{"id":211788,"date":"2018-11-16T09:41:37","date_gmt":"2018-11-16T08:41:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211788"},"modified":"2024-03-31T20:13:15","modified_gmt":"2024-03-31T18:13:15","slug":"microsoft-office-spioniert-nutzer-aus-kollidiert-mit-dsgvo","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/11\/16\/microsoft-office-spioniert-nutzer-aus-kollidiert-mit-dsgvo\/","title":{"rendered":"Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\" width=\"55\" align=\"left\" height=\"60\"\/>Es ist heftig, aber keine wirkliche \u00dcberraschung: Microsoft spioniert \u00fcber seine Office Pro Plus-Module die Nutzer bez\u00fcglich der individuellen Verwendung aus. Und das Ganze d\u00fcrfte nicht mit der Datenschutzgrundverordnung im Einklang stehen. Sagt eine niederl\u00e4ndische Organisation, die den Einsatz von Office 2016 und Office 365 in niederl\u00e4ndischen Regierungsstellen untersucht hat. <\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/f1af6d0ba0c44dc783655f46bbadafbd\" width=\"1\" height=\"1\"\/>Microsoft sammelt systematisch und in gro\u00dfem Umfang Daten \u00fcber die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Heimlich, ohne die Leute zu informieren. Das ist die Kernbotschaft des <a href=\"https:\/\/twitter.com\/defensivecomput\/status\/1062867604526764032\" target=\"_blank\" rel=\"noopener noreferrer\">Tweets des Tor-Projekts<\/a>, die mich \u00fcber Michael Horowitz (Sicherheitsforscher) schon gestern erreichte. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">TL;DR &#8211; Microsoft Office spies on users. Considering Windows 10, should not come as a surprise. <a href=\"https:\/\/t.co\/LguaZI4TF2\">https:\/\/t.co\/LguaZI4TF2<\/a><\/p>\n<p>\u2014 Michael Horowitz (@defensivecomput) <a href=\"https:\/\/twitter.com\/defensivecomput\/status\/1062867604526764032?ref_src=twsrc%5Etfw\">15. November 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Nachdem wir mit Windows 10 so etwas erleben, ist das keine wirkliche \u00dcberraschung. <\/p>\n<h2>Der Hintergrund<\/h2>\n<p>Das niederl\u00e4ndische Ministerium f\u00fcr Sicherheit und Recht wollte sichergehen, ob die eingesetzte Software im Einklang mit der Datenschutzgrundverordnung und gesetzlichen Bestimmungen ist. Unter anderem kommt auch Microsoft Office in niederl\u00e4ndischen Beh\u00f6rden zum Einsatz. <\/p>\n<p>Zum Hintergrund: Das SLM Rijk (Strategisch Leveranciersmanagement Microsoft Rijk) f\u00fchrt Verhandlungen mit Microsoft \u00fcber rund 300.000 digitale Arbeitspl\u00e4tze niederl\u00e4ndischen Regierungsorganisationen. Die Unternehmensversion der Microsoft Office-Software wird von verschiedenen Regierungsorganisationen wie Ministerien, Justiz, Polizei und Finanzamt eingesetzt.<\/p>\n<p>Beauftragt wurde die Privacy Company (<a href=\"https:\/\/www.rijksoverheid.nl\/documenten\/rapporten\/2018\/11\/07\/data-protection-impact-assessment-op-microsoft-office\" target=\"_blank\" rel=\"noopener noreferrer\">siehe<\/a>, wo die Dokumente in Niederl\u00e4ndisch und Englisch abrufbar sind). Deren Spezialisten untersuchen im Auftrag von Organisationen Produkte, ob diese die Privatsph\u00e4renvorgaben im Hinblick auf \u00f6ffentliche oder gesetzliche Vorgaben erf\u00fcllen. Im Dokument <a href=\"https:\/\/web.archive.org\/web\/20190905161240\/https:\/\/www.privacycompany.eu\/en\/impact-assessment-shows-privacy-risks-microsoft-office-proplus-enterprise\/\" target=\"_blank\" rel=\"noopener noreferrer\">Impact assessment shows privacy risks Microsoft Office ProPlus