Datenschutz vs. Windows & Office

Droht Microsoft ein teures Déjà-vu?

12.09.2019
Von  und
Preston Gralla ist Redakteur bei Computerworld, Blogger bei ITworld und Autor von mehr als 45 Büchern, darunter "NOOK Tablet:The Missing Manual" (O'Reilly 2012) und "How the Internet Works" (Que, 2006).


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Bislang hat es Microsoft geschafft, dem Fadenkreuz der Regulatoren zu entgehen. Das könnte sich dank eines ausgeprägten Datenschutz-Desinteresses nun ändern.

Microsoft hat sich zum wertvollsten Unternehmen der Welt gemausert und es dabei - zumindest in den letzten Jahren - meistens geschafft, unter dem Radar von Justiz und Regulatoren zu fliegen. Die Datenpraktiken seiner Hauptkonkurrenten - namentlich Facebook, Amazon, Google und Apple - waren allesamt bereits Gegenstand umfassender Ermittlungen der Datenschutzbehörden.

Microsoft könnte eine DSGVO-geschwängerte Strafe in Höhe von vier Milliarden Dollar drohen.
Microsoft könnte eine DSGVO-geschwängerte Strafe in Höhe von vier Milliarden Dollar drohen.
Foto: Pilotsevas - shutterstock.com

Die unbesorgten Zeiten könnten nun aber auch für Microsoft zu Ende gehen: Windows 10 und Office stehen im Konflikt mit den Richtlinien der EU-Datenschutzgrundverordnung (DSGVO). Die Konsequenzen könnten drastisch sein und weitere Ermittlungen in den USA zur Folge haben. Dabei geht die größte Gefahr für Microsoft davon aus, wie Windows Nutzerdaten aggregiert und verarbeitet (sogenannte Telemetrie-Daten).

Windows und die maximale Transparenz

Einige europäische Länder hatten bereits vor dem Inkrafttreten der DSGVO im Mai 2018 Zweifel daran, dass Windows und Datenschutz zusammengehen. Die Datenschutzbehörde in den Niederlanden kam bereits im Jahr 2017 zu dem Schluss, dass die Art und Weise, wie Windows 10 Telemetrie-Daten seiner Nutzer verwertet, gegen geltende Gesetze verstößt. Eine gerichtliche Auseinandersetzung blieb zwar aus, aber die Behörde verpflichtete Microsoft, die Missstände zu beheben. Dieser Aufforderung kam der Konzern im Rahmen eines größeren Updates für Windows 10 im April 2018 nach. Teil dieses Updates war auch ein Tool namens Diagnostic Data Viewer, das der Windows-Konzern mit Hilfe eines Blogposts in den Fokus rückte. Das Tool sei Teil der Bemühungen Microsofts, "für maximale Transparenz darüber zu sorgen, was mit den Diagnosedaten passiert, die Windows-Geräte sammeln und den Nutzern mehr Kontrolle über diese Daten zu ermöglichen".

Das mit der Transparenz hat schon mal nicht geklappt: Das Tool ist so komplex und obskur, dass selbst viele gestandene Softwareentwickler es nicht nutzen können. Statt darüber zu informieren, welche Daten Windows über seine Nutzer sammelt, zwingt der Diagnostic Data Viewer diese dazu, sich durch endlose, technische Dokumentationen mit kryptischen Headlines und Programmcode zu scrollen. Wer sich das zu Gemüte führt, stellt sich mit Recht die Frage, ob der Diagnostic Data Viewer und Transparenz zusammengehen.

Windows 10 vs. DSGVO

Die niederländische Datenschutzbehörde brauchte entsprechend etwas länger, um den Diagnostic Data Viewer und andere Änderungen, die Microsoft vorgenommen hatte, zu evaluieren. Letztendlich kamen die Regulatoren zu dem Ergebnis, dass Microsoft die geforderten Änderungen der Forderung entsprechend umgesetzt hat. Windows 10 steht demnach nicht nur mit den niederländischen Gesetzen, sondern auch mit den Regelungen der DSGVO im Einklang.

Die Untersuchung brachte allerdings auch ans Licht, dass Microsoft auch andere Daten seiner Nutzer erfasst als nur telemetrische. Laut der Behörde steht Microsoft somit weiterhin in Verdacht, gegen Datenschutz-Regelungen zu verstoßen. Deshalb entschied die niederländische Datenschutzbehörde, den Fall an das irische Datenschutz-Komitee abzugeben (weil Microsofts Europa-Zentrale in Irland verortet ist). Diese Behörde wird nun entscheiden, ob Microsoft tatsächlich gegen die DSGVO verstößt - und die Vorzeichen stehen alles andere als gut, wie im Bericht der Niederländer zu lesen ist: "Wir haben herausgefunden, dass Microsoft diagnostische und nicht-diagnostische Daten seiner Nutzer sammelt. Wir würden gerne wissen, ob es nötig ist, die nicht-diagnostischen Daten zu erfassen und ob die User über diese Vorgänge ausreichend informiert werden."

Die Frage, wie gut die Windows-Nutzer über die Datensammel-Praktiken von Microsoft informiert sind, lässt sich relativ leicht beantworten. Zum Beispiel mit einem Blick auf einen Bericht von TechCrunch. Dieser legt dar, wie grenzwertig Windows die User während des Installationsprozesses zwingt, die Datenschutzbestimmungen zu akzeptieren. Das Highlight der Recherchen war dabei eine Warnmeldung von Cortana höchstpersönlich: "If you don't agree, y'know, no Windows!"

Sollte die Untersuchung der Irischen Datenschutzbehörden zu dem Ergebnis kommen, dass Microsoft gegen die DSGVO verstößt, könnten die Konsequenzen drastisch ausfallen: Laut Forbes könnte dem Konzern eine Strafe von circa vier Milliarden Dollar ins Haus stehen.

Office im Datenschutz-Fadenkreuz

Allerdings steht nicht nur Windows 10, sondern auch verschiedene Versionen von Office im Visier europäischer Datenschützer. Die Behörden in den Niederlanden etwa fanden heraus, dass Microsoft Daten über die Nutzung von Word, Excel, Powerpoint und Outlook systematisch und im großen Stil erfasst. Die Nutzer bleiben laut der Behörde dabei im Unklaren über die Vorgänge: "Microsoft bietet keine Option an, die Auskunft darüber gibt, wie viele und welche Daten erfasst werden. Auch eine Möglichkeit, die Erfassung dieser Daten abzuschalten, ist nicht existent. Das liegt auch daran, dass dieser Datenstrom verschlüsselt wird."

Noch weitaus problematischer könnte sich für Microsoft auswirken, welche Maßnahmen die Behörden in den USA aus den DSGVO-Problemen des Konzerns in Europa ableiten. Insbesondere beim Blick auf das derzeitige politische Klima in den USA, erscheint es wahrscheinlich, dass auch die US-Regulatoren und -Institutionen Microsoft ins Visier nehmen. Einzelne US-Staaten wie etwa Kalifornien und New York bringen derzeit ihre eigenen Datenschutz-Bestimmungen auf den Weg - und machen dabei keinen Hehl daraus, dass sie die Rechte der Endkonsumenten in Sachen Datenschutz deutlich stärken wollen.

Auch wenn Microsoft es bislang geschafft hat, dem langen Arm des Datenschutz-Gesetzes zu entgehen - damit könnte es bald vorbei sein. Es droht ein Déjà-vu: Das letzte Stelldichein Microsofts mit staatlichen Regulierungsbehörden (das 2004 zu Ende ging) führte zu einem langsamen, aber kontinuierlichen Verfall des Unternehmenswertes.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Computerworld.