EU-Datenschutzgesetzen ist die irische Datenschutzkommission die "leitende Aufsichtsbehörde", die dafür verantwortlich ist, dass Microsoft die Vorschriften einhält. Sollten die Niederlande sich dafür entscheiden, dass ihre Bedenken nicht ausgeräumt sind, könnten sie einen Antrag mit den betreffenden Fragen an die irische Regulierungsbehörde weiterleiten. In der Zwischenzeit werden alle Fragen vom Europäischen Datenschutzrat, dem alle EU-Datenschutzbehörden angehören, und vom Europäischen Datenschutzbeauftragten, der wiederum eigene Untersuchungen einleiten kann, die zu Durchsetzungsmaßnahmen führen könnten, aufmerksam verfolgt.
Ein Sprecher der irischen Datenschutzbehörde (DPC) sagte, dass sie sich dieser Angelegenheit und ihrer Bedeutung für Unternehmen, die das betreffende Microsoft-Produkt verwenden, bewusst sei. Nach Bekanntwerden hat der DPC unverzüglich mit Microsoft Kontakt aufgenommen, um weitere Informationen über die Verarbeitung von Telemetriedaten zu erhalten. Laut DPC hat Microsoft detaillierte Antworten geliefert. Es bleibt spannend, abzuwarten, wie dieser Fall ausgeht.
Ähnliche Artikel:
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Microsoft rät von Office 2019 ab und empfiehlt Office 365
Microsoft Office 2019: Preise zum 1.10.2018 angehoben
Office 2019 Allgemein freigegeben (2. Oktober 2018)
Ist Microsoft mit Office 2019/365 Pro Plus auf dem richtigen Weg?
Anzeige
Warum lese ich hier nur was von der Version Pro Plus?
DSGVO Konform ist kein Feature sondern eine Pflicht in allen Versionen.
Auch Office Standard ist als Volumenlizenz für Unternehmen verfügbar und wenn man es genau nimmt, muss selbst die Home & Business DSGVO Konform werden da auch diese Version in Firmen genutzt werden darf.
Gruß
Genau so ist es. Außer den 2016 und 2019er Versionen natüclich auch alle weiteren noch unterstzten Versionen, 2013 und 2010.
Die Antwort ist schlicht und ergreifend: Von der niederländischen Behörde wurden Office 2016 Pro Plus (und Office 365) einem Audit unterzogen. Und genau da bessert Microsoft nach..
Was wir hier 'meinen', interessiert im großen MS-Kosmos nicht die Bohne ;-) Wenn das Tracking in allen Versionen einstellbar wird (was ich nicht glaube), um so besser.
Und wann werden alle anderen Produkte aus dem Hause MS (aber nicht nur) DSGVO-konform?
Besonders Windows 10…
Ich hoffe, die irische Datenschutzbehörde hat mehr Power, also folgender Link suggeriert. https://www.bahnmops.de/366-einfach-nur-geil-ich-musste-es-wieder-hervorkramen
Moin @ All!
Zumindest für Office 2007, 2010, 2013, 2016 lässt sich mit Hilfe "Administrativer Vorlagen" diesem Telemetriegeraffel Einheit gebieten. Diese Vorlagen sind kostenlos im Downloadcenter bei Microsoft erhältlich und auch für jederman zugänglich. Nach Download und Einbinden der Vorlagen auf einem lokalen Computer oder Server erfolgen dann die Einstellungen via Gruppenrichtlinieneditor "gpedit.msc".
Office 2007: https://www.microsoft.com/de-de/download/details.aspx?id=22666
Office 2010: https://www.microsoft.com/en-us/download/details.aspx?id=18968
Office 2013: https://www.microsoft.com/en-us/download/details.aspx?id=35554
Office 2016: https://www.microsoft.com/en-us/download/details.aspx?id=49030
und dann ?