Enterprise<\/a> legt man die Ergebnisse der DPIA-Untersuchungen vor, die man im Auftrag des niederl\u00e4ndischen Ministeriums f\u00fcr Sicherheit und Recht durchgef\u00fchrt hat. Untersucht wurden Microsoft Office ProPlus (Office 2016 MSI und Office 365 CTR). Auf Wunsch des Ministeriums ver\u00f6ffentlichte die Privacy Company die Ergebnisse in obigem Blog-Beitrag. <\/p>\n<p>Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind alarmierend. Microsoft sammelt und speichert personenbezogene Daten \u00fcber das Verhalten einzelner Mitarbeiter in gro\u00dfem Umfang ohne jegliche \u00f6ffentliche Dokumentation. Der vom Ministerium ver\u00f6ffentlichte DPIA-Bericht (in englischer Sprache) ist <a href=\"https:\/\/web.archive.org\/web\/20210721193730\/https:\/\/www.rijksoverheid.nl\/binaries\/rijksoverheid\/documenten\/rapporten\/2018\/11\/07\/data-protection-impact-assessment-op-microsoft-office\/DPIA+Microsoft+Office+2016+and+365+-+20191105.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> verf\u00fcgbar.<\/p>\n<p>Ab sofort bietet das SLM Rijk mit Hilfe von Microsoft Administratoren von Regierungsorganisationen Unterst\u00fctzung an, die Telemetriedaten von Office auf Null (ero exhaust settings) zu reduzieren. W\u00e4hrend das DPIA-Dokument erstellt wurde, hat sich Microsoft verpflichtet, eine Reihe weiterer wichtiger Ma\u00dfnahmen zu ergreifen, um die Datenschutzrisiken zu verringern. <\/p>\n<p>Oder in Kurzfassung: Die Privacy Company hat Microsoft mal wieder voll mit dem Finger im Honigtopf erwischt und jetzt m\u00fcssen Administratoren m\u00fchsam nachbessern \u2013 und Microsoft hat sich nur auf Druck der SLM Rijk bewegt.<\/p>\n<h2>Die Office-Spionagefunktionen<\/h2>\n<p>Der Bericht legt beunruhigendes f\u00fcr Office-Nutzer bzw. die Verantwortlichen in Firmen offen. Hier einige Punkte: <\/p>\n<ul>\n<li>Microsoft sammelt systematisch und in gro\u00dfem Umfang Daten \u00fcber die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die M\u00f6glichkeit, die Sammlung auszuschalten, oder die M\u00f6glichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschl\u00fcsselt ist.  <\/li>\n<li>\u00c4hnlich wie bei Windows 10 hat Microsoft in die Office-Software eine separate Software integriert, die regelm\u00e4\u00dfig Telemetriedaten an ihre eigenen Server in den USA sendet. Microsoft sammelt beispielsweise Informationen \u00fcber Ereignisse in Word, wenn Sie die R\u00fccktaste mehrmals hintereinander verwenden, was wahrscheinlich bedeutet, dass Sie die korrekte Schreibweise nicht kennen. Aber auch der Satz vor und nach einem Wort, den Sie im Online-Rechtschreibpr\u00fcfung oder \u00dcbersetzungsdienst nachschlagen.  <\/li>\n<li>Microsoft sammelt nicht nur Nutzungsdaten \u00fcber den eingebauten Telemetrie-Client, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Benutzer beispielsweise \u00fcber die Office-Software auf einen Connected Service wie den \u00dcbersetzungsdienst zugreifen, kann Microsoft die personenbezogenen Daten \u00fcber diese Nutzung in sogenannten systemseitig generierten Ereignisprotokollen speichern.<\/li>\n<\/ul>\n<p>Microsoft bietet zudem Dienste \u00fcber das Internet an, die in Office 365 (und auch Office 2016 und 2019) prominent beworben und heraus gestellt werden. Aus technischer Sicht ist es aber unvermeidlich, dass Nutzer Microsoft Daten wie den Header ihrer E-Mail und ihre IP-Adresse zur Verf\u00fcgung stellen m\u00fcssen, um die Dienste nutzen zu k\u00f6nnen. Das alleine sind aber schon pers\u00f6nliche Informationen, die nach DSGVO ohne explizite Zustimmung des Benutzers nicht verarbeitet und gespeichert werden. Wer also Office 2016 in Firmen einsetzt, verst\u00f6\u00dft als DSGVO-Verantwortlicher gegen die DSGVO.