Die niederländische Regierung gab kürzlich bei dem Compliance-Beratungsunternehmen Privacy Company eine Datenschutz-Folgenabschätzung (DSFA) für Microsoft Office ProPlus (Office 2016 MSI und Office 365 CTR) in Auftrag. Bei der Untersuchung der rund 300.000 behördlichen Arbeitsplätze kamen die Berater zu dem Schluss, dass Office eine "groß angelegte und verdeckte Erhebung personenbezogener Daten" durchführt. Damit verstoße Microsoft gegen die DSGVO. Der Softwareriese ist derzeit in Verhandlungen mit den niederländischen Behörden, um eine rechtskonforme Lösung zu entwickeln.

Heimlich, still und unaufhaltsam

"Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Personen in großem Umfang ohne jegliche öffentliche Dokumentation," heißt es in der Mitteilung von Privacy Company. Der vollständige DSFA-Bericht in englischer Sprache ist hier als PDF-Download verfügbar.

Demnach werden Daten von Anwendern der Produkte Word, Excel, PowerPoint und Outlook übermittelt, ohne das der User etwas davon merkt. In einem automatisierten Prozess sammelt Microsoft die Daten und verschickt sie paketweise an einen Server in den USA. Die Anwender werden nicht darüber informiert, wann das geschieht und um welche Daten es sich handelt. Dabei geht es nicht nur um Daten, die zum Betrieb unbedingt notwendig sind, sondern auch um potenziell sensible Informationen. Dazu schildert Privacy Company zwei Beispiele:

Wird ein Wort in Microsoft Word in der Online-Rechtschreibprüfung oder im Übersetzungsdienst nachgeschlagen, erfasst und übermittelt Office auch den Satz vor und nach dem Wort.

Microsoft sammelt nicht nur Nutzungsdaten mithilfe des eingebauten Telemetrie-Agenten, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Benutzer beispielsweise über die Office-Software auf einen Connected Service wie den Übersetzungsdienst zugreifen, kann Microsoft die Nutzungsdaten in systemseitig generierten Ereignisprotokollen speichern.

Laut Microsoft werden 23.000 bis 25.000 Arten von Ereignissen an die Office-Server geschickt und von 20 bis 30 Ingenieur-Teams bearbeitet. Zum Vergleich: Das Betriebssystem Windows 10 verschickt bei auf "voll" eingestellter Telemetrie-Erfassung lediglich 1.000 bis 1.200 Arten von Ereignissen an zehn Ingenieurteams.

Eine Übersicht von Microsoft, welche Arten von Informationen das Unternehmen über den Telemetrie-Agenten in Office sammelt, finden Sie hier. Ob die Darstellung den Tatsachen entspricht, kann jedoch nicht nachgeprüft werden, da die Übertragung verschlüsselt ist und Office nicht meldet, welche Informationen es genau jedes Mal an Microsoft-Server schickt. Die Übertragung lässt sich zum heutigen Zeitpunkt nicht vollständig abschalten.

Es kann durchaus sein, dass die abfließenden Daten tatsächlich nicht kritisch sind. Da sie nicht einsehbar sind, lässt sich das jedoch nicht eindeutig sagen.

Microsoft zeigt sich kooperativ

Als Reaktion auf die Vorwürfe der Niederländer hat Microsoft begonnen, mit der Behörden gemeinsam an Lösungen zu arbeiten. So schlagen sie den Administratoren in den Behörden vor, bestimmte kürzlich implementierte Einstellungen zur Telemetrie-Erfassung zu übernehmen, mit denen weniger Office-Daten übertragen werden (Zero Exhaust Settings). Zudem habe sich Microsoft verpflichtet, "weitere wichtige Maßnahmen zur Risikominimierung zu ergreifen."

Gegenüber The Register sagte ein Microsoft-Sprecher, der Konzern wolle, dass die Kunden ihre Daten selbst kontrollieren könnten. Man werde sicherstellen, dass Office ProPlus sowie andere Produkte und Services im Einklang mit der DSGVO und anderen geltenden Gesetzen stünden.