Für Office 2010:
gpedit.msc -> Benutzerkonfiguration -> Administrative Vorlagen -> Microsoft Office 2010 -> Datenschutz -> Sicherheitscenter
* Automatisches Empfangen kleiner Updates zur Verbesserung der Zuverlässigkeit -> Status auf "Deaktiviert" stellen
* Bestätigungs-Assistenten bei der ersten Ausführung deaktivieren -> Status auf "Aktiviert" stellen
* Programm zur Verbesserung der Benutzerfreundlichkeit aktivieren -> Status auf "Deaktiviert" stellen
Für Office 2013/2016:
gpedict.msc -> Benutzerkonfiguration -> Administrative Vorlagen -> Microsoft Office 2016 -> Datenschutz -> Trust Center
* Automatisches Empfangen kleiner Updates zur Verbesserung der Zuverlässigkeit -> Status auf "Deaktiviert" stellen
* Bestätigungs-Assistenten bei der ersten Ausführung deaktivieren -> Status auf "Aktiviert" stellen
* Einschließen eines Screenshots in das Office-Feedback zulassen -> Status auf "Deaktiviert" stellen
* Office-Feedback senden -> Status auf "Deaktiviert" stellen
* Programm zur Verbesserung der Benutzerfreundlichkeit aktivieren -> Status auf "Deaktiviert" stellen
gpedict.msc -> Benutzerkonfiguration -> Administrative Vorlagen -> Microsft Office 2016 -> Telemetriedashboard
* Datenschutzeinstellungen im Office-Telemetrie-Agent aktivieren -> Status auf "Aktiviert" stellen
* Hochladen von Daten für den Office-Telemetrie-Agent aktivieren -> Status auf "Deaktiviert" stellen
* Telemetrie-Datensammlung aktivieren -> Status auf "Deaktiviert" stellen
Cave: Keine Garantie auf Vollständigkeit und Anwendung wie immer auf eigene Gefahr… ^^
Da du es erwähnst. Die Office 2016 Templates sind ja auch für MS Office 2019 und da kann ich direkt mal anmerken, dass die Telemetrie-Einstellungen über diese Templates NICHT funktionieren. Der C2R-Service sendet alle paar Minuten fleißig seine Telemetriedaten. Also Obacht.
Das ist ein eigener RegKey, der nicht in den ADMx Templates enthalten ist. Kann man aber bauen oder … achegal, heute keine Werbung :-)
CLASS USER
CATEGORY !!PaT
CATEGORY !!O16
POLICY !!Otele
EXPLAIN !!OteleExp
KEYNAME "Software\Policies\Microsoft\Office\Common\ClientTelemetry"
VALUENAME "DisableTelemetry"
END POLICY
END CATEGORY
END CATEGORY
[STRINGS]
PaT="gp-Pack: Privacy and Telemetry"
O16="Office 2016/2019 und 365"
Otele="Telemetrie Sammeldienst deaktivieren"
OteleExp="Office sammelt Daten unterhalb von %LocalAppData%\Microsoft\Office\OTele\n\nDiese werden an MS versendet oder können auch OnPremise ausgewertet werden\n\n\nDas Verhalten zeigt Performance Probleme, sobald die Dateien größer 10MB werden\n\nähnlich der alten Journaling Funktion"
Thx für die Info!
Hab folgenden Reg-Eintrag in einer GPO gesetzt:
HKEY_CURRENT_USER\Software\Microsoft\Office\Common\ClientTelemetry
Wertname: DisableTelemetry
Wertdaten: 0x27100
Unter Wertdaten hatte ich auch schon einige andere ausprobiert. Das machte bei mir aber bei der Gesprächigkeit von MS Office 2019 keinen Unterschied. Im Proxy sieht man trotzdem jede Menge Verbindungen zu "config.edge.skype.com" (wir haben Skype nichtmal installiert),"nexusrules.officeapps.live.com" und " nexus.officeapps.live.com".
Ich habe gerade ein Office 2016 Standard (MSI) unter der Lupe.
Meine Frage/Hypothese lautet: Sind die GP-Einstellungen bezüglich Telemetrie in den ADMX Files von Microsoft Placebos? Ich habe sämtliche Einstellungen zu Datenkommunikation in den Vorlagen entsprechend eingestellt und trotzdem passiert folgendes:
Man starte mehrere Office-Anwendungen nacheinander und beende diese dann im Anschluss nach ca. 10 Sekunden.
Jetzt kann man beobachten, dass im Verzeichnis "%LOCALAPPDATA%\Microsoft\Office\OTele" jeweils beim beenden 3 Dateien in diesem Verzeichnis erzeugt werden.
Nun startet man eine Office-Anwendung (z.B. Word oder Excel) und beobachtet den Inhalt dieses Ordners. Man kann jetzt beobachten, dass nach ca. 1 bis 2 Minuten die Dateien im diesem Ordner nacheinander verschwinden.
Gleichzeitig sieht man, dass zwei Verbindungen über HTTPS mit den IPs 52.109.12.22 und 52.109.88.36 aufgebaut und wieder beendet werden, sobald alle Dateien verschwunden sind. Die IPs antworten weder auf einen "ICMP Echo Request" noch haben sie einen Reverse Lookup im DNS. Laut WhoIs gehören sie zu Microsoft.
Ein Mitschnitt der DNS Kommunikation zeigt, dass die Office-Anwendung offensichtlich zwei DNS Requests zu den Einträgen "nexus.officeapps.live.com" und "nexusrules.officeapps.live.com" absetzt, zu denen dann (verfolgt man die CNAMEs in der Antwort) die besagten IP-Adressen gehören.
Mich würde interessieren ob andere mit den GPs mehr Erfolg hatten und wenn ja wie. So wie es jetzt ist hat das mit DSGVO-Konformität wohl nicht all zu viel zu tun.