&nbsp; <\/p>\n<p>Die Forderung: Microsoft sollte diese transienten, funktionalen Daten jedoch nicht speichern, es sei denn, die Speicherung ist unbedingt erforderlich, z.B. f\u00fcr Sicherheitszwecke. Im DPIA-Bericht (Data Protection Impact Assessment Report) werden die von Microsoft \u00fcber Office ProPlus erfassten Daten in drei Kategorien eingeteilt:<\/p>\n<ul>\n<li>Inhaltsdaten: der Inhalt von Dateien und Kommunikation, die Sie in Ihrem eigenen Rechenzentrum oder auf Cloud-Computern von Microsoft speichern.  <\/li>\n<li>Funktionale Daten: Die Daten, die Sie \u00fcber das Internet \u00fcbertragen m\u00fcssen, um sich mit den Internetdiensten von Microsoft verbinden zu k\u00f6nnen.  <\/li>\n<li>Diagnosedaten: die Daten, die Microsoft zur Analyse der Nutzung der Dienste speichert.<\/li>\n<\/ul>\n<p>Im DPIA-Bericht (Data Protection Impact Assessment Report) verwendet Privacy Company diese drei Datenkategorien in Analogie zur Aufteilung der Kommunikationsdaten im ePrivacy-Gesetz in Europa. Diese Gesetzgebung unterscheidet zwischen (i) Inhalten, (ii) Verkehrs-\/Ortsdaten, die bei der Nutzung der Kommunikationsdienste entstehen, und (iii) Daten, die f\u00fcr die \u00dcbertragung der Kommunikation unbedingt erforderlich sind, aber unmittelbar danach gel\u00f6scht oder anonymisiert werden m\u00fcssen.<\/p>\n<p>Microsoft betont zwar, dass das Unternehmen diese Kategorien nicht verwendet. Microsoft verwendet unter anderem die Kategorien \"Kundendaten\" und \"Pers\u00f6nliche Daten\". Microsoft verwendet den Begriff Diagnosedaten nur f\u00fcr die spezifischen Telemetriedaten, die \u00fcber den eingebauten Software-Client in der lokal installierten Office-Software gesammelt werden.<\/p>\n<h2>23.000 bis 25.000 Event-Typen<\/h2>\n<p>Microsoft bietet (noch) keine M\u00f6glichkeit, den Inhalt des Diagnosedatenstroms zu \u00fcberpr\u00fcfen. Microsoft hat erkl\u00e4rt, dass 23.000 bis 25.000 Arten von Ereignissen an die Server von Microsoft gesendet werden und dass 20 bis 30 Ingenieurteams mit diesen Daten arbeiten. Vor allem: Die Microsoft-Ingenieure k\u00f6nnen mit Office ProPlus von allen Computern aus dynamisch neue Ereignisse zum Datenstrom hinzuf\u00fcgen. Diese Datensammlung ist viel spezifischer als in der Windows 10 Telemetrie. Wenn die Telemetrie unter Windows 10 auf \"voll\" eingestellt ist, handelt es sich um tausend bis zu zw\u00f6lfhundert Arten von Ereignissen. Und 10 Teams mit Ingenieuren.  <\/p>\n<h3>Auch Windows 10 nicht konform<\/h3>\n<\/p>\n<p>Die niederl\u00e4ndische DPA f\u00fchrte 2017 eine Untersuchung der Verarbeitung von Telemetriedaten in der Verbraucher- und KMU-Version (KMU-Kleinunternehmer) von Windows 10 (Home und Pro) durch. Die niederl\u00e4ndische DPA <a href=\"https:\/\/web.archive.org\/web\/20230416180723\/https:\/\/autoriteitpersoonsgegevens.nl\/en\/news\/dutch-dpa-microsoft-breaches-data-protection-law-windows-10\" target=\"_blank\" rel=\"noopener noreferrer\">kam zu dem Schluss<\/a>, dass Microsoft in vielerlei Hinsicht gegen das Datenschutzrecht verst\u00f6\u00dft, unter anderem durch mangelnde Transparenz und Zweckbindung sowie das Fehlen einer Rechtsgrundlage f\u00fcr die Verarbeitung.  <\/p>\n<p>Als Reaktion auf diese Untersuchung nahm Microsoft im Fr\u00fchjahr 2018 einige Anpassungen an Windows 10 vor (ich berichtete dar\u00fcber). Die niederl\u00e4ndische DPA kam zu <a href=\"https:\/\/autoriteitpersoonsgegevens.nl\/nl\/nieuws\/privacy-van-windows-gebruikers-sterk-verbeterd-na-onderzoek-ap\" target=\"_blank\" rel=\"noopener noreferrer\">dem Schluss<\/a> (vor der eigentlichen Ver\u00f6ffentlichung der Software, Pressemitteilung nur auf Niederl\u00e4ndisch), dass der von Microsoft vorgelegte Verbesserungsplan alle Verst\u00f6\u00dfe beenden w\u00fcrde. Die niederl\u00e4ndische DPA hat seinerzeit die Datenverarbeitung \u00fcber die Office-Software nicht untersucht.   <\/p>\n<h3>Microsoft ist Controller und kein Datenverarbeiter<\/h3>\n<\/p>\n<p>Microsoft bestimmt den Zweck der Verarbeitung der Diagnosedaten in der Office-Software und die Aufbewahrungsfrist der Daten (30 Tage bis zu 18 Monate, wenn Microsoft es f\u00fcr notwendig h\u00e4lt, sogar l\u00e4nger). Der DPIA-Bericht zeigt, dass Microsoft die Diagnosedaten f\u00fcr 7 Zwecke verarbeitet und f\u00fcr alle anderen Zwecke, die Microsoft f\u00fcr mit diesen Zwecken vereinbar h\u00e4lt. Da Microsoft die Zwecke und Mittel (der Aufbewahrungsfrist) bestimmt, fungiert Microsoft als Controller und nicht als Datenverarbeiter.<\/p>\n<h3>Hohe Datenschutzrisiken <\/h3>\n<p>Der <a href=\"https:\/\/web.archive.org\/web\/20190905161240\/https:\/\/www.privacycompany.eu\/en\/impact-assessment-shows-privacy-risks-microsoft-office-proplus-enterprise\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bericht<\/a> sieht hohe Datenschutzrisiken f\u00fcr die betroffenen Personen (Office-Nutzer). Der DPIA-Bericht enth\u00e4lt eine ausf\u00fchrliche Beschreibung von 8 hohen Datenschutzrisiken f\u00fcr die betroffenen Personen. Die Regierungsorganisationen, die Office nutzen, sollten jedoch selbst bestimmen, was die spezifischen Risiken sind &#8211; basierend auf den spezifischen personenbezogenen Daten, die sie verarbeiten. <\/p>\n<h2>Administratoren in Unternehmen m\u00fcssen reagieren<\/h2>\n<p>Administratoren der Enterprise-Version von Office ProPlus k\u00f6nnen bereits eine Reihe von spezifischen Ma\u00dfnahmen ergreifen, um das Datenschutzrisiko f\u00fcr Mitarbeiter und andere Personen in den Niederlanden zu senken. Der Bericht nennt folgendes. <\/p>\n<ul>\n<li>Verwenden Sie die neuen Null-Daten-\u00dcbertragungseinstellungen (zero-exhaust settings)  <\/li>\n<li>Zentrales Verbot der Nutzung von Connected Services  <\/li>\n<li>Zentrale Untersagung der M\u00f6glichkeit f\u00fcr Benutzer, personenbezogene Daten an Microsoft zu senden, um \"Office zu verbessern\".  <\/li>\n<li>Kein SharePoint Oneline \/ OneDrive verwenden bzw. blockieren.  <\/li>\n<li>Die Verwendung der reine Web-Version von Office 365 sperren.&nbsp; <\/li>\n<li>L\u00f6schen Sie regelm\u00e4\u00dfig das Active Directory-Konto einiger VIP-Benutzer und erstellen Sie neue Konten f\u00fcr sie, um sicherzustellen, dass Microsoft die historischen Diagnosedaten l\u00f6scht.  <\/li>\n<li>Erw\u00e4gen Sie die Verwendung einer eigenst\u00e4ndigen Bereitstellung ohne Microsoft-Konto f\u00fcr vertrauliche\/sensible Daten. <\/li>\n<\/ul>\n<p>Und zum Schluss kommt die Empfehlung: Erw\u00e4gen Sie die Durchf\u00fchrung eines Piloten mit alternativer Software, nachdem Sie einen DPIA zu dieser spezifischen Verarbeitung durchgef\u00fchrt haben. Dies k\u00f6nnte ein Pilot mit alternativer Open-Source-Produktivit\u00e4tssoftware sein. Dies w\u00fcrde im Einklang mit der Politik der niederl\u00e4ndischen Regierung stehen, offene Standards und Open-Source-Software zu f\u00f6rdern.<\/p>\n<p>Der Bericht schreibt, dass diese Ma\u00dfnahmen sind nicht in allen F\u00e4llen realistisch oder machbar. Es ist nicht m\u00f6glich, dass die (Enterprise-)Kunden von Office alle Probleme l\u00f6sen. Was die Vertr\u00e4ge und die \u00dcbermittlung personenbezogener Daten an die USA betrifft, so muss eine europ\u00e4ische L\u00f6sung gefunden werden.<\/p>\n<h2>Fazit und Implikationen <\/h2>\n<p>Im Grunde ist der obige Bericht eine riesige Klatsche f\u00fcr die IT-Administration von Beh\u00f6rden, die auf Microsoft Office setzen \u2013 und quasi der Todessto\u00df f\u00fcr Microsoft Office 365. Denn das Produkt setzt nach dem Willen Microsofts auf Cloud und l\u00e4uft DSGVO-m\u00e4\u00dfig voll neben der Spur. <\/p>\n<p>F\u00fcr Administratoren in deutschen Unternehmen und die DSGVO-Verantwortlichen kommt jetzt die Nagelprobe. Es wird spannend sein, wie die IT-Verantwortlichen in M\u00fcnchen (LiMux) und in der nieders\u00e4chsischen Finanzverwaltung das Ganze bew\u00e4ltigen wollen \u2013 die haben erkennbar mit Zitronen gehandelt. <\/p>\n<p>An dieser Stelle noch zwei Fundsplitter. In Israel hat es gerade ebenfalls zwischen der Regierung und Microsoft wegen Softwarelizenzen geknallt (siehe diese Reuters-Meldung). Und nach <a href=\"https:\/\/www.theregister.co.uk\/2018\/11\/08\/gdpr_usa_congressman\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem The Register-Artikel<\/a> sind in den USA immer mehr Politiker offen, eine \u00e4hnliche Vereinbarung wie die Europ\u00e4ische Datenschutzgrundverordnung (GDPR) f\u00fcr die USA zu etablieren. Grund sind die fetten Datenschutzskandale, die die USA seit 2 Jahren sch\u00fctteln. <\/p>\n<p>Aktuell sitze ich ungl\u00e4ubig vor meinem Monitor, denn viele Bef\u00fcrchtungen und Vorbehalte meinerseits sind noch schlimmer umgesetzt worden, als gedacht. Microsoft l\u00e4uft auch hier erkennbar neben der Spur \u2013 obwohl man ja lauthals verk\u00fcndete, dass man mit seinen Produkten und Cloud-Diensten DSGVO-konform werden m\u00f6chte. Als Blogger muss ich nat\u00fcrlich die Meinung meiner Leser, die das 'alles nicht so schlimm finden' zur Kenntnis nehmen und stehen lassen. Aber ich bin an der einen oder anderen Stelle schon gelegentlich fassungslos. Und ich m\u00f6chte nicht in der Haut eines DSGVO-Verantwortlichen in Unternehmen stecken. Die k\u00f6nnte man demn\u00e4chst an den Hammelbeinen kriegen. Und nun k\u00f6nnt ihr eure Meinung kund tun.&nbsp; <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es ist heftig, aber keine wirkliche \u00dcberraschung: Microsoft spioniert \u00fcber seine Office Pro Plus-Module die Nutzer bez\u00fcglich der individuellen Verwendung aus. Und das Ganze d\u00fcrfte nicht mit der Datenschutzgrundverordnung im Einklang stehen. Sagt eine niederl\u00e4ndische Organisation, die den Einsatz von &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/11\/16\/microsoft-office-spioniert-nutzer-aus-kollidiert-mit-dsgvo\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[451,6932,4322],"class_list":["post-211788","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-datenschutz","tag-dsgvo","tag-office"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211788","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211788"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211788\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211788"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211788"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211788"